Webエンジニアのブログです。
shiodaifuku.io
Webエンジニアのブログです。
2022年2月28日、メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表しました。ここでは関連する情報をまとめます。 複合的な攻撃を半年間受ける 不正利用懸念ありと連絡を受けたのはメタップスペイメントのイベントペイで2021年12月17日にクレジットカード決済を停止。さらに会費ペイを含む3サイトは2022年1月5日までにクレジットカードの新規決済を停止。その後2022年1月24日にバックドアの存在が確認されたことから、トークン方式のクレジット決済サービスを全て停止した。 攻撃を受けていたのは2021年8月2日から2022年1月25日の約6カ月。2021年12月14日にクレジットカード会社から連絡受領しその後調査するも自社での原因特定ができず外部機関でフォレンジック調査を実施。 不正アクセスはメタップスペイメントの決
経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1.事業者の概要 (1)名称:株式会社メタップスペイメント(以下「同社」という。) (2)代表者:代表取締役 和田 洋一 (3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容:決済代行業等 2.処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売
PCI DSS準拠から学ぶサステナブルなAWSクラウドネイティブの運用 / Sustainable PCIDSS operation on AWS
PCI DSS準拠から学ぶサステナブルなAWSクラウドネイティブの運用 / Sustainable PCIDSS operation on AWS
PCI DSS対応 AWS 上の踏み台サーバーでの操作ログ取得、MFA、アイドルタイムアウトを実現 | DevelopersIO
PCI DSS に対応すべく Linux サーバーの操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 AWS 上の踏み台サーバー (ここでは Amazon Linux 2 を想定しています) での操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 PCI DSS の関連して以下のような要件があり、これを実現するために考えた方法です。 ssh ログインは Google Authenticator を利用した二要素認証にしたい ssh ログイン後の操作ログ(コマンドログ)を保管したい 踏み台サーバーから更に業務サ
こんにちは、開発統括室ペイメントシステム課マネージャーの戸田です。 前回 、決済システムの開発・構築・運用に深く関わるPCI DSSについて紹介いたしましたが、このPCI DSSはバージョンによって要件が多少異なっております。 現在弊社はバージョン3.2.1に準拠しておりますが、PCI DSS自体は2022年3月にバージョン4.0にメジャーバージョンアップされました。 今回はバージョン4.0リリースの影響と我々の取り組みについて少しご紹介したいと思います。 バージョン3.2.1とバージョン4.0について 主な変更点 機密認証データの扱い 暗号化 フィッシング攻撃への対策 公開用WebアプリケーションへのWAF導入 決済ページスクリプトの管理 パスワード関連 カード会員データ環境へのアクセスのMFA実装 監査ログレビュー 内部脆弱性スキャン リスク分析 バージョン4.0に向けた取り組み バー
こんにちは、岩城です。 PCI DSS 勉強会シリーズです。 先日、社外の方(とある QSA (認定審査機関)の中の方たち)とクローズドな PCI DSS 勉強会が行われました。今回の勉強会の目的は、「PCI DSS の要件1:安全なネットワークの構築と維持」に関連する AWS のネットワークアクセス制御機能を理解することでした。本エントリでは、勉強会で利用した資料とディスカッションの内容を共有したいと思います。 合わせて弊社中山によるネットワークアクセス制御の設定を管理する方法もご確認ください。 【資料公開】PCI DSSのネットワークアクセス制御に関する要件とそのための実装を学ぶ勉強会をやりました(管理編) 目次 資料 勉強会内容 本日のゴール AWS における以下のネットワークアクセス制御機能の理解を目指します。 ネットワークアクセス制御 ルートテーブル セキュリティグループ ネット
【資料公開】PCI DSSの認証取得を目指す方へ!AWSの利用を前提としたパッチ管理について考えるクローズドな勉強会をやりました | DevelopersIO
どーも、PCI DSS初心者の中山(順)です。 先日、社外の方(とあるQSA(認定審査機関)の中の方たち)とAWSのセキュリティ機能を勉強するクローズドな会を実施しました。 せっかくなので、その際の資料をこちらで共有したいと思います。 併せて、PCI DSSの概要についてもご紹介します。 これからPCI DSSの認証取得/準拠を考えている方、もしくは認証取得まではしないがそれに準じた対策を考えている方に読んで頂けると幸いです。 そもそもPCI DSSとは? PCI DSSとは、加盟店(店舗、ECサイトなど)やサービスプロバイダ(決済代行事業者など)において、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。 PCI DSSとは なぜ認証を取得するのか 昨今、様々な企業においてクレジットカード情報の漏洩事故が発生していることは皆さ
