第9回 決済アプリのセキュリティ基準、PA-DSSとは

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2010/2/24

 

　求められる安全策はクレジットカード業界以外でも同じ

　PA-DSSの要件自体はPCI DSSとかけ離れたものではありませんが、アプリケーションやパッチ、アップグレードの配信に関する要件や、実装ガイド、トレーニングに関するものなど、アプリケーション特有の要件も含まれていることが分かると思います。

　本要件が対象となる決済アプリケーションは、POS端末に内蔵されているようなアプリケーションだけでなく、決済に関連するさまざまなアプリケーションです。また、PA-DSS対象にはならなくとも、PCI DSS準拠が求められる加盟店やサービスプロバイダで使用されるアプリケーションであれば、直接PA-DSSに準拠し、リストに掲載される必要はないかもしれませんが、この要件で求められるものと同等のセキュリティ対策が求められると考えられます。PCI DSSに比べて期限に多少猶予はあるものの、アプリケーションの更改などを考えると、決して時間に余裕があるとはいえないでしょう。

　このように、PCI DSSは加盟店やサービスプロバイダだけでなく、決済環境で使用されるアプリケーションやハードウェアに対するセキュリティ基準も存在し、さまざまなステークホルダーによって全体のセキュリティレベル向上が図られています。単純に1企業がセキュリティ対策を行えば十分、というわけではないのは、おそらくクレジットカード業界以外でも同じでしょう。

　セキュリティを専門とする企業で仕事をしている上では、漏えいが起きたら慌てて対策、漏えいが起きてもそれでも隠ぺいしようとする、非常に悲しい現実を目の当たりにします。日本も海外も関係なく、セキュリティ対策はお金がかかる割に効果が目に見えづらく、あと回しになることが少なくありません。しかし適切なリスクマネジメントと費用対効果分析を行えば、効果的なセキュリティ対策を行うことは決して不可能ではありません。

　事故が起きてからあたふた、セキュリティについては何かと他人ごと、という現実の中、このような具体的なセキュリティ対策が示されたフレームワーク、基準が、今日のセキュリティの現状を見直すきっかけになればと思っています。

　最後に、とある企業で見かけた標語を紹介したいと思います。

“セキュリティ、1人1人が責任者”

　1人1人がわが身のことと認識しすることではじめて企業が、そして、1企業1企業がわが身のことと認識することではじめて業界が適切なセキュリティ対策を行えるようになるはずです。ぜひ、これらのセキュリティ基準を徹底活用して、セキュリティレベルの向上を図っていただければ幸いです。

4/4

Index
決済アプリのセキュリティ基準、PA-DSSとは
	Page1 PA-DSSの対象 PA-DSS対応は義務か？
	Page2 PA-DSSの概要 PCI DSSとの違い
	Page3 PA-DSS実装ガイド PA-DSS要件概説
	Page4 求められる安全策はクレジットカード業界以外でも同じ

Profile

川島　祐樹（かわしま　ゆうき） NTTデータ・セキュリティ株式会社 コンサルティング本部　PCI推進室 CISSP NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。 その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）