第1回 エンジニアも納得できる“PCI DSS”とは


川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP

2008/9/8

 PCI DSSを策定したPCI SSCとは?

 PCI SSCとは、Payment Card Industry Security Standards Councilの頭文字を取った呼称で、アメリカ合衆国にオフィスを置くクレジットカードブランド5社が共同で設立したPCI DSSなどのグローバルなセキュリティ基準を策定、運用する機関です。ここでの5社とは、American Express、JCB、MasterCard Worldwide、Visa Internationalに、アメリカ国内で普及しているDiscoverを含んだものです。PCI SSCによって運用されているセキュリティ基準は現在下記の3種類があります。

  • PCI DSS(Payment Card Industry Data Security Standard)
    カード会員データを取り扱う事業者向けのセキュリティ基準

  • PA-DSS(Payment Application Data Security Standard)
    カード会員データを取り扱うアプリケーション向けのセキュリティ基準

  • PED(Pin Entry Device)
    PIN入力装置に対するセキュリティ基準

 PCI DSSの部分に関する関係機関と、その役割を以下に示します。

  • PCI SSCの役割
    • PCI DSSを策定、運用する
    • QSAに対してトレーニングを提供、および認定を行う
    • ASVに対してテストを提供、および認定を行う
  • QSA(Qualified Security Assessor、認定審査機関)の役割
    • 訪問調査を行う
    • 是正計画のフォローアップを行う
  • ASV(Approved Scanning Vendor、認定スキャンベンダ)の役
    • 脆弱性スキャンを行う

 PCI SSCでは、上記の基準の策定と運用、およびスキャンや訪問調査を行う機関のトレーニング、認定などを行っています。また、一般の企業でも、参加企業としてPCI SSCの活動に参加できます。PCI DSSに関しては、あくまで基準を運用しているのみで、PCI DSS準拠の企業の認定や管理は行っていません。

 PCI DSSの特徴、ISMSの特徴

 PCI DSS関連の文書は、英語のみのものもありますが、これらはすべて公開されていますので誰でも参照できます。ここでは、日本で広く普及しているISMS(情報セキュリティマネジメントシステム)との比較で、その特徴を説明したいと思います。

 ISMSはその名のとおり、マネジメントシステムの構築が主たる目的で、リスク管理を行い、事業の維持、安定を図るものです。PDCA(Plan-Do-Check-Act)を確立する、つまり適切なセキュリティ対策を計画、実施、チェック、修正していくためのフレームワークで、有効性の評価、費用対効果の確認も重要となります。適用宣言書と情報セキュリティポリシーが最重要ということになります。

 PCI DSSでは、情報セキュリティポリシーや事業継続計画、インシデントレスポンス計画などについても言及されていますが、特にサーバやネットワーク機器をはじめとした「現場」におけるセキュリティ対策が多く、具体的に記載されていることが特徴です。もともと相互に関係があるものではないため、重複する部分もありますが、基本的には、ISMSはマネジメントシステムの構築といったPDCAを回すためのフレームワーク作り、PCI DSSは具体的な対策項目として、両立させることで相互に補完され、よりよいセキュリティ対策を実施できます。

図2 ISMSとPCI DSSの関係

 PCI DSSが具体的であるということについては、さまざまなところで取り上げられていますが、では実際にどのように具体的であるのかをここで紹介します。

2.1.1 ワイヤレス環境のベンダのデフォルト設定について、次の項目を確認する。
WEPキーがインストール時のデフォルト値から変更されている。また、WEPキーを知る人物が退社もしくは異動する際に、その都度WEPキーが変更されている
SSIDがデフォルト値から変更されている
SSIDのブロードキャストが無効化されている
アクセスポイントのSNMPコミュニティ文字列が、デフォルト値から変更されている
アクセスポイントのパスワードがデフォルト値から変更されている
無線システムがWPA対応の場合、WPAまたはWPA2が有効になっている
そのほか、セキュリティに関連する無線ベンダによるデフォルト値から変更されている

 そもそも無線技術について、PCI DSSでは「無線技術のセキュリティは成熟しておらず、ほかに選択肢があれば使うべきではない」という考え方ですので、特に詳細な要求がされているともいえるのですが、そのまま無線LANのセキュリティ対策の手順書に使えるほど具体的に書かれており、PCI DSSの特徴がよく出ている要件となっています。

2/3

Index
エンジニアも納得できる“PCI DSS”とは
  Page1
クレジットカードの情報を守るPCI DSS
PCI DSSをクリアするための3段階の手順
Page2
PCI DSSを策定したPCI SSCとは?
PCI DSSの特徴、ISMSの特徴
  Page3
具体性の限界
PCI DSSを有効活用できるのは誰か


オール・ザッツ・PCI DSS 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間