1.概要(本コラムでお伝えしたいこと)
・セキュリティ基準としての PCI DSS(Payment Card Industry Data Security Standard)の活用について
PCI DSS 準拠を順守すべき立場の方から、この基準への準拠対応をすること、また準拠環境を維持することがとても大変であるとお聞きします。それは PCI DSS の要件が、クレジットカード情報に対するシステム全体でのセキュリティコントロールを考えつつ、その状況確認への細かい対応まで要求されており、かつ準拠状況に対する監査があるため、と思います。
一方で、ここまで基準が明示化されていることを鑑みると、PCI DSS はクレジットカード情報保護の観点だけでなく、システムやサービスのセキュリティ基準の参照先として活用できる部分も多くあります。セキュリティ基準としてPCI DSS を参考にできると考える理由は以下の通りです。
| 理由1. | システムへのセキュリティ要求の基準として、何をどのように(どこまで)確認すべきか、明示されていること |
| 理由2. | セキュリティ全体への網羅性(システムの対応とポリシーの一貫性)を確認できること |
| 理由3. | PCI DSS が、過去のセキュリティインシデントの分析から研鑽された「ベストプラクティス型」であること (要求する根拠や理由があること) |
| 理由4 | 監査時の確認視点が記載されていること |
本コラムでは、PCI DSS 準拠対応および運用の経験がある筆者が、これまで PCI DSS 準拠に向き合った知見と、そこから派生したメリットなどをもとに、該当する企業やご担当者の方にセキュリティの基準の一部としてご推奨できればと思います。
注:
本コラムでは、PCI DSS の各要件への準拠への手段詳細については触れません。ただし、これから PCI DSS 準拠を目指す方や、その後の運用に携わる方にとって、体制整備による効果や他視点での利活用への整理の一助になるのでは、と考えております。
2.PCI DSS とは
PCI DSS の成り立ちや目的については、インターネット上に多くの情報があるため、詳細は割愛しますが、現在のクレジットカード情報の保護に対するグローバルスタンダードと考えられております。
・PCI DSS 概要
国際カードブランド 5 社により設立されたPCI Security Standards Council(PCISSC)によって「PCI セキュリティ基準」として定義されたものの 1 つ。Payment Card Industry Data Security Standard の略。
カード情報を取り扱う全ての事業者に対して国際カードブランドが共同で策定したデータセキュリティの国際基準。今回取り上げるデータセキュリティ基準(DSS)のほかに、ペイメントアプリケーションデータセキュリティ基準(PA-DSS)、および暗証番号入力デバイス(PED)要件などがあります。
※ https://pcisecuritystandards.org/minisite/en/about.phpより抜粋し、意訳。
補足:
2020 年 11 月に PCI SSC の Strategic Member として Union Pay(中国銀聯)が参加、今後は銀聯カードについても、カード決済基準やセキュリティルールの統一性がグローバル基準で整備されることが期待されます。
・日本における割賦販売法と PCI DSS について
日本では、経済産業省が管轄する割賦販売法において、関連する各セキュリティ(クレジットカード情報保護対策、対面取引や非対面取引の不正利用対策分野における)の考え方を記した「クレジットカード・セキュリティガイドライン」として発行されています。このガイドラインでは、クレジットカード情報保護対策について、「クレジットカード番号等の適切管理義務者は、クレジットカード取引の関係事業者が講ずべきセキュリティとして PCI DSS 準拠(又はそれと同等以上の措置)※ が求められる(加盟店は、非保持化の対応を対策とする。)」と定められています。クレジットカード情報を保存、処理、または伝送するシステムやその範囲に該当するビジネス従事者においては、事実上の法律要件および業界のセキュリティ基準として PCI DSS が参照されます。また PCI DSS 準拠において、維持・運用することが含まれており、割賦販売法の順守における PCI DSS は重要な位置付けとなります。
※以降の「PCI DSS 準拠」の記載には「PCI DSS 準拠又はそれと同等以上の措置」を含む表記となります。
補足:
令和 2 年 6 月に成立した「改正割賦販売法の一部を改正する法律」の施行に伴い、割賦販売法施行令・施行規則の改正関係政省令について、改正割賦販売法とともに令和 3 年 4 月 1 日に施行。それに伴い、令和 3 年 3 月 10 日「クレジットカード・セキュリティガイドライン」の内容が[2.0 版]に改訂されました。