【資料公開】PCI DSSの認証認可に関する要件とそのための実装を学ぶ勉強会をやりました(インフラ編) | DevelopersIO
中山(順)です 今回もPCI DSSに関する勉強会の続きです。 【資料公開】PCI DSSの認証取得を目指す方へ!AWSの利用を前提としたパッチ管理について考えるクローズドな勉強会をやりました PCI DSS要件のある環境で自己管理の内部診断としてAmazon Inspectorを活用する方法 【資料公開】PCI DSS 勉強会 ネットワークアクセス制御編 【資料公開】PCI DSSのネットワークアクセス制御に関する要件とそのための実装を学ぶ勉強会をやりました(管理編) 今回はその続きとして、認証認可をテーマに勉強会を実施しました。 参加メンバーは引き続き弊社AWS事業本部コンサルティング部のメンバー + とあるQSAの皆様です。 IAMによるデータへのアクセス制御については、弊社臼田が担当しました。 【資料公開】PCI DSSにおけるIAMデータアクセス 私はAWSのレイヤーにおける認証
【資料公開】PCI DSSのネットワークアクセス制御に関する要件とそのための実装を学ぶ勉強会をやりました(管理編) | DevelopersIO
中山(順)です 先日、PCI DSSにおけるパッチ管理をテーマにした勉強会を実施しました。 【資料公開】PCI DSSの認証取得を目指す方へ!AWSの利用を前提としたパッチ管理について考えるクローズドな勉強会をやりました PCI DSS要件のある環境で自己管理の内部診断としてAmazon Inspectorを活用する方法 今回はその続きとして、ネットワークアクセス制御をテーマに勉強会を実施しました。 勉強会はテーマに関連するAWSの機能を解説し、その後ディスカッションする(AWSの機能が要件の充足にどの程度寄与しそうか、など)という流れで実施しました。 参加メンバーは前回と同様に弊社AWS事業本部コンサルティング部のメンバー + とあるQSAの皆様です。 ネットワークアクセス制御自体の解説については、弊社岩城が担当しました。 【資料公開】PCI DSS 勉強会 ネットワークアクセス制御編
カンムのセキュリティ事情 - カンムテックブログ
こんにちは、livaです。 カンムでセキュリティエンジニアやってます。入社してから半年程度経った今はPCI DSSの監査準備だったり優先度高めにした施策をOKRに落とし込んで手を動かしたりと慌ただしく動いてます。 初執筆のテックブログでなにを書こうかなと考えていて、3月の末に出たPCI DSSv4がいいかとも思ったんですが、読むだけで一苦労だったので諦めました。あとからゆっくり読みます。 今回はカンムの今と将来のセキュリティ事情を書こうと思います。 入社前の想定 面接や面談時にいくつか課題を聞いていて、大きく2つになるのかなーと考えてました。 1. PCI DSSの運用の課題 カンムはクレジットカードの決済フローでは「イシュア」にあたり、業界のセキュリティ基準であるPCI DSSに準拠している必要があります。これがないとそもそものビジネスが成り立ちません。毎年の準拠が必要なため、最低限のセ
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 AWS 上で決済系システムを稼働させることはすでに珍しくありません。 今後も事例は伸びていくと想像します。 AWS で稼働させることのメリットは多くありますが、一番のメリットは 高セキュリティ だと考えています。 物理セキュリティはデータ-センター事業社のなかでもトップクラスの堅牢さではないでしょうか。 PCI DSS 要件9 「カード会員データへの物理アクセスを制限する」は AWS が取得している認定にオフロードすることが可能です。 論理セキュリティは決済事業社で担保する必要がありますが、AWS サービスをしっかり活用すればセキュアなシステムを構築可能です。 本エントリではその辺りを記述していきます。 ソース 公式が公開している情報を基に記述しています。
[アップデート] Security Hub に PCI DSS にあわせた自動セキュリティチェックが追加されました! | DevelopersIO
Security Hub が PCI DSS バージョン 3.2.1 にあわせた自動セキュリティチェックをサポートするようになりました。 AWS Security Hub launches security checks aligned to the Payment Card Industry Data Security Standard これまで CIS ベンチマーク (CIS AWS Foundations Benchmark) に対応していた Security Hub ですが、今回のアップデートにより PCI DSS v3.2.1 の要件チェックできるわけですね。すばらしい。 14 サービス 32 要件に対するチェック 今回の自動セキュリティチェックでは 14 の AWS サービスで 32 の PCI DSS 要件に対して継続的なチェックを行うことで、PCI DSS セキュリティのア
