@IT セキュリティソリューション Live! in Tokyoレポート

PCI DSSは“北極星”に向かうためのツールだ!


宮田 健
@IT編集部
2010/3/26

PCI DSSのような“具体的”な指標が、なぜ問題を起こすのか。@IT編集部主催セミナーで行われた基調講演から、この基準の課題を探ろう(編集部)

 クレジットカードブランドが作った、クレジットカード業界向けの基準「PCI DSS」(Payment Card Industry Data Security Standard)。アメリカではすでにPCI DSS準拠を州法で制定されている地域もあり、対応が進んでいるといえよう。しかし「PCI DSS準拠の企業による漏えい事件」も発生しており、どこまでの有効性があるかを試される時期に来たともいえる。そのPCI DSS、日本ではどう付き合っていくべきなのだろうか。

 2008年12月に開催した第1回に続き、@IT編集部主催としては2回目となるPCI DSS関連セミナー「企業の脆弱性をスキャンせよ〜PCI DSSの現場に学ぶセキュリティの作り方〜」で行われた基調講演の様子をレポートしよう。

 日本のPCI DSSを創る「日本カード情報セキュリティ協議会」

日本カード情報セキュリティ協議会
(NRIセキュアテクノロジーズ)
矢野 淳氏

 基調講演「セキュリティ管理者のための“PCI DSSとの付き合い方”」は、日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:以下、JCDSC)会員の矢野淳氏(NRIセキュアテクノロジーズ)が担当した。まずはこのJCDSCの立ち位置から説明しよう。

 JCDSCは日本においてPCI DSSを普及させるために、カード情報に関連するさまざまな業種の企業により構成される組織で、2010年3月現在では80社が属している

 PCI DSSの要件は「ISMSなどに比べ具体的である」と表現されることが多いが、実際にはあいまいな表現や、解釈がいかようにもできる項目も少なくない。

【関連記事】
オール・ザッツ・PCI DSS
第6回 PCI DSS対応の難しさは「あいまいさ」?

http://www.atmarkit.co.jp/fsecurity/rensai/pcidss06/pcidss01.html

 実際、PCI DSSが普及期にあるアメリカではこの問題が顕在化している。後述するが、PCI DSSを取得している企業による情報漏えい事故が発生し、中にはPCI DSSの準拠を判定するQSA(Qualified Security Assessor)を訴えるという事件まで発生している。ここには、QSAの判定品質にばらつきがあり、判断基準が統一できていないことが原因がある。

 このような先行事例を踏まえ、JCDSC内のQSA部会では、国内のQSA7社(2010年3月現在)の意思統一や要件の解釈を“緩やかに”統一するための会合を設けている。

 なぜ“緩やかに”なのか。PCI DSSには要件をそのまま満たすことができない場合に「代替コントロール」を適用して要件を満たしたと見なす。Ponemon Instituteが発行した「QSA Insight」によると、この代替コントロールを用いてPCI DSS準拠とした例は全体の4割を超えているという。そのため、JCDSCのQSA部会では、厳密には定義できないがために用いられる代替コントロールの「解釈の違い」を議論し、日本におけるPCI DSSのQSA品質精度を高めるために活動しているという。

 そもそもPCI DSSとは

 ここでもう一度、PCI DSSについておさらいしておこう。PCI DSSとは、国際ペイメントカードブランドであるVISAインターナショナル、マスターカード、JCB、アメリカンエキスプレス、ディスカバーの5社が作った、ブランドを横断したセキュリティ基準だ。もともとはそれぞれのブランドでセキュリティ基準を個別に制定していたが、加盟店はそれぞれの基準を個別にクリアしなければならなかった。そこで、5社のカードブランドが共同で「PCI SSC」(Payment Card Industry Security Standards Council)を設立し、セキュリティ基準であるPCI DSSを作り出したという経緯がある。

 PCI DSSは6つのカテゴリ、12の要件からなり、従来のセキュリティ基準に比べると、具体的で明確なセキュリティ対策基準であることが特長だ。

I 安全なネットワークの構築・維持
要件1:
カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件2:
システムパスワードとほかのセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと

II カード会員データの保護
要件3:
保存されたカード会員データを安全に保護すること
要件4:
公衆ネットワーク上でカード会員データを送信する場合、暗号化すること

III 脆弱性を管理するプログラムの整備
要件5:
アンチウィルス・ソフトウェアを利用し、定期的に更新すること
要件6:
安全性の高いシステムとアプリケーションを開発し、保守すること

IV 強固なアクセス制御手法の導入
要件7:
カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件8:
コンピュータにアクセスする利用者ごとに個別のID を割り当てること
要件9:
カード会員データへの物理的アクセスを制限すること

V 定期的なネットワークの監視およびテスト
要件10:
ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
要件11:
セキュリティ・システムおよび管理手順を定期的にテストすること

VI 情報セキュリティ・ポリシーの整備
要件12:
情報セキュリティに関するポリシーを整備すること
表1 PCI DSS、6つのカテゴリと12の順守要件

 PCI DSSにはQSA(Qualified Security Assessor)とASV(Approved Scanning Vendor)の2つの組織が制定されている。QSAはPCI DSS準拠の評価を行える企業で、全部で203社(2009年10月現在)、QSAの監査人は1000人を超える。ASVはPCI SSCによって承認された、外部の脆弱性スキャンサービスを行える企業で、現在145社(2009年10月現在)が存在している。

【関連リンク】
PCI Security Standards Council, LLC.
(基準/サポート文書のダウンロード)
http://ja.pcisecuritystandards.org/minisite/en/index.html

1/3

Index
PCI DSSは“北極星”に向かうためのツールだ!
Page1
日本のPCI DSSを創る「日本カード情報セキュリティ協議会」
そもそもPCI DSSとは
  Page2
日本におけるPCI DSSの現状、世界における課題
品質のばらつきをどう是正するのか
  Page3
PCI DSSとは北極星に向かうための「北斗七星」


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間