第9回 決済アプリのセキュリティ基準、PA-DSSとは
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2010/2/24
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します(編集部)
第1回「エンジニアも納得できる“PCI DSS”とは」でも紹介しましたが、広義でのPCI DSSは、アプリケーションのセキュリティ基準であるPA-DSS(Payment Application Data Security Standard)、PTS(PIN Transaction Security)、それらの元になるPCI DSSの3つの基準から成り立ちます。
| 【注】 PTSは従来PED(PIN Entry Device)と呼ばれていました。 |
PCI DSSは、カード会員データを伝送、処理、保管する企業が対象であるのに対し、PA-DSSは決済アプリケーション、PTSは主にPINを入力するハードウェア端末、もしくはモジュールを示すことになります。決済アプリケーションはもちろん何らかのハードウェアの上で稼働するものですから、そのハードウェアにPINを入力する装置があればその装置のPTS対応が必要になりますし、PCI DSSに準拠しようとしたとき、その環境に決済アプリケーションがあれば、PA-DSS対応が必要となってくるわけです。
つまりこの3つの基準は、クレジットカード決済を取り巻く環境の異なるレイヤを対象とするもので、PCI DSS ⊃ PA-DSS ⊃ PTSという形で依存関係にあることになります。
今回は、PCI DSSに関連するPA-DSSを解説したいと思います。
PA-DSSの対象
PA-DSSは、決済アプリケーションに対するセキュリティ基準であり、PCI DSSから派生したものです。ただし、決済機能を持つアプリケーションであればなんでも対象となるわけではありません。PA-DSS v.1.2の序文から、PA-DSSが対象とする範囲の定義を抜粋してみます。
| ■PA-DSSの対象範囲 PA-DSS は、承認または決済の一部としてカード会員データを保存、処理、または送信し、第三者に販売、配布、またはライセンス供与されるペイメントアプリケーションを開発するソフトウェアベンダなどに適用されます。 |
ポイントは、第三者に販売、配布、またはライセンス供与されるものが対象になる点です。特定の加盟店で使われている、加盟店が独自に開発したもの、ベンダが特定の加盟店向けにゼロから作ったアプリケーション、もしくは多くのカスタマイズをしているアプリケーションなどは、PA-DSSの対象にはなりません。それらのアプリケーションは、PCI DSSの対象範囲に入っており、PCI DSSの評価において検証されるべきであるためです。また、本来決済と関係ないミドルウェアやアプリケーション(OS、RDBMSなど)もPA-DSSの対象になりません。
また、加盟店システムに接続せず、プロセッサのみを経由してアクワイヤラ(カード会社)に直接接続する端末に搭載されるアプリケーションは、いくつかの条件がありますが、これらはPA-DSSの対象外となります。
PA-DSS対応は義務か?
PCI SSCは、セキュリティ基準やその評価者の管理、上記PA-DSSに対応したアプリケーションのリストなどを管理している団体にすぎず、実際に加盟店に“PCI DSSに準拠しなさい”、もしくはPOS開発ベンダに“PA-DSS対応をしなさい”ということはありませんし、そもそもそこに何ら関係性はありません(契約関係にありません)。
アプリケーションのPA-DSS対応の必要有無や、その期限を決定する義務があるのは国際カードブランドになります。Visaでは2009年7月22日に、PA-DSSへの対応について期限を設定するプレスリリースを出しました。
| 【関連記事】 Visa、決済用ソフトウェアのセキュリティ基準遵守に期限を設定 http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_220709.shtml |
このプレスリリースには、以下の対応を義務付ける旨が記載されています。
- 2010年7月1日以降、新規加盟店は、PA-DSS準拠アプリケーションを使用しなくてはならない
- 2012年7月1日以降、既存加盟店は、PA-DSS準拠アプリケーションを使用しなくてはならない
| 【注】 VisaやMasterCardは国際ブランドであり、カード会社ではないので、加盟店に直接このような義務を言い渡すことができません。実際にはアクワイヤラ(カード会社)に“加盟店にこの義務を徹底させてください”と間接的に伝えることになります。 |
ただし「そんなことを急にいわれても……」という現実もあるのは事実です。2010年7月1日時点で、PA-DSS準拠アプリケーションが十分に存在すれば問題ありませんが、もしそれがリストにほとんどない状況で“PA-DSS準拠アプリケーションを使いなさい”というのは無理があります。実際には加盟店をはじめ決済アプリケーションを使用する企業は、国際カードブランドやカード会社と話し合いを持つことになるでしょう。もちろん、決済アプリケーションを開発するベンダはすでに、PA-DSS準拠が求められているでしょう。
1/4 |
 |
| Index | |
| 決済アプリのセキュリティ基準、PA-DSSとは | |
 |
Page1 PA-DSSの対象 PA-DSS対応は義務か? |
| Page2 PA-DSSの概要 PCI DSSとの違い |
|
| Page3 PA-DSS実装ガイド PA-DSS要件概説 |
|
| Page4 求められる安全策はクレジットカード業界以外でも同じ |
|
 |
オール・ザッツ・PCI DSS 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