クレジットカード・セキュリティガイドライン[2.0 版]の特長 1:
1.0 版では記述が曖昧だった EC モールや、EC システムを提供する事業者を「決済代行業者等」に定義され、アクワイアラーとの契約有無にかかわらず、EC 事業者向けにシステムや ASP / SaaS 事業者を提供する立場においても、決済代行業者等の定義に該当する場合は、PCI DSS を理解し、 PCI DSS 準拠の対応する必要がございます。
クレジットカード・セキュリティガイドライン[2.0 版]の特長 2:
本人認証の強化策としての「EMV3D セキュア(3DS2.0)の推進」、多要素認証としての「多面的・重層的な対策の再徹底」が強調されました。
クレジットカード・セキュリティガイドラインにて求められる指針対応として PCI DSS 準拠等が要求される主体者例
| ・加盟店 | ➡ | カード情報を保持しない非保持化、または PCI DSS 準拠が求められる |
| ・クレジットカード会社 (イシュアー・アクワイアラー) | ➡ | PCI DSS 準拠が求められる |
| ・決済代行事業者等 (PSP、QR コード決済事業者、EC モール、EC システム提供会社) | ➡ | PCI DSS 準拠が求められる |
| ・ソリューションベンダー、POS ベンダー、決済端末ベンダー | ➡ | 必要に応じて PCI DSS 準拠が求められる |
| ・行政、業界団体 | ➡ | PCI DSS を含むカード情報保護対策の必要性の周知活動、関係者や事業者向けの情報発信が求められる |
https://www.j-credit.or.jp/security/safe/plan.html より抜粋、アイビーシーにて加筆。
3.PCI DSS の基準の参照をご推奨したいケースについて
PCI DSS は「クレジットカード情報の保護に特化した基準であること」ではありますが、その具体性を持った各要件項目や評価の視点および評価手法は、以下のような企業や業務状況に該当する方にとっても、参照していただくことでセキュリティ対策として参考となる箇所が多く見られると考えています。
以下、具体的な例を挙げます。
A.上記主体者とシステム面で取引がある企業
・SIer で下記に該当する場合
・決済を伴うシステム開発(例:ショッピングカートツールのような ASP / SaaS や ECモール / 購入プラットフォーム機能を提供するサービスを使用)
※ EC モール、EC システムの提供事業者には、クレジットカード・セキュリティガイドライン[2.0 版]の「決済代行業者等」に定義される場合、PCI DSS 準拠が求められる。
・決済を伴うシステムへの保守やセキュリティパッチ業務
・EC サイトの運用代行(BPO)
・EC サイト / ECシステムの監視、管理代行(MSP)
B.セキュリティ対策を推進、運用している方
特に、ISMS(ISO27001/27017)や P マーク(ISO15001、PMS)の運用や内部監査にかかわる場合
C.システムやシステム開発のセキュリティ基準を定めたい方
特に、外部委託先のセキュリティチェックやガイドラインの整備に携わる場合
D.システムのセキュリティ対応の運用や判定業務に携わる方
・下記のセキュリティ業務対応時
・脆弱性スキャン(内部、外部)
・ペネトレーションテスト(内部、外部)
・セグメンテーションの有効性確認
・Web アプリケーションの脆弱性スキャン
・脆弱性管理におけるパッチ適用の判定
・緊急性の高い脆弱性に対するパッチ適用の判定
E.クラウドサービスから提示される「責任共有モデル」を前提とした環境で、自社のセキュリティ業務の運用範囲を理解されたい方
F.カード情報非保持化対応済みの加盟店
特に、カード情報漏えい時以外のセキュリティインシデント発生時における、原因分析やセキュリティ対策の見直し時の基準として。
これらに該当する立場の方が、PCI DSS をどのように捉えて参照することが可能なのか、PCI DSS の特長を踏まえて以下に記載します。
4.PCI DSS(ver.3.2.1)の特長と、活用の可能性について
PCI DSS のセキュリティ基準は、目指す目標とそれに対する要求内容が構成されています。主な特長は以下の 3 点です。
特長 1.6 つの統制目標と、それに関する 12 のデータセキュリティ要件に整備されていて、カテゴリー毎にセキュリティ対策面の弱点(抜け・漏れ)が無いか、セキュリティポリシーとの不一致が無いかを確認しやすい。
| 6 つの統制目標 | 目標に関する 12 のデータセキュリティ要件 |
