ビジネスアシュアランスが動向を解説

「PCI DSSは有効なのか？」米国で巻き起こった議論とは

2010/01/29

　ネットワンシステムズの子会社で、セキュリティ評価・監査サービスを提供するビジネスアシュアランスは1月29日、クレジットカード業界がカード会員情報などを保護するために策定した業界標準、PCI DSS（Payment Card Industry Data Security Standard）に関する説明会を開催した。

　情報セキュリティをめぐっては、ISMSなどほかの標準がすでに存在する。同社代表取締役の山崎文明氏は、PCI DSSはISMSを補完し、より明確化するものであると指摘。パスワード長や有効期間といったレベルにまで踏み込んで具体的な実装を示し、どの企業が採用しても同じセキュリティレベルを実現することを目指すものであるという意味で重要だと述べた。

ビジネスアシュアランス代表取締役山崎文明氏

　「いろいろな企業に話を聞くと、『ISMSの場合、結局のところ何をどこまでやればいいのか分からない』という声が聞こえてくる。これに対しPCI DSSは、なすべき対策を具体的に実装レベルで示しており、あとどのくらい投資すればいいのかを判断し、中長期的な計画に落とし込んでいくことができる。このため、キリのない投資を避けることができる」（山崎氏）。

　こうしたアプローチは、クレジットカード情報を取り扱う小売店だけでなく、製造業など幅広い分野の企業にも適用可能であろうと同氏は述べる。また、セキュリティに長けた技術者がいない自治体や教育機関にとっても有用だ。現に、PCI DSSをベースにした「自治体DSS」「学校教育DSS」策定に向けた取り組みが進んでいるという。さらに、個人情報を扱う一般企業向けに「プライバシーデータ・セキュリティ・スタンダード（PDSS）といったものを作り上げるという施策があってもいいのではないか」と山崎氏は述べている。

準拠していたのに情報漏えい発生？

　VISAやMasterCardといったクレジットカードブランド大手が中心になってとりまとめた標準だけに、PCI DSSの普及は米国が最も進んでいる。

　各州政府もこの動きを後押ししており、例えばテキサス州では、情報漏えい事件・事故を起こしても、PCI DSSに準拠していることを30日以内に証明できれば訴訟を免れるという免責事項を盛り込んだ州法が施行された。またネバダ州では、実質的にPCI DSSへの準拠を義務付ける「Wiener議員法」が1月1日より施行されている。

　一方で、PCI DSSの実効性が疑われるような事件も起こっていると山崎氏は述べる。それが、2009年1月に発覚した、米国の決済処理会社Heartland Payment Systemsで起こった情報漏えい事件だ。同社は2008年から不正アクセスを受け、キーロガーを介して大量の顧客情報が漏えいした。しかしその実体はつかめず、一説には1億件以上のクレジットカード情報が流出したといわれている。

　ところがこのHeartland Payment Systemsは2008年4月に、PCI DSS認定を受けていた。にもかかわらず情報漏えいは発生した。しかも、本来ならばPCI DSSで定められているログのレビューによって自ら発見できるはずの不正アクセスを見つけられず、外部からの通報によって発覚するという始末だった。「この事件をきっかけに、PCI DSSは本当に有効かという議論が巻き起こった。第三者によってPCI DSSコンプライアンスであることの認定を受けていたのに、漏えい事件が起こってしまった」（山崎氏）。

　これを機に、「QSA（Qualified Security Assessor）による監査制度は本当に有効か」、そして「PCI DSSの要件に技術的な不備はないか」という議論が続いているという。前者については、これまでも設けていたQSAの監査内容に対する外部通報制度に加え、QSA自体に対する監査を実施することで、「いいかげんな監査」が通ることのない仕組み作りに取り組むという。また後者については、暗号化の範囲をインターネットの経路だけでなく、Webサーバやバックエンドサーバも含めた本当のエンドツーエンドに広めるべきではないかといった議論が進んでいるという。