第1回 エンジニアも納得できる“PCI DSS”とは

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2008/9/8

---

　具体性の限界

　具体的であるということは、参考にしやすく、そのまま当てはめられればそれに越したことはありません。しかし、システムの種類や状態によっては、下手に設定項目やその値を明記されてしまうと、適用しようにもどうにもならないことがあります。例えば、PCI DSSの要件8.5.10では、このような確認が求められます。

8.5.10 システムコンポーネント、基幹サーバ、無線アクセスポイントのサンプルについて、システム設定を調査し、パスワードのパラメータ設定で最小7文字以上のパスワード長が必要となっていることを確認する。

　つまり、Windowsであればポリシー設定、UNIX系OSであればPAMなどの設定を調査し、システム上、7文字以上のパスワードが強制されているかを確認するということです。しかし、OS、アーキテクチャによっては、必ずしもそのようなシステム上の強制を行えるとは限りませんし、そもそもパスワードは6けたまでしか設定できない、などという場合もあるでしょう。

　具体的に記載されているからといって、良いことだけではないのがお分かりいただけたでしょうか。そういった場合にどのように対応すべきかは、やはり自分たちのシステムや運用など、環境に応じて自ら考えなくてはなりません。

　PCI DSSを有効活用できるのは誰か

　PCI DSSは前述のとおり、クレジットカード情報をどう守るかを示したものですが、クレジットカードの会員番号や暗証番号など、個々の要素に関する対策だけではなく、一般的なシステム設定の情報が多く含まれています。特に、企業が扱う重要な情報は、クレジットカードの会員情報だけではなく、個人情報をはじめとしてさまざまなものがあります。そのような情報を守るために、適切な対策が施されているのか、また、不足していればどのように対策をすればよいのかを確認するとき、PCI DSSのように具体的でまとまったセキュリティ対策のガイドラインはいままでありませんでした。

　基準といわれると「義務なのだろうか？」「また面倒なもの（お金がかかるもの）が出てきた」と感じる方も多いと思いますが、その必要はまったくありません。無駄なく不足なく、セキュリティ対策を実施するためのガイドラインとして、カード会員情報を持っていない企業であっても、大いに有効活用できるはずです。

　PCI DSSの内容は、量も多く、一見すると難解な記述も存在します。しかしその要件の裏には必ず、本当の意味でのセキュリティの考え方がありますから、すぐにでも実際に適用して効果を発揮する利点と、その根底にある考え方を身に付けられるという利点、両方のメリットを同時に得るためにも、有効利用していただければと思います。

3/3

Index
エンジニアも納得できる“PCI DSS”とは
	Page1 クレジットカードの情報を守るPCI DSS PCI DSSをクリアするための3段階の手順
	Page2 PCI DSSを策定したPCI SSCとは？ PCI DSSの特徴、ISMSの特徴
	Page3 具体性の限界 PCI DSSを有効活用できるのは誰か

Profile

川島　祐樹（かわしま　ゆうき） NTTデータ・セキュリティ株式会社 コンサルティング本部　PCI推進室 CISSP NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。 その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）