PCIDSSについて
みなさま、こんにちは。
本日は、PCIDSSをテーマに考察していきたいと思います。
企業において、セキュリティ対策を担当されている方の多くは、一度は耳にされた事がある用語かと思いますが、まずはPCIDSSの概要について整理しておきます。
PCIDSSとは、クレジットカード情報を扱う加盟店やサービスプロバイダ等において、クレジットカード会員データを安全に取り扱う事を目的として策定されたクレジットカード業界の国際的なセキュリティ基準の事です。
PCIDSSとは?
「クレジットカード会員の情報を保護するセキュリティ基準」
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード業界のセキュリティ基準である。American Express、Discover、JCB、Mastercard、Visaの5社が共同で2006年に設立した、PCI SSC(Payment Card Industry Security Standards Council)によって運用・管理されている。
以前は各カード会社が独自にリスク管理を行っていたが、この状況では加盟店は、カード会社ごとに異なる要求に応えなければならず負担が大きかった。また同時に、大規模なクレジットカード被害が発生するようになり、より強固な対策フレームワークが必要となりつつあったことが策定の理由である。
クレジットカードの番号漏えい、不正使用といった犯罪は社会的にも大きな問題であることから、経済産業省は割賦販売法を改正して対策を強化している。その中でも、各加盟店にはクレジットカード番号などの適切な管理として、情報の非保持化、あるいはPCI DSS準拠を義務付けている。
PCIDSS準拠の認証取得について
クレジットカード情報を扱っている加盟店、事業者、サービスプロバイダ等においては、PCIDSSに準拠したセキュリティ対策を実施する事が求められます。
また、公的な認証を取得する事により、企業やブランドの信頼度やイメージの向上、万が一のセキュリティ事故発生時の免責等、様々なメリットを享受する事が可能ですが、一番のメリットは、最新のセキュリティ基準を満たす事によるリスクの低減にあります。
元々はクレジットカード会員の情報を保護する為のものでしたが、現在はその他の業種・業態においてもPCIDSSのガイドラインを参考にセキュリティ対策を検討する事も多くなってきています。
認証を取得する事は無くとも、IT環境の安心・安全な運用の為には覚えておいた方が良いでしょう。
PCIDSSの認証を受けるには、クレジットカード情報の取り扱い方法や規模に応じて、以下の3つの方法があります。
1:訪問審査
PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。QSAの一覧は、PCI国際協議会のサイトに掲示されています。
カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。
2:サイトスキャン
WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。
カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。
3:自己問診
PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。
PCIDSSの要件について
現行バージョンであるPCIDSSバージョン3.2.1においては、大項目として、以下の12要件が定義されています。
| 安全なネットワークとシステムの構築と維持 | 1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
| カード会員データの保護 | 3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、 暗号化する |
| 脆弱性管理プログラムの維持 | 5. すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェア、またはプログラムを定期的に更新する 6. 安全性の高いシステムとアプリケーションを開発し、保守する |
| 強力なアクセス制御手法の導入 | 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する 8. システムコンポーネントへのアクセスを識別・認証する 9. カード会員データへの物理アクセスを制限する |
| ネットワークの定期的な監視 およびテスト | 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 11. セキュリティシステムおよびプロセスを定期的にテストする |
| 情報セキュリティポリシーの維持 | 12. すべての担当者の情報セキュリティに対応するポリシーを維持する |
詳細については、以下を参考にしてください。
出展:PCI_DSS_v3 2_JA-JP_20170816.pdf (pcisecuritystandards.org)
PCIDSSバージョン4について
ここまでは、現行のバージョンである3.2.1について説明してきましたが、
2022年3月31日、PCIデータセキュリティスタンダード(PCI DSS)のバージョン4.0(PCI DSS v4.0)が公開されました。
要件としては、これまでと同様に12要件で纏められています。
主な変更点の概要としては、前回のメジャーバージョンアップ以降に登場した新技術への対応や、新しい攻撃手法への対応等が盛り込まれています。また、認証要件についてもMFA(二要素認証)の義務化も追加されました。
なお、準拠する事業者が、自らのセキュリティ目標に基づき実装手段を設計できるカスタマイズバリデーションの導入や、クラウドサービス利用に関する考え方も導入されています。
現行バージョンの3.2.1については、2024年3月31日に廃止される予定です。
それまでの約2年弱の間は、いずれのバージョンでも評価を受ける事が可能ですが、認証取得が必要な事業者は、それまでの間にバージョンアップによるギャップを把握し、移行計画を策定する必要があります。
なお、技術的に移行が困難であったり、準拠のための負担が重い新要件については、ベストプラクティス要件として2025年3月まで準拠が猶予されるといった事も発表されているようです。
PCIDSSに関する当社対応について
M&Kでは、主に要件6,要件11、要件12に関しての技術的安全対策への対応支援や、脆弱性診断、ペネトレーションテストの実施、および要件全般に関する情報セキュリティマネジメント体制の構築に関するアセスメント、コンサルティング等を実施しています。
経験豊富なコンサルタント、エンジニアが企業のセキュリティ対策に関するお悩みや課題にお応えします。
お気軽にご相談ください。