| 1.安全なネットワークとシステムの構築と維持 | 要件 1 .カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 要件 2 .システムパスワードおよびその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない |
| 2.カード会員データの保護 | 要件 3.保存されるカード会員データを保護する 要件 4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
| 3.脆弱性管理プログラムの維持 | 要件 5.すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する 要件 6.安全性の高いシステムとアプリケーションを開発し、保守する |
| 4.強力なアクセス制御手法の導入 | 要件 7.カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件 8.システムコンポーネントへのアクセスを識別・認証する 要件 9.カード会員データへの物理アクセスを制限する |
| 5.ネットワークの定期的な監視およびテスト | 要件 10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 要件 11.セキュリティシステムおよびプロセスを定期的にテストする |
| 6.情報セキュリティポリシーの維持 | 要件 12.すべての担当者の情報セキュリティに対応するポリシーを維持する |
上記の表にある通り、統制目標ではシステムのセキュリティ基準定義を前提としたベーシックな項目を掲げており、その目標に対するセキュリティ要件が定められています。範囲について網羅性があり、その内容に対して、自社で定める情報セキュリティポリシーとの整合性が取れていることも求められています。
特長 2.詳細要件(PCI DSS 要件)と準拠の確認方法が細かく定義されている
データセキュリティ基準の詳細要件(PCI DSS 要件)とその確認項目(テスト手順)が要件 1 から 12 に対して、約 400 項目も細かく定められています。またそのすべての項目に対して、監査時の確認視点(テスト手順)が記載されており、何をクリアすべきかが明示されています。
特長 3.準拠した企業が、準拠したことを開示するケースが多い
日本ではPCI DSSを準拠した企業が、経済産業省の「登録クレジットカード番号等取扱契約締結事業者一覧」へ社名を掲載したり、ホームページなどで準拠の認定を受けたことをプレスリリースなどで提示されることが多いです。そのため、これらの企業は、「PCI セキュリティ基準を順守している企業」の実例として公表されていることとなり、安心の基準として見ることができます。
これらの特長を鑑みると、先ほどの A から F に挙げた企業や担当者にとっては、普段の業務における「セキュリティ対策に関わる作業」が PCI DSS の要求項目に該当するケースと重複したり、セキュリティ基準を順守する(または従業員に順守を推奨する)際のルールを補完できる内容も多いのでないか、と推察されます。
PCI DSS は、読み込むための情報量が非常に多い基準ですが、定められている内容は非常にスタンダードなものが多いこと、また過去のセキュリティインシデントの分析から研鑽された「ベストプラクティス型」であること、という点を含めて、自社のセキュリティ対策強化において参考すべき部分が多いのではないでしょうか。
補足:
PCI DSS の入手および要件へのセキュリティ評価手順(テスト手順)の見方
- PCI DSS(ver.3.2.1)の入手
PCI SSC 日本語サイト ドキュメントライブラリより、PCI DSS をダウンロード
- まず、6 つの統制目標とそれに関する 12 のデータセキュリティ要件がどのようなカテゴリーに分類されているかを確認する
- 次に各要件を参照する
・要件として求められる大項目 → X.X
・その大項目を満たすために確認する中項目 → x.x.x - それを満たすことを確認する評価の視点(テスト手順)を確認する
- 要件やテスト手順の内容の理解を補足する情報(ガイダンス)を参照する
- テスト手順の内容を確認できるエビデンス(設定情報、規程などの文書、実施記録)が提示できるか、を項目ごとに確認をしていく。
5.前編まとめ
前編では、PCI DSS の理解を必須とする方だけでなく、ご参考いただきたいご推奨の立場の方や企業を対象に、PCI DSS を参考するメリットについて説明しました。
後編では、PCI DSS を準拠し維持運用をする方向けに、12 のデータセキュリティ要件に対応する際の考え方(検討時のアウトラインの整理)の例と、アイビーシーがご提供する PCI DSS 準拠向けのセキュリティソリューションをご紹介いたします。
by プロダクト & サービス統括部 ソリューションサービス部
