PCI-DSS
掲載:2014年07月05日
用語集
PCI-DSS(Payment Card Industry Security Standard)とは、クレジットカード会員データを安全に取扱うことを目的としてできたカード情報セキュリティの国際統一基準です。国際ペイメントブランド5社(VISA、マスターカード、JCB、アメックス、ディスカバー)が策定しました。
PCI-DSSが想定する対象企業
この基準は、どの組織にも適用することが可能ですが、PCI-DSSが元々想定している主な対象企業は、クレジットカードの加盟店およびサービスプロバイダーです。なお、「サービスプロバイダー」とは、加盟店契約会社(アクワイアラ)やカード発行会社(イシュア)、加盟店、または他のサービスプロバイダーに代わってカード会員データの保管、処理、送信を行う企業のことです。年間のカード取引量が相応の加盟店やサービスプロバイダーは、本基準に基づいてカード管理システムに関する情報セキュリティ体制を構築することが求められます。
PCI-DSSへ適合するためには
PCI-DSSへ適合するためには、カード情報の取扱い形態や規模によって、つぎに示す3つの方法があります。いずれか1つを満たせば十分というわけではなく、カードブランドのプログラムによって、どのような組み合わせを満たす必要があるかが異なってきます。
-
訪問審査 PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得ることが必要です。
-
サイトスキャン PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得ることが必要です。
-
自己問診 PCI-DSS要求事項に基づいたアンケート形式によるチェック項目に回答し、全て「Yes」であれば準拠していると認められます。
PCI-DSSの本文は、PCI国際協議会のサイトから無料でダウンロードできます。
PCI-DSSの構成と特徴
PCI-DSSは約100頁からなり、「12の要件」に基づく章構成になっています。
「12の要件」には、以下のようなものがあります。
【ポイント】
要件 1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件 2:システムパスワード及び他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
要件 3:保存されるカード会員データを保護する
要件 4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
要件 5:すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件 6:安全性の高いシステムとアプリケーションを開発し、保守する
要件 7:カード会員データのアクセスを、業務上必要な範囲内に制限する
要件 8:システムコンポーネントへのアクセスを確認・許可する。
要件 9:カード会員への物理的アクセスを制限する。
要件 10:ネットワークリソース及びカード会員データへのすべてのアクセスを追跡及び監視する
要件 11:セキュリティシステム及びプロセスを定期的にテストする
要件 12:すべての担当者の情報セキュリティに対応するポリシーを維持する
このようにPCI-DSSでは「技術的・具体的に何をすべきか」を明示しています。情報セキュリティの認証基準であるISMS(ISO27001:情報セキュリティマネジメントシステム)に比べても、PCI-DSSはクリアすべきハードルが明確であるため、カード管理を委託する側(カードブランドや顧客)には安心感があります。
「12の要件」には、以下のようなものがあります。
【ポイント】
要件 1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件 2:システムパスワード及び他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
要件 3:保存されるカード会員データを保護する
要件 4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
要件 5:すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件 6:安全性の高いシステムとアプリケーションを開発し、保守する
要件 7:カード会員データのアクセスを、業務上必要な範囲内に制限する
要件 8:システムコンポーネントへのアクセスを確認・許可する。
要件 9:カード会員への物理的アクセスを制限する。
要件 10:ネットワークリソース及びカード会員データへのすべてのアクセスを追跡及び監視する
要件 11:セキュリティシステム及びプロセスを定期的にテストする
要件 12:すべての担当者の情報セキュリティに対応するポリシーを維持する
このようにPCI-DSSでは「技術的・具体的に何をすべきか」を明示しています。情報セキュリティの認証基準であるISMS(ISO27001:情報セキュリティマネジメントシステム)に比べても、PCI-DSSはクリアすべきハードルが明確であるため、カード管理を委託する側(カードブランドや顧客)には安心感があります。
ISMS要件おけるパスワード管理の例
8.1.4少なくとも 90 日ごとに非アクティブなユーザアカウントを削除/無効にする。・・・(省略)
8.2.3パスワード/パスフレーズは以下を満たす必要がある。
- A9.4.3パスワード管理システムは、対話式でなければならず、また、良質なパスワードを確実とするものでなければならない。
8.1.4少なくとも 90 日ごとに非アクティブなユーザアカウントを削除/無効にする。・・・(省略)
8.2.3パスワード/パスフレーズは以下を満たす必要がある。
- パスワードに7文字以上が含まれる
- 数字と英数字の両方を含む
想定対象企業でなくても、十分に有効活用できるPCI-DSS
PCI-DSSで求められるセキュリティ管理策は、守るべき対象がクレジットカードでなくとも、企業として守りたい重要情報であれば、十分に適用できるものです。たとえば、PCI-DSSに規定されている「安全なネットワークの構築と維持」「脆弱性管理プログラムの整備」「強固なアクセス制御手法」などは、カード情報に限らず重要なデータの管理に必須な手法であると言えます。前段でも触れましたように、管理策が具体的に記述されているという点からも、たとえPCI-DSSが元々想定している対象企業でなくても、以下のような方々にとっては実務対応の参考になるでしょう。
- 情報セキュリティへの対応が不十分だと認識しているが、具体的にどこまで対応すればよいのかがよくわからない情報セキュリティ担当者
- 個人情報・顧客情報データベースを管理しており、高いセキュリティを維持する必要があるシステム担当者
- 一通りのセキュリティ対策をも何年か前に完了しきちんと維持管理している社内情報セキュリティ管理担当者、ISMS(ISO27001)事務局