第9回 決済アプリのセキュリティ基準、PA-DSSとは

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2010/2/24

　PA-DSSの概要

　PA-DSSに関連する文書のうち、重要な文書は以下の3つです。

1. PA-DSS 要件とセキュリティ評価手順（Payment Application Data Security Standard Requirements and Security Assessment Procedures）
2. PCI DSS 要件とセキュリティ評価手順（Payment Card Industry Data Security Standard Requirements and Security Assessment Procedures）
3. PA-DSS Program Guide

　「PA-DSS要件とセキュリティ評価手順」は、実際に対応すべき要求事項が書かれています。また、PA-DSSの要件の中には、PCI DSSを参照し“PCI DSSの要件x.xに対応すること”といった形で記載されている個所があることから、PCI DSSも参照する必要が出てきます。

　「PA-DSS Program Guide」には、開発ベンダ、PA-DSSアプリケーション評価を行うPA-QSA、およびPA-QSAが審査を行った結果の報告書をレビューし、PA-DSS対応アプリケーションをリストに掲載するPCI SSCを含めたPA-DSSプログラムについて記載されています。PA-DSS対応アプリケーションリスト掲載を目指し、決済アプリケーションを準拠させる場合には非常に重要な文書となります。今回はPA-DSSセキュリティ評価手順の内容について抜粋し、決済アプリケーションがどのような要件に対応すべきかに焦点を当てたいと思います。

　PA-DSSは、以下の14要件からなります。

1. 完全な磁気ストライプ、カード検証コードまたは値（CAV2、CID、CVC2、CVV2）、またはPINブロックデータを保存しない
2. 保存されるカード会員データの保護
3. 安全な認証機能の提供
4. ペイメントアプリケーションの動作のログ
5. 安全なペイメントアプリケーションの開発
6. ワイヤレス送信の保護
7. 脆弱性への対応に関するペイメントアプリケーションのテスト
8. 安全なネットワーク実装の促進
9. カード会員データをインターネット接続のサーバに保存してはならない
10. 安全なリモートソフトウェア更新の促進
11. ペイメントアプリケーションへの安全なリモートアクセスの促進
12. 公共ネットワークでのセンシティブトラフィックの暗号化
13. すべてのコンソール以外の管理アクセスの暗号化
14. 顧客、リセラー、インテグレータ向けの指示文書とトレーニングプログラムの保守

　PA-DSSセキュリティ評価手順の文書には、この14要件に加えて、3つの付録文書が含まれています。

• 付録A：PA-DSS実装ガイドの内容の要約
• 付録B：PA-DSS評価用テストラボラトリ構成確認書
• 付録C：検証証明書

　付録Aは、PA-DSSの14要件にちりばめられている「実装ガイド」が抜粋してまとめられているので、実環境向けの実装ガイドを作成する際に役立つものです。実装ガイドについては後述します。

　付録Bは、PA-DSSに基づくアプリケーションの評価を行う際のテスト環境について記載し、PA-DSSのレポートと一緒に提出すべきものです。PA-DSSに対応したアプリケーションは、PCI DSSに準拠した環境で稼働しなければならないため、PA-DSS評価が“PCI DSS環境で適切に稼働すること”を適切に保証するために確認する、テスト環境向けの「要件」と考えてよいでしょう。これはPA-QSAが記述しますが、評価を行う環境についての確認項目なので、開発ベンダの協力が必要となります。

　付録Cは、英語名でAttestation of Validationといい、「準拠を確認した」ことを示す証明書です。これもPA-DSSの評価結果レポートと一緒に提出する必要があります。また、PA-QSAと開発ベンダの責任者による署名が必要です。

　この14要件には、本連載を読んでいただいている方にとっては見覚えのある文言がたくさんあるのではないかと思います。逆に見覚えのないものとして、要件14の「顧客、リセラー、インテグレータ向けの指示文書とトレーニングプログラムの保守」があります。この要件では、ベンダが、顧客（加盟店など）やリセラー、インテグレータ（加盟店に実際に販売や導入を行う企業）向けに、適切にPCI DSSに準拠した形で決済アプリケーションを導入するための文書やトレーニングを作成、管理、実施することを求めているものです。

　この要件にはPCI DSSと同じような文言が並んでいますが、順番がだいぶ異なります。PCI DSSと違い、PA-DSSでは重要となる要件を先頭に並んでいると筆者は考えています。特にセンシティブ認証データの不保持や、カード会員番号などの暗号化を徹底しなければならないという「重要性」が順序に表れていると考えています。

　PCI DSSとの違い

　PCI DSSの対象が企業、環境であるのに対し、PA-DSSの対象は決済アプリケーション、もしくはその開発ベンダなので、当然、書かれている要件の性格が違います。要件の内容以前に、重要な違いがあります。それは「代替コントロールが認められない」ということです。

　PCI DSSでは、ビジネス上もしくは技術上のやむを得ない理由がある場合に限り、同等以上の対策を施すことで代替コントロールとして定義し、対応済みとします。しかし、PA-DSSでは、代替コントロールの考え方が認められないため、1項目だけでも対応できない項目があれば、準拠できないことになります。

　もちろん、対策を行いようがない場合もあります。PA-DSSではWeb上の決済アプリケーションなども対象とすることがあり、OWASPガイドラインに記載されている脆弱性を排除することが求められますが、Webインターフェイスの存在しない決済アプリケーションでは対応のしようがありません。そのような場合は、N/A（Not Applicable、該当しない）となります。事実をねじまげて無理やりN/Aにしてはいけません。

　また、もう1つの重要な違いとしては、PA-DSSのレポートはPCI SSCが最終的なレビューを行い、不足点があれば突き返されることがあります。あまりにレポートの書きぶりがひどいと最悪の場合、PA-QSAの資格がはく奪されることもあり得ます。

　では、十分に求められるレベルとはどのようなものなのでしょうか。それはずばり「100％」です。100％のレポートを書き続けることで、PA-QSAが提出するレポートのPCI SSCによるレビュー範囲が狭まることになります。

　このように、アプリケーションを評価し、レポートを提出するPA-QSAに対しても、極めて高い品質が求められます。PCI DSSにも同等の品質が求められていますが、現状、QSAが行うPCI DSS審査と、そのレポートについてはPCI SSCがすべてレビューを行うわけではないため、品質の低い評価をする、おかしな評価を行うQSAも存在するようです。QSAやPA-QSAに対しては、今後もより高い品質が求められていくでしょう。そんな中、現実と基準で求められる品質・セキュリティレベルのギャップにはいつも悩まされます。ひと言でいうと、現実のセキュリティレベルは予想以上に低いのです。

　もう1つ大きな違いとして挙げられるのは、「PA-DSS実装ガイド」です。開発を行うベンダとは別に、加盟店やサービスプロバイダの実環境に実装を行うときに、安全な形で実装が行うためのマニュアルの作成と、トレーニング提供が求められます。

2/4

Index
決済アプリのセキュリティ基準、PA-DSSとは
	Page1 PA-DSSの対象 PA-DSS対応は義務か？
	Page2 PA-DSSの概要 PCI DSSとの違い
	Page3 PA-DSS実装ガイド PA-DSS要件概説
	Page4 求められる安全策はクレジットカード業界以外でも同じ

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）