第1回エンジニアも納得できる“PCI DSS”とは

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2008/9/8

クレジットカード業界から登場した新たなセキュリティ対策基準“PCI DSS”。これは既存のISMSなどの基準と何が違うのでしょうか。PCI DSSの出自、そして利用方法を解説することで、この基準がなぜ登場したのか、そして誰のために登場したのかに迫ります（編集部）

　クレジットカードの情報を守るPCI DSS

　PCI DSSとは、クレジットカード業界で策定された、カード加盟店を中心としたカード会員データを取り扱う事業者が守らなければならないセキュリティ対策基準です。つまり、クレジットカード業界のために、クレジットカード業界の中で作られたセキュリティ基準です。

　クレジットカードを使用する際には、自分のカードが、その店で使用できるのかを店員に聞いたり、カード会社、カードブランドのロゴが羅列されたパネルを見て確認することでしょう。それを思い出していただければすぐにお分かりかと思いますが、1つのカード加盟店で1つのカードブランドしか利用できないというケースはめったにありません。

　つまり、加盟店や、その基盤を支える事業者は、さまざまな種類のクレジットカードを使用できるようにするため、複数のカード会社との契約を行っていることになります。そして、カード会社やカードブランド側からすれば、カード会員情報を取り扱う加盟店には、カード会員情報を適切に守って欲しい、、ということになります。

　しかし加盟店やカード会員情報を取り扱う事業者側からすれば、さまざまなカードブランドからのさまざまな要求に対応するのは容易なことではありません。その一方でクレジットカード情報の盗難やなりすましなどの事故が多く報告されています。そのような、さまざまなカードが1つの店舗で使える、もしくはインターネットを通じて買い物ができる、などの利便性の裏には、一刻も早くセキュリティ対策を施さなければならないという現実があります。

　読者の皆さまは、PCI DSSの説明の冒頭によく書かれている「クレジットカードブランド5社が共同で……」という記述を見て、違和感はありませんでしょうか。互いが競合相手であるクレジットカードブランドが、手を取り合って推進するというのは、それほど切迫した現実に対応する必要がある、と考えているためなのです。

【関連記事】

5分で絶対に分かるPCI DSS
日本でも注目され始めたPCI DSS。金融系という最もセキュリティに厳しい業界からやってきた基準は、意外なほどに具体的で、エンジニアの強力な武器になるスグレモノでした

　PCI DSSをクリアするための3段階の手順

　PCI DSSの説明では、12の要件があり……という話から始まることが多いのですが、もう少し広い定義でとらえると、PCI DSSという大きなセキュリティ基準を基とした3段階の手順が示されています。

（1）自己問診票

　加盟店やサービスプロバイダなど、業態やカード会員情報の取り扱い方に応じて回答しやすいような質問形式になっている、主にYES／NOで回答できる問診票です。これは、加盟店やサービスプロバイダなど、カード会員情報を取り扱う事業者が自ら直接実施します。

（2）脆弱性スキャン

　カード会員情報を取り扱うサーバ、システムがインターネットに接続されている環境において、外部からの脆弱（ぜいじゃく）性を識別するために実施するシステム的な検査です。これはASV（後述）と呼ばれる認定されたスキャンベンダによって実施する必要があります。

（3）訪問調査

　カード会員情報を取り扱う事業者の、カード情報を取り扱う業務について、QSA（後述）と呼ばれる認定された審査機関によって実施されるもので、システム面のみならず、情報セキュリティポリシーや運用、開発、物理面でのセキュリティ対策の実施状況を確認します。

　これら3つ、それぞれについて手順書が公開されており、特にQSAによって訪問調査で使用される審査の手順書では、その訪問調査における確認方法が具体的に記述されており、内容が注目されています。

　加盟店をはじめとするカード会員情報取り扱い事業者は、どこまで確認したのかをカード会社に報告する必要があるのですが、上記3段階のどこまで確認したことを示さなければならないのか、もしくは示すべきなのかが、各カードブランドによって提示されています。各ブランドのプログラムの名前は下記のとおりです。

American Express - Data Security Operating Policy
JCB - JCB Data Security Program
MasterCard Worldwide - Site Data Protection
Visa International - Account Information Security

　主に、脆弱性スキャンはMasterCard WorldwideのSite Data Protectionの枠組みから、訪問調査はVisa InternationalのAccount Information Securityの枠組みからの流れに沿ったものになっています。

図1　PCI DSSのバリデーション手続き

　さて、ここで間違えてはいけないのが、カード情報を取り扱う事業者は自己問診票、脆弱性スキャン、訪問調査のいずれかを行えばよいわけではない、ということです。

　PCI DSSを守る必要があるのは、カード会員情報を取り扱う事業者すべてであり、その確認結果のカード会社への報告方法が、上記の3段階に分かれているだけだということです。例えば、カードブランドの示すプログラムによって、自己問診票と脆弱性スキャンが求められているからといって、それだけを実施するだけでは不十分です。

　PCI DSSで求められている対策は、カードブランドのプログラムで求められているかどうかによらず、実施する必要があるでしょう。法律や契約関係で求められるものが“義務だから”ではなく、やはりカード会員情報を取り扱ううえでのリスクを抑えること、万が一の事態にも備えるという、「本当の」セキュリティ対策を考えなくてはならないのです。

1/3

Index
エンジニアも納得できる“PCI DSS”とは
	Page1 クレジットカードの情報を守るPCI DSS PCI DSSをクリアするための3段階の手順
	Page2 PCI DSSを策定したPCI SSCとは？ PCI DSSの特徴、ISMSの特徴
	Page3 具体性の限界 PCI DSSを有効活用できるのは誰か

オール・ザッツ・PCI DSS 連載インデックス

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。