第9回 決済アプリのセキュリティ基準、PA-DSSとは
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2010/2/24
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します(編集部)
第1回「エンジニアも納得できる“PCI DSS”とは」でも紹介しましたが、広義でのPCI DSSは、アプリケーションのセキュリティ基準であるPA-DSS(Payment Application Data Security Standard)、PTS(PIN Transaction Security)、それらの元になるPCI DSSの3つの基準から成り立ちます。
| 【注】 PTSは従来PED(PIN Entry Device)と呼ばれていました。 |
PCI DSSは、カード会員データを伝送、処理、保管する企業が対象であるのに対し、PA-DSSは決済アプリケーション、PTSは主にPINを入力するハードウェア端末、もしくはモジュールを示すことになります。決済アプリケーションはもちろん何らかのハードウェアの上で稼働するものですから、そのハードウェアにPINを入力する装置があればその装置のPTS対応が必要になりますし、PCI DSSに準拠しようとしたとき、その環境に決済アプリケーションがあれば、PA-DSS対応が必要となってくるわけです。
つまりこの3つの基準は、クレジットカード決済を取り巻く環境の異なるレイヤを対象とするもので、PCI DSS ⊃ PA-DSS ⊃ PTSという形で依存関係にあることになります。
今回は、PCI DSSに関連するPA-DSSを解説したいと思います。
PA-DSSの対象
PA-DSSは、決済アプリケーションに対するセキュリティ基準であり、PCI DSSから派生したものです。ただし、決済機能を持つアプリケーションであればなんでも対象となるわけではありません。PA-DSS v.1.2の序文から、PA-DSSが対象とする範囲の定義を抜粋してみます。
| ■PA-DSSの対象範囲 PA-DSS は、承認または決済の一部としてカード会員データを保存、処理、または送信し、第三者に販売、配布、またはライセンス供与されるペイメントアプリケーションを開発するソフトウェアベンダなどに適用されます。 |
ポイントは、第三者に販売、配布、またはライセンス供与されるものが対象になる点です。特定の加盟店で使われている、加盟店が独自に開発したもの、ベンダが特定の加盟店向けにゼロから作ったアプリケーション、もしくは多くのカスタマイズをしているアプリケーションなどは、PA-DSSの対象にはなりません。それらのアプリケーションは、PCI DSSの対象範囲に入っており、PCI DSSの評価において検証されるべきであるためです。また、本来決済と関係ないミドルウェアやアプリケーション(OS、RDBMSなど)もPA-DSSの対象になりません。
また、加盟店システムに接続せず、プロセッサのみを経由してアクワイヤラ(カード会社)に直接接続する端末に搭載されるアプリケーションは、いくつかの条件がありますが、これらはPA-DSSの対象外となります。
PA-DSS対応は義務か?
PCI SSCは、セキュリティ基準やその評価者の管理、上記PA-DSSに対応したアプリケーションのリストなどを管理している団体にすぎず、実際に加盟店に“PCI DSSに準拠しなさい”、もしくはPOS開発ベンダに“PA-DSS対応をしなさい”ということはありませんし、そもそもそこに何ら関係性はありません(契約関係にありません)。
アプリケーションのPA-DSS対応の必要有無や、その期限を決定する義務があるのは国際カードブランドになります。Visaでは2009年7月22日に、PA-DSSへの対応について期限を設定するプレスリリースを出しました。
| 【関連記事】 Visa、決済用ソフトウェアのセキュリティ基準遵守に期限を設定 http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_220709.shtml |
このプレスリリースには、以下の対応を義務付ける旨が記載されています。
- 2010年7月1日以降、新規加盟店は、PA-DSS準拠アプリケーションを使用しなくてはならない
- 2012年7月1日以降、既存加盟店は、PA-DSS準拠アプリケーションを使用しなくてはならない
| 【注】 VisaやMasterCardは国際ブランドであり、カード会社ではないので、加盟店に直接このような義務を言い渡すことができません。実際にはアクワイヤラ(カード会社)に“加盟店にこの義務を徹底させてください”と間接的に伝えることになります。 |
ただし「そんなことを急にいわれても……」という現実もあるのは事実です。2010年7月1日時点で、PA-DSS準拠アプリケーションが十分に存在すれば問題ありませんが、もしそれがリストにほとんどない状況で“PA-DSS準拠アプリケーションを使いなさい”というのは無理があります。実際には加盟店をはじめ決済アプリケーションを使用する企業は、国際カードブランドやカード会社と話し合いを持つことになるでしょう。もちろん、決済アプリケーションを開発するベンダはすでに、PA-DSS準拠が求められているでしょう。
1/4 |
 |
| Index | |
| 決済アプリのセキュリティ基準、PA-DSSとは | |
 |
Page1 PA-DSSの対象 PA-DSS対応は義務か? |
| Page2 PA-DSSの概要 PCI DSSとの違い |
|
| Page3 PA-DSS実装ガイド PA-DSS要件概説 |
|
| Page4 求められる安全策はクレジットカード業界以外でも同じ |
|
オール・ザッツ・PCI DSS バックナンバー
 |
オール・ザッツ・PCI DSS 連載インデックス |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。