Adyenのオンライン決済を安全に統合するには？

オンラインの攻撃者から事業を保護してください

悪意のある者（個人または組織）が、オンライン攻撃でお客様の会社を標的にするかもしれません。Adyenをサービスに統合する方法に応じて、会社データと顧客データの機密性、完全性、可用性を保護するために考慮した方がいい追加のセキュリティ対策があります。

不正侵入されるおそれ

攻撃者は、ログイン認証情報を偽造するか盗んで、(管理者) 環境にアクセスしようとするかもしれません。そのためのよく知られている手法は、弱いパスワードを総当たりで入力するか、弱い管理者認証か壊れた管理者認証を悪用することです。フィッシングその他のソーシャルエンジニアリングと呼ばれる手口は、社内の人間を騙して機密情報へのアクセスを許可させるのが一般的です。

攻撃者が貴社のページに不正にアクセスした場合、カード情報を持ち出すことができます。攻撃者は、さまざまな方法でクロスサイトスクリプティング攻撃を行うことができます。

• 決済を不正なページにリダイレクトし、入力された決済情報を、正規のページで決済処理を続ける前に攻撃者に送信させる方法。
• 実際の決済ページの上にいわゆるオーバーレイを配置し、実際の決済が行われる前にカードデータを収集する方法。
• 悪意のあるコードでページを操作することにより、例えば、いわゆるキーロガーを介して、購入者がそれらを入力すると、カードデータを収集する方法。

不正侵入のリスクを軽減する方法

基本的なセキュリティ対策を実施することで、リスクを大幅に軽減することができます。プラットフォームのユーザーアカウント、システムと、開発ライフサイクルについて、適切な管理を行うことが必要です。

ユーザーアカウントの管理

• ベンダーから提供されたユーザー名とパスワードを置き換えてください。
• 総当たり攻撃を防ぐために、強力なパスワードを使用してください。大文字と小文字、数字、特殊文字を含む長いパスワードを使用してください。
• 複数人の間で認証情報を共有するアカウントは避けてください。
• 特に、一般の人が利用可能なデバイスにログインする場合は、多要素認証 (MFA) を徹底してください。

システムの管理

• システムとソフトウェアを、常に最新のセキュリティパッチで更新してください。
• 電子商取引／Webサイトのプロバイダーが提供するセキュリティ推奨事項を読んで、実施してください。
• 潜在的な攻撃者が引き起こす異常な活動を検知するため、管理者とユーザーの活動を定期的に確認してください。

開発ライフサイクルの管理

• 開発ライフサイクルの設計、開発とテストの段階で、セキュリティのベストプラクティスを考慮してください。
• 決済ページに加え、関連するソースコードへの変更を確認してください。予期せぬ変更を検知し、対応するために、継続的な監視を必ず設定してください。
• サプライチェーンのリスクを管理し、サードパーティサプライヤーを経由した攻撃を特定、処理し、防止してください。
• ページ内のクライアント側のリソースが、許可されたドメインから読み込まれていることを確認してください。このようなリソースは、javascriptライブラリ、CSS、チャットボット、分析などが考えられます。
• 一般の人が利用可能なシステムでPay by LinkのURLを生成しないでください。URLのホスト部分を自動的に検証してから、顧客に送信することをお勧めします。
• クロスオリジンリソース共有とサブリソースの整合性を実装します。詳細については、開発リソースを参照してください。
• クロスサイトスクリプティング攻撃などを防止するために、コンテンツセキュリティポリシー (CSP) を実装してください。CSPは、WebサーバーにContent-Security-Policy HTTPヘッダーを追加し、信頼できるソースからのリソースだけを受け入れるように設定することで実装できます。使用するディレクティブは、Adyen、Amazon Pay、PayPal、Google Payに限定してください。

詳細情報

ビジネスの安全を保つのに役立つフレームワークその他のガイドラインは、数多く公開されています。安全なコーディングの実践に従うのはもちろんですが、成熟度フレームワークの助けを借りて、セキュリティ対策を継続的に評価することもできます。詳細については、以下のリソースをお勧めします。

• OWASP
• NIST
• SANS