第1回 エンジニアも納得できる“PCI DSS”とは
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2008/9/8
PCI DSSを策定したPCI SSCとは?
PCI SSCとは、Payment Card Industry Security Standards Councilの頭文字を取った呼称で、アメリカ合衆国にオフィスを置くクレジットカードブランド5社が共同で設立したPCI DSSなどのグローバルなセキュリティ基準を策定、運用する機関です。ここでの5社とは、American Express、JCB、MasterCard Worldwide、Visa Internationalに、アメリカ国内で普及しているDiscoverを含んだものです。PCI SSCによって運用されているセキュリティ基準は現在下記の3種類があります。
- PCI DSS(Payment Card Industry Data Security Standard)
カード会員データを取り扱う事業者向けのセキュリティ基準
- PA-DSS(Payment Application Data Security Standard)
カード会員データを取り扱うアプリケーション向けのセキュリティ基準
- PED(Pin Entry Device)
PIN入力装置に対するセキュリティ基準
PCI DSSの部分に関する関係機関と、その役割を以下に示します。
- PCI SSCの役割
- PCI DSSを策定、運用する
- QSAに対してトレーニングを提供、および認定を行う
- ASVに対してテストを提供、および認定を行う
- QSA(Qualified Security Assessor、認定審査機関)の役割
- 訪問調査を行う
- 是正計画のフォローアップを行う
- ASV(Approved Scanning Vendor、認定スキャンベンダ)の役割
- 脆弱性スキャンを行う
PCI SSCでは、上記の基準の策定と運用、およびスキャンや訪問調査を行う機関のトレーニング、認定などを行っています。また、一般の企業でも、参加企業としてPCI SSCの活動に参加できます。PCI DSSに関しては、あくまで基準を運用しているのみで、PCI DSS準拠の企業の認定や管理は行っていません。
PCI DSSの特徴、ISMSの特徴
PCI DSS関連の文書は、英語のみのものもありますが、これらはすべて公開されていますので誰でも参照できます。ここでは、日本で広く普及しているISMS(情報セキュリティマネジメントシステム)との比較で、その特徴を説明したいと思います。
ISMSはその名のとおり、マネジメントシステムの構築が主たる目的で、リスク管理を行い、事業の維持、安定を図るものです。PDCA(Plan-Do-Check-Act)を確立する、つまり適切なセキュリティ対策を計画、実施、チェック、修正していくためのフレームワークで、有効性の評価、費用対効果の確認も重要となります。適用宣言書と情報セキュリティポリシーが最重要ということになります。
PCI DSSでは、情報セキュリティポリシーや事業継続計画、インシデントレスポンス計画などについても言及されていますが、特にサーバやネットワーク機器をはじめとした「現場」におけるセキュリティ対策が多く、具体的に記載されていることが特徴です。もともと相互に関係があるものではないため、重複する部分もありますが、基本的には、ISMSはマネジメントシステムの構築といったPDCAを回すためのフレームワーク作り、PCI DSSは具体的な対策項目として、両立させることで相互に補完され、よりよいセキュリティ対策を実施できます。
図2 ISMSとPCI DSSの関係 |
PCI DSSが具体的であるということについては、さまざまなところで取り上げられていますが、では実際にどのように具体的であるのかをここで紹介します。
2.1.1 ワイヤレス環境のベンダのデフォルト設定について、次の項目を確認する。
|
そもそも無線技術について、PCI DSSでは「無線技術のセキュリティは成熟しておらず、ほかに選択肢があれば使うべきではない」という考え方ですので、特に詳細な要求がされているともいえるのですが、そのまま無線LANのセキュリティ対策の手順書に使えるほど具体的に書かれており、PCI DSSの特徴がよく出ている要件となっています。
2/3 |
Index | |
エンジニアも納得できる“PCI DSS”とは | |
Page1 クレジットカードの情報を守るPCI DSS PCI DSSをクリアするための3段階の手順 |
|
Page2 PCI DSSを策定したPCI SSCとは? PCI DSSの特徴、ISMSの特徴 |
|
Page3 具体性の限界 PCI DSSを有効活用できるのは誰か |
オール・ザッツ・PCI DSS 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|