カード国際ブランド、マスターカードが語る
PCI DSSはなぜ登場したのか
柏木 恵子
2008/12/26
PCI DSS、6つの目標と12の順守要件
では、具体的にPCI DSSの内容について見ていこう。PCI DSSは、個々の要件が極めて具体的に設定されているのが大きな特徴だ。
I 安全なネットワークの構築・維持
II カード会員データの保護
III 脆弱性を管理するプログラムの整備
IV 強固なアクセス制御手法の導入
V 定期的なネットワークの監視およびテスト
VI 情報セキュリティ・ポリシーの整備
|
| 表1 PCI DSS、6つの目標と12の順守要件 |
例えば要件8に「コンピュータにアクセスする利用者ごとに個別のIDを割り当てること」とあるが、これにはさらに細かく「少なくとも90日ごとに休眠状態のユーザーアカウントを取り除くこと」といった基準があり、日数を明確に規定している。さらには、「少なくとも90日ごとにユーザーのパスワードを変更すること」「最初のパスワードの長さは少なくとも7文字。その7文字はアルファベットと数字を組み合わせなければいけない」といった内容も定められている。
要件9には「カード会員データへの物理的アクセスを制限すること」とあるが、特に廃棄する場合の基準として、ハードコピー資料の廃棄は「クロスカットの裁断、焼却またはパルプ状に溶解」と極めて具体的な基準を示し、電子媒体にカード会員情報がある場合は「電子媒体が再現不可能になるように消去、消磁、裁断または破棄する」となっている。
情報保護のためには、そもそも保護すべきデータを明確にする必要があるが、それを規定しているのが要件3だ。要件は「保存されたカード会員データを安全に保護すること」となっているが、さまざまなカード会員データのうち、保管していいものといけないものを定め、保管する場合には暗号化もしくはそれに代わる方法を取ることとされている。
データ要素 |
保管の可否 |
保護の要請 |
暗号化の要請 |
|
| カード会員データ | カード番号 |
Yes |
Yes |
Yes |
有効期限 |
Yes |
Yes |
No |
|
サービスコード |
Yes |
Yes |
No |
|
カード会員名 |
Yes |
Yes |
No |
|
| センシティブ認証データ | 全磁気ストライプ |
No |
N/A |
N/A |
CVC2/CVV/CID |
No |
N/A |
N/A |
|
暗証番号(PIN) |
No |
N/A |
N/A |
| 表2 PCI DSS、データ保管の可否および保護の要請 |
| 【関連記事】 オール・ザッツ・PCI DSS(2) あの手この手で守るべきカード情報、その中身とは? http://www.atmarkit.co.jp/fsecurity/rensai/pcidss02/pcidss01.html |
このように具体的に定めることで、順守しているのかいないのかをはっきりと峻別(しゅんべつ)でき、中途半端な状態を許さないのがPCI DSSの優れているところだ。企業でセキュリティポリシーを定めるものの、漠然とした目標であるために何をどうすればいいか分からないというケースもあるようだが、笛吹けど踊らずにならないためには、このような基準は参考になるだろう。
また、PCI DSSを実施しているかどうかの検証要件も明確だ。以下の3つの手法が規定されており、取り扱いデータの数やそれまでにセキュリティ事故を起こしたことがあるかなどの基準でレベルが設定され、それに応じて必要な検証方法が決まっている。
- 自己診断(Self-assessment Questionnaire)
- 脆弱性セキュリティスキャン(Network Security Scan)
- 訪問調査(Onsite Reviews)
PCI DSSは厳密であり順守するためにはかなりの負担もかかるが、セキュリティレベルが上がるだけでなく、ブランドイメージやビジネスパートナーからの信頼性も高めることができる。また、支払カードデータが流出した場合、加盟店や情報処理を行う加盟店契約会社はカードブランドに対してペナルティとしての罰金が科せられるが、データ流出時にPCI DSSに準拠していればこれを免除されるという規定になっているため、具体的なメリットもある。
 |
気になるPCI DSSの最新動向
最後に、最近の動向について触れておこう。PCI DSSは2008年10月に改定され、バージョン1.2となった。2009年1月1日からは1.2の基準に基づいて監査することが求められる。ただし、新規の順守基準は設定しておらず、既存の順守要件の明確化と柔軟性の提示を行ったものだ。
PCI DSS準拠へ向けての第一歩として、荒川氏は「カード会員データを保管しているかチェックする」ということを挙げた。つまり、しているかどうか分からないというところが意外と多く、流出して初めて保管していたことに気付くことがあるのが現状だというのだ。これは、一般企業の情報管理についてもよく取りざたされる問題である。そして「保管しているとしたら、暗号化か代替コントロール措置を取っているか確認する」。情報管理の基本事項として、これらの言葉はしっかりと覚えておきたいところだ。
| 【関連記事】 オール・ザッツ・PCI DSS(3) PCI DSS v1.2で注目すべき4つの変更点 http://www.atmarkit.co.jp/fsecurity/rensai/pcidss03/pcidss01.html |
 |
2/2 |
| Index | |
| PCI DSSはなぜ登場したのか | |
| Page1 国際カードブランドがPCI DSSを制定した理由 支払カードデータ流出の現状 |
|
 |
Page2 PCI DSS、6つの目標と12の順守要件 気になるPCI DSSの最新動向 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
