検索
連載

PCI DSS最新動向――2020年東京オリンピック/パラリンピックに向けて再注目されるセキュリティ基準PCI DSSの概要とVer3.1改訂箇所の紹介(2/3 ページ)

情報セキュリティ事故の多発や、2020年の東京オリンピック/パラリンピックを目前にし、クレジットカード業界のセキュリティ基準である「PCI DSS」が、あらためて注目を浴びています。本稿では、PCI DSSの概要と、最新版であるVer3.1の改訂内容について解説します。

Share
Tweet
LINE
Hatena

PCI DSSのベストプラクティスとしての活用――ISMSの補完としても

 効果的な情報セキュリティマネジメントを実現する上で、多くの組織が採用しているスタンダードの一つが、「ISMS(ISO/IEC27001)」でしょう。ただし、ISMSで規定されているセキュリティコントロールはあくまでも汎用的なものですので、組織によっては、他のガイドラインを併用することで情報セキュリティマネジメントの完備性を向上させています。

 例えば、ISOが発行しているガイドラインには、電気通信業界内の組織に対する情報セキュリティマネジメント導入のためのガイドライン「ISO/IEC 27011:2008」や、金融サービスに対する情報セキュリティ指針である「ISO/IEC27014」など、各業界向けのガイドやテクニカルレポートなどがあります。

 また、最近のITインフラを考慮して、クラウドサービスにおける情報セキュリティのガイドライン「ISO/IEC 27017(開発中)」や、パブリッククラウド上の個人情報の保護に関する実践的規範である「ISO/IEC 27018:2014」なども発行されています。

 PCI DSSも、本来はカード情報保護のための基準ですが、ISMSなどと比較すると要件が具体的に規定されているという特徴がありますので、カード業界に限らず、重要情報を取り扱う産業分野における有効なベストプラクティスの一つであるといえるでしょう。


図表5 ベストプラクティスとしてのPCI DSSの活用

PCI DSSの診断方法と、要件の概要

 PCI DSSへの準拠性の診断には、PCI国際協議会によって認定された審査機関(QSA)による「訪問審査」、PCI国際協議会によって認定されたベンダー(ASV:Approved Scanning Vendor)による「サイトスキャン」、PCI DSSの要求事項に基づいた、アンケート形式による「自己問診」の三つの方法があります。また、PCI DSSへの準拠を維持するためには、1回診断を受けるだけでなく、規定された頻度で、受診を繰り返す必要があります。なお、プログラムの対象や実施頻度は、カード情報の取り扱い規模や事業形態によって異なります。

 PCI DSSでは、準拠性を診断するための6つの基準と、12の要件を規定しています(下表)。さらに、各要件の下には、1.1、1.1.1といったように、さらに細分化された具体的な要件が規定されています。

PCI DSS要件の概要
安全なネットワークとシステムの構築と維持 1. カード会員データを保護するために、ファイアウォールをインストールして維持する
2. システムパスワードおよびその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない
カード会員データの保護 3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持 5. マルウエアにして全てのシステムを保護し、ウイルス対策ソフトウエアを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト 10. ネットワークリソースおよびカード会員データへの全てのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持 12. 全ての担当者の情報セキュリティに対応するポリシーを維持する

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「PC操作が不能になる手口」が増加中 IPAが推奨される対処法を紹介
  5. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  6. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  9. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  10. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
ページトップに戻る