![[アップデート] Security Hub に PCI DSS にあわせた自動セキュリティチェックが追加されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/dbe3f406587b5b6a944b210452de92d974859a3f/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-security-hub.png)
どうも!! ペイメントシステム課の川上です!! サブスクペイの中の人です!! 今回は、先日実施されたPCI DSSバージョン4の監査に参加した所感を書きます。 ちなみに私は、昨年サブスクペイにジョインするまでPCI DSSに関わったことはありませんでした。 ですので元シロウトなりに感じたことを綴りたいと思います。。。 PCI DSSってなんだっけ PCI DSSについては我らがボスが詳しく分かりやすく説明してくれています。 「PCI DSSなにそれおいしいの」状態の方は、まずはこちらをご覧いただければ幸いでございます(宣伝)。 tech.robotpayment.co.jp 備えよ常に ボスのブログでは「毎年監査を受け」ていることしか書かれていませんので、ここをもう少し掘り下げてみましょう。 PCI DSSに準拠するには、PCI SSC(PCI Security Standards Cou
Developer Boost 2019 の発表資料です
更新日 2020/11/29 作成日 2020/11/27 ベストプラクティスを突き詰め続ける 本稿では、Azure 上でアプリケーションを構築する開発者向け(元々は社内向け)に、セキュア・アプリケーションを構築する際のベストプラクティス的な内容をアップデートし続けていく事を目指しています。 特にこだわっていることとしては、PaaS、サーバーレスを使いこなし、元来人力で行う必要があったセキュリティ対策をより安全なクラウド側で実施していく事です。 セキュリティ対策の大半はクラウド側に任せて、アプリケーション内における対応に集中し、不完全な人力作業を排除し、開発に集中したいのです。 PCI DSS を例に紹介 セキュリティの基準については、PCI DSS 準拠が求められるクレジットカードイシュアのカード会員システムを Microsoft Azure 上で PaaS を中心に作った際の事例を基に
はじめに この記事はトピック「Azure上でセキュアなアプリケーションを作るベストプラクティス」の中の一記事となります。 例として PCI DSS の要件を取り上げており、それぞれの要件と Azure での実装を解説していきます。 本稿では、PCI DSS を紹介するとともに、Azure のテクノロジーを使って、どのように対応していくか、トピック内記事を読むためのアウトラインを紹介します。 PCI DSS 3.2 の概要 PCI データセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために 2004 年 12 月、JCB・American Express・Discover・マスターカード・VISA の国際ペイメントブランド 5 社が共同で策定した、クレジ
初めまして!インフラを担当してます上平と申します。 このエントリーではFintech事業を実現するインフラ構築に関して紹介します! スタートアップ企業でイチから構築する大変さや面白さをお伝えできればと思います! Fintech事業において事業内容にもよりますが、我々のようなカード発行会社の場合、PCI DSSというカード業界における国際セキュリティ基準への準拠が必須となります。 弊社ももちろんPCI DSSに準拠しておりますが、準拠のためにはインフラ構築を始めるタイミングから考えることがたくさんあります。 今回から、選定編、構築編、運用編と3部に分けて弊社の取り組みを紹介させていただきます。 そもそもPCI DSSとは? ja.wikipedia.org PCI DSSとは、クレジットカード情報の安全な取り扱いを目的に策定されたクレジットカード業界における国際セキュリティ基準のことです。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メタップスペイメントの情報流出についてまとめてみた - piyolog
クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)
PCI DSSバージョン4.0について - ROBOT PAYMENT TECH-BLOG
【資料公開】PCI DSS 勉強会 ネットワークアクセス制御編 | DevelopersIO
PCI DSS 3.2.1 に対応するAWSセキュリティ対策 | DevelopersIO
PCI DSS監査体験記 - ROBOT PAYMENT TECH-BLOG
https://d1.awsstatic.com/ja_JP/startupday/sudo2020/SUD_Online_2020_Tech03.pdf
Elixir で決済サービスをつくってみた
Azure上でセキュアなアプリケーションを作るベストプラクティス
PCI DSS 対応を踏まえたAzure上でセキュアなアプリケーションを作るベストプラクティス
FinTechスタートアップ企業のインフラができるまで(選定編) - inSmartBank