@IT セキュリティソリューション Live! in Tokyoレポート
PCI DSSは“北極星”に向かうためのツールだ!
宮田 健
@IT編集部
2010/3/26
PCI DSSのような“具体的”な指標が、なぜ問題を起こすのか。@IT編集部主催セミナーで行われた基調講演から、この基準の課題を探ろう(編集部)
クレジットカードブランドが作った、クレジットカード業界向けの基準「PCI DSS」(Payment Card Industry Data Security Standard)。アメリカではすでにPCI DSS準拠を州法で制定されている地域もあり、対応が進んでいるといえよう。しかし「PCI DSS準拠の企業による漏えい事件」も発生しており、どこまでの有効性があるかを試される時期に来たともいえる。そのPCI DSS、日本ではどう付き合っていくべきなのだろうか。
2008年12月に開催した第1回に続き、@IT編集部主催としては2回目となるPCI DSS関連セミナー「企業の脆弱性をスキャンせよ〜PCI DSSの現場に学ぶセキュリティの作り方〜」で行われた基調講演の様子をレポートしよう。
日本のPCI DSSを創る「日本カード情報セキュリティ協議会」
日本カード情報セキュリティ協議会 (NRIセキュアテクノロジーズ) 矢野 淳氏 |
基調講演「セキュリティ管理者のための“PCI DSSとの付き合い方”」は、日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:以下、JCDSC)会員の矢野淳氏(NRIセキュアテクノロジーズ)が担当した。まずはこのJCDSCの立ち位置から説明しよう。
JCDSCは日本においてPCI DSSを普及させるために、カード情報に関連するさまざまな業種の企業により構成される組織で、2010年3月現在では80社が属している。
PCI DSSの要件は「ISMSなどに比べ具体的である」と表現されることが多いが、実際にはあいまいな表現や、解釈がいかようにもできる項目も少なくない。
【関連記事】 オール・ザッツ・PCI DSS 第6回 PCI DSS対応の難しさは「あいまいさ」? http://www.atmarkit.co.jp/fsecurity/rensai/pcidss06/pcidss01.html |
実際、PCI DSSが普及期にあるアメリカではこの問題が顕在化している。後述するが、PCI DSSを取得している企業による情報漏えい事故が発生し、中にはPCI DSSの準拠を判定するQSA(Qualified Security Assessor)を訴えるという事件まで発生している。ここには、QSAの判定品質にばらつきがあり、判断基準が統一できていないことが原因がある。
このような先行事例を踏まえ、JCDSC内のQSA部会では、国内のQSA7社(2010年3月現在)の意思統一や要件の解釈を“緩やかに”統一するための会合を設けている。
なぜ“緩やかに”なのか。PCI DSSには要件をそのまま満たすことができない場合に「代替コントロール」を適用して要件を満たしたと見なす。Ponemon Instituteが発行した「QSA Insight」によると、この代替コントロールを用いてPCI DSS準拠とした例は全体の4割を超えているという。そのため、JCDSCのQSA部会では、厳密には定義できないがために用いられる代替コントロールの「解釈の違い」を議論し、日本におけるPCI DSSのQSA品質精度を高めるために活動しているという。
そもそもPCI DSSとは
ここでもう一度、PCI DSSについておさらいしておこう。PCI DSSとは、国際ペイメントカードブランドであるVISAインターナショナル、マスターカード、JCB、アメリカンエキスプレス、ディスカバーの5社が作った、ブランドを横断したセキュリティ基準だ。もともとはそれぞれのブランドでセキュリティ基準を個別に制定していたが、加盟店はそれぞれの基準を個別にクリアしなければならなかった。そこで、5社のカードブランドが共同で「PCI SSC」(Payment Card Industry Security Standards Council)を設立し、セキュリティ基準であるPCI DSSを作り出したという経緯がある。
PCI DSSは6つのカテゴリ、12の要件からなり、従来のセキュリティ基準に比べると、具体的で明確なセキュリティ対策基準であることが特長だ。
I 安全なネットワークの構築・維持
II カード会員データの保護
III 脆弱性を管理するプログラムの整備
IV 強固なアクセス制御手法の導入
V 定期的なネットワークの監視およびテスト
VI 情報セキュリティ・ポリシーの整備
|
表1 PCI DSS、6つのカテゴリと12の順守要件 |
PCI DSSにはQSA(Qualified Security Assessor)とASV(Approved Scanning Vendor)の2つの組織が制定されている。QSAはPCI DSS準拠の評価を行える企業で、全部で203社(2009年10月現在)、QSAの監査人は1000人を超える。ASVはPCI SSCによって承認された、外部の脆弱性スキャンサービスを行える企業で、現在145社(2009年10月現在)が存在している。
【関連リンク】 PCI Security Standards Council, LLC. (基準/サポート文書のダウンロード) http://ja.pcisecuritystandards.org/minisite/en/index.html |
1/3 |
Index | |
PCI DSSは“北極星”に向かうためのツールだ! | |
Page1 日本のPCI DSSを創る「日本カード情報セキュリティ協議会」 そもそもPCI DSSとは |
|
Page2 日本におけるPCI DSSの現状、世界における課題 品質のばらつきをどう是正するのか |
|
Page3 PCI DSSとは北極星に向かうための「北斗七星」 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|