検索
連載

PCI DSS最新動向――2020年東京オリンピック/パラリンピックに向けて再注目されるセキュリティ基準PCI DSSの概要とVer3.1改訂箇所の紹介(3/3 ページ)

情報セキュリティ事故の多発や、2020年の東京オリンピック/パラリンピックを目前にし、クレジットカード業界のセキュリティ基準である「PCI DSS」が、あらためて注目を浴びています。本稿では、PCI DSSの概要と、最新版であるVer3.1の改訂内容について解説します。

Share
Tweet
LINE
Hatena
前のページへ |       

PCI DSS改訂の歴史

 PCI DSSは、3年に1回の頻度で見直されます(Ver.2.0までは2年に1回)。従って、2004年12月の初版(Ver1.0)発行後、2006年9月にPCI DSS Ver1.1、2008年10月にPCI DSS Ver1.2と、マイナーチェンジされたバージョンが発行されました。その後は、3年に1回の見直しにより、2010年10月にPCI DSS Ver2.0が発行され、2013年10月にはPCI DSS Ver3.0が発行されています。

 直近のマイナーチェンジは2015年4月に行われました。本稿を公開した2015年10月時点では、「PCI DSS Ver3.1」が最新バージョンです。


図表6 PCI DSS改訂の歴史

 PCI DSSの改訂では、変更の種類を、「Clarification(明確化)」「Additional guidance(ガイダンスの追加)」「Evolving Requirement(要求内容の変更)」に分類しています。

  • Clarification(明確化)
    • 規格を簡潔な言い回しで表現し、要件の目的を明確化するための変更
  • Additional guidance(ガイダンスの追加)
    • 説明や定義、インストラクションの理解を向上させるための変更。あるいは、追加情報を提供したり、特別なトピックスに関するガイダンスを追加したりする変更
  • Evolving Requirement(要件の変更)
    • 市場で新たに既知になった脅威や変化に、確実に対応できるようにするための変更

 Ver3.1の改訂では、Clarificationが、24件、Additional guidanceが4件、Evolving Requirementが4件と、改訂のほとんどが要件の目的の明確化でした。


図表7 PCI DSS Ver3.1の改訂ポイント

Ver3.1の改訂箇所

 Ver3.1における改訂箇所の一部を紹介します。例えば、Evolving Requirementに分類された4つの改訂は、全てがSSLプロトコルに関わる内容でした。

  • 要件2.2.3
    • 安全な技術の一例としてのSSLが削除されました。SSLと初期のTLSはもはや強力な暗号方式とは考えられないため、2016年6月30日以降はセキュリティ管理策として使用することができない旨が注記に追加されました。ガイダンスも追加されています。また、要件の2.3と4.1にも同様の影響があります
  • 要件2.3
    • 安全な技術の一例としてのSSLが削除されました。要件に注記が追加されています
  • 要件4.1
    • 安全な技術の一例としてのSSLが削除されました。要件に注記が追加されています
  • 要件4.1.1
    • 弱い暗号化の例として、SSLの全てのバージョンを認識するように、テスト手順が更新されました

 また、Clarificationでは、以下のような重要な変更がありました。

  • テスト手順3.6.aが適用されるのは、評価対象がサービスプロバイダーの場合のみであることが明確化されました(3.6)
  • アクティブでないユーザーアカウントは、90日以内に削除/無効化しなければならないことが明確化されました(8.1.4)
  • パスワードは少なくとも90日以内に一度は変更する必要があることが明確化されました(8.2.4)
  • 無線スキャンを利用する場合に適用されるテスト手順が明確化されました(11.2)
  • 許可されていない変更に、「緊急性の高いシステムファイルへの変更、追加、削除」などが含まれることが明確化されました(11.5)

 その他変更の詳細や、PCI DSS Ver3.1全文については、PCI SSCサイトから閲覧することができます。

 なお、旧バージョンのPCI DSSに準拠している組織がこれから訪問審査を受審する場合は、PCI DSS Ver3.1の下で評価されることになります。ただし、2016年6月30日までは、「リスクの低減と移行計画」を作成することを条件に、移行のための猶予期間が設けられています。

打川和男(うちかわ かずお)

株式会社アイテクノ 取締役副社長 上席コンサルタント

ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISMS、プライバシーマークに関するコンサルティングに従事。

2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。

2011年より、株式会社アイテクノのコンサルティング事業本部長として情報セキュリティ対策や個人情報保護対策コンサルティング、ISMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。

「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」など、情報セキュリティ、個人情報保護などの著書は20冊を超える。

本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る