マスターカード：「クレジットカードにリスクあり」

　クレジットカード業界でのセキュリティへの取り組みを尋ねられて、MasterCardでアジア太平洋地域のセキュリティ戦略を指揮する新任のTim Morrisが返した答えは、何とも明快でローテクなものだった。

　「話し合いを重ねること--それに尽きます」とMorrisはいう。Morrisは恰幅のよいオーストラリア人で、4カ月前にMasterCardのアジア太平洋地域担当バイスプレジデント兼セキュリティ／リスク管理の地域統括者に就任したばかりだ。

　「不動産業者にとって、立地がすべてであるのと同じことです」とMorris。「とにかく、腰を据えてクライアントと話をすること。これに代わるものはありません。クライアントを理解すればするほど、よりよいソリューションを提供できるようになります」

　Morrisは20年のキャリアを持つセキュリティ対策のベテランであり、MasterCardに入社する前はオーストラリア連邦警察でテロ対策の責任者を務めていた。現在、彼の仕事の大半を占めているのは、MasterCardの利用者を説得し、同社アジア部門の10名のスタッフが開発した不正対策措置を導入してもらうことだ。この過程で、すべてのユーザーの要件を満たすセキュリティ対策を講じることがいかに難しいかを、身をもって学んだとMorrisは振り返る。

　「私にとっては、それが最大の課題です」と同氏はいう。

　ユーザー教育やセキュリティ管理の面では、ほかにどんな課題があるのだろうか。Morrisに話を聞いた。

--今後5年でEコマースはどんな脅威に直面すると思いますか。

　当然、国際決済の世界もグローバル化と無縁ではいられません。米国では個人情報の盗難といった問題が注目を集めるようになっています。たとえば、「フィッシング」サイトによる被害は今や世界規模で拡大しています。

　今日の犯罪の問題は、犯人が現場にいる必要がないということです。ウズベキスタンから、シンガポールやシドニーの人々を攻撃することもできる。現代の法執行機関は、毎日こうした問題と格闘しています。安易な解決策はありません。

　確かに、Eコマースは普及し、身近なものとなりました。しかし、残念ながら、これは犠牲者の予備軍が増えたことでもあります。

　この問題を解決するためには、人々を教育することと、Eコマース利用者のセキュリティ意識を高めることが重要です。

--しかし、人々を教育するだけでは不十分なのでは。

　そこで必要になるのがリスク管理です。大きなリスクはどこに潜んでいるのか、どうすればリスクを測定できるのかを知る必要がある。この点に取り組んだのがMasterCardの「サイト・データ・プロテクション・プログラム」です。このプログラムはウェブサイトのセキュリティ状態を調べ、脆弱性をチェックします。また、問題の発生を未然に防ぐ監視サービスや警告サービスも提供しています。

　このプログラムの狙いは、当社のシステムを利用しているオンライン店舗のセキュリティを確保し、包括的なセキュリティ・システムを提供することです。また、消費者がこうした店舗で安心して買い物ができるようにすることも目的の1つです。このほかにも、わが社ではMasterCardの利用者がインターネットをより安全に利用するための手段として、SecureCodeを提供しています。

　われわれが目指しているのは、セキュリティに関するあらゆる懸念を一掃するような、魔法の解決策ではありません。むしろ、さまざまな措置を導入し、それぞれをより高度で包括的なものにすることです。これは進化のようなものなのです。

--コンピュータ・ウイルスの問題は悪化する一方ですが、この状況がEコマースの発展を阻む可能性はありますか。

　Eコマースの発展に直接的な影響を及ぼす可能性はありますが、MasterCardのような多国籍企業が直接危険にさらされることはないでしょう。われわれはこの手の攻撃に対し、きわめて高度な防御措置を導入しているからです。

　しかし、ITの知識に乏しい小規模なオンライン店舗は、（必要な対策を講じるための）十分なリソースがないため、攻撃の被害を受ける可能性があります。だからこそ、当社のサイト・データ・プロテクション・プログラムのような仕組みが必要になるのです。

--MasterCardは最近、ワイヤレスのPayPass、ウェブベースのSecureCodeといった新しいソリューションを投入していますが、利便性と安全性は両立しないと思いますか。

　そうとは限らないと思います。もちろん、プライバシーとセキュリティを無視すれば、利便性の高いシステムを構築するのはたやすいことですが、逆に、実用性を度外視すれば、最高のプライバシーとセキュリティを備えたシステムを構築するのも難しくありません。

　では、両方を満たすシステムを実現するためにはどうすればいいのか。その答えはテクノロジーにあります。

　すでに提供されているソリューションについては、それぞれを吟味し、試験し、適切なものを選び取ることが重要です。最終的には、すべてのユーザーのニーズが満たされると確信しています。