PCI DSS最新動向――2020年東京オリンピック/パラリンピックに向けて再注目されるセキュリティ基準:PCI DSSの概要とVer3.1改訂箇所の紹介(2/3 ページ)
情報セキュリティ事故の多発や、2020年の東京オリンピック/パラリンピックを目前にし、クレジットカード業界のセキュリティ基準である「PCI DSS」が、あらためて注目を浴びています。本稿では、PCI DSSの概要と、最新版であるVer3.1の改訂内容について解説します。
PCI DSSのベストプラクティスとしての活用――ISMSの補完としても
効果的な情報セキュリティマネジメントを実現する上で、多くの組織が採用しているスタンダードの一つが、「ISMS(ISO/IEC27001)」でしょう。ただし、ISMSで規定されているセキュリティコントロールはあくまでも汎用的なものですので、組織によっては、他のガイドラインを併用することで情報セキュリティマネジメントの完備性を向上させています。
例えば、ISOが発行しているガイドラインには、電気通信業界内の組織に対する情報セキュリティマネジメント導入のためのガイドライン「ISO/IEC 27011:2008」や、金融サービスに対する情報セキュリティ指針である「ISO/IEC27014」など、各業界向けのガイドやテクニカルレポートなどがあります。
また、最近のITインフラを考慮して、クラウドサービスにおける情報セキュリティのガイドライン「ISO/IEC 27017(開発中)」や、パブリッククラウド上の個人情報の保護に関する実践的規範である「ISO/IEC 27018:2014」なども発行されています。
PCI DSSも、本来はカード情報保護のための基準ですが、ISMSなどと比較すると要件が具体的に規定されているという特徴がありますので、カード業界に限らず、重要情報を取り扱う産業分野における有効なベストプラクティスの一つであるといえるでしょう。
PCI DSSの診断方法と、要件の概要
PCI DSSへの準拠性の診断には、PCI国際協議会によって認定された審査機関(QSA)による「訪問審査」、PCI国際協議会によって認定されたベンダー(ASV:Approved Scanning Vendor)による「サイトスキャン」、PCI DSSの要求事項に基づいた、アンケート形式による「自己問診」の三つの方法があります。また、PCI DSSへの準拠を維持するためには、1回診断を受けるだけでなく、規定された頻度で、受診を繰り返す必要があります。なお、プログラムの対象や実施頻度は、カード情報の取り扱い規模や事業形態によって異なります。
PCI DSSでは、準拠性を診断するための6つの基準と、12の要件を規定しています(下表)。さらに、各要件の下には、1.1、1.1.1といったように、さらに細分化された具体的な要件が規定されています。
| 安全なネットワークとシステムの構築と維持 | 1. カード会員データを保護するために、ファイアウォールをインストールして維持する 2. システムパスワードおよびその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない |
|---|---|
| カード会員データの保護 | 3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
| 脆弱性管理プログラムの維持 | 5. マルウエアにして全てのシステムを保護し、ウイルス対策ソフトウエアを定期的に更新する 6. 安全性の高いシステムとアプリケーションを開発し、保守する |
| 強力なアクセス制御手法の導入 | 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する 8. システムコンポーネントへのアクセスを識別・認証する 9. カード会員データへの物理アクセスを制限する |
| ネットワークの定期的な監視およびテスト | 10. ネットワークリソースおよびカード会員データへの全てのアクセスを追跡および監視する 11. セキュリティシステムおよびプロセスを定期的にテストする |
| 情報セキュリティポリシーの維持 | 12. 全ての担当者の情報セキュリティに対応するポリシーを維持する |
Copyright © ITmedia, Inc. All Rights Reserved.