第1回 エンジニアも納得できる“PCI DSS”とは


川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP

2008/9/8
クレジットカード業界から登場した新たなセキュリティ対策基準“PCI DSS”。これは既存のISMSなどの基準と何が違うのでしょうか。PCI DSSの出自、そして利用方法を解説することで、この基準がなぜ登場したのか、そして誰のために登場したのかに迫ります(編集部)

 クレジットカードの情報を守るPCI DSS

 PCI DSSとは、クレジットカード業界で策定された、カード加盟店を中心としたカード会員データを取り扱う事業者が守らなければならないセキュリティ対策基準です。つまり、クレジットカード業界のために、クレジットカード業界の中で作られたセキュリティ基準です。

 クレジットカードを使用する際には、自分のカードが、その店で使用できるのかを店員に聞いたり、カード会社、カードブランドのロゴが羅列されたパネルを見て確認することでしょう。それを思い出していただければすぐにお分かりかと思いますが、1つのカード加盟店で1つのカードブランドしか利用できないというケースはめったにありません。

 つまり、加盟店や、その基盤を支える事業者は、さまざまな種類のクレジットカードを使用できるようにするため、複数のカード会社との契約を行っていることになります。そして、カード会社やカードブランド側からすれば、カード会員情報を取り扱う加盟店には、カード会員情報を適切に守って欲しい、、ということになります。

 しかし加盟店やカード会員情報を取り扱う事業者側からすれば、さまざまなカードブランドからのさまざまな要求に対応するのは容易なことではありません。その一方でクレジットカード情報の盗難やなりすましなどの事故が多く報告されています。そのような、さまざまなカードが1つの店舗で使える、もしくはインターネットを通じて買い物ができる、などの利便性の裏には、一刻も早くセキュリティ対策を施さなければならないという現実があります。

 読者の皆さまは、PCI DSSの説明の冒頭によく書かれている「クレジットカードブランド5社が共同で……」という記述を見て、違和感はありませんでしょうか。互いが競合相手であるクレジットカードブランドが、手を取り合って推進するというのは、それほど切迫した現実に対応する必要がある、と考えているためなのです。

【関連記事】
5分で絶対に分かるPCI DSS
日本でも注目され始めたPCI DSS。金融系という最もセキュリティに厳しい業界からやってきた基準は、意外なほどに具体的で、エンジニアの強力な武器になるスグレモノでした

 PCI DSSをクリアするための3段階の手順

 PCI DSSの説明では、12の要件があり……という話から始まることが多いのですが、もう少し広い定義でとらえると、PCI DSSという大きなセキュリティ基準を基とした3段階の手順が示されています。

(1)自己問診票

 加盟店やサービスプロバイダなど、業態やカード会員情報の取り扱い方に応じて回答しやすいような質問形式になっている、主にYES/NOで回答できる問診票です。これは、加盟店やサービスプロバイダなど、カード会員情報を取り扱う事業者が自ら直接実施します。

(2)脆弱性スキャン

 カード会員情報を取り扱うサーバ、システムがインターネットに接続されている環境において、外部からの脆弱(ぜいじゃく)性を識別するために実施するシステム的な検査です。これはASV(後述)と呼ばれる認定されたスキャンベンダによって実施する必要があります。

(3)訪問調査

 カード会員情報を取り扱う事業者の、カード情報を取り扱う業務について、QSA(後述)と呼ばれる認定された審査機関によって実施されるもので、システム面のみならず、情報セキュリティポリシーや運用、開発、物理面でのセキュリティ対策の実施状況を確認します。

 これら3つ、それぞれについて手順書が公開されており、特にQSAによって訪問調査で使用される審査の手順書では、その訪問調査における確認方法が具体的に記述されており、 内容が注目されています。

 加盟店をはじめとするカード会員情報取り扱い事業者は、どこまで確認したのかをカード会社に報告する必要があるのですが、上記3段階のどこまで確認したことを示さなければならないのか、もしくは示すべきなのかが、各カードブランドによって提示されています。各ブランドのプログラムの名前は下記のとおりです。

  • American Express - Data Security Operating Policy
  • JCB - JCB Data Security Program
  • MasterCard Worldwide - Site Data Protection
  • Visa International - Account Information Security

 主に、脆弱性スキャンはMasterCard WorldwideのSite Data Protectionの枠組みから、訪問調査はVisa InternationalのAccount Information Securityの枠組みからの流れに沿ったものになっています。

図1 PCI DSSのバリデーション手続き

 さて、ここで間違えてはいけないのが、カード情報を取り扱う事業者は自己問診票、脆弱性スキャン、訪問調査のいずれかを行えばよいわけではない、ということです。

 PCI DSSを守る必要があるのは、カード会員情報を取り扱う事業者すべてであり、その確認結果のカード会社への報告方法が、上記の3段階に分かれているだけだということです。例えば、カードブランドの示すプログラムによって、自己問診票と脆弱性スキャンが求められているからといって、それだけを実施するだけでは不十分です。

 PCI DSSで求められている対策は、カードブランドのプログラムで求められているかどうかによらず、実施する必要があるでしょう。法律や契約関係で求められるものが“義務だから”ではなく、やはりカード会員情報を取り扱ううえでのリスクを抑えること、万が一の事態にも備えるという、「本当の」セキュリティ対策を考えなくてはならないのです。

1/3

Index
エンジニアも納得できる“PCI DSS”とは
Page1
クレジットカードの情報を守るPCI DSS
PCI DSSをクリアするための3段階の手順
  Page2
PCI DSSを策定したPCI SSCとは?
PCI DSSの特徴、ISMSの特徴
  Page3
具体性の限界
PCI DSSを有効活用できるのは誰か


オール・ザッツ・PCI DSS 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間