第6回 PCI DSS対応の難しさは「あいまいさ」?


川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP

2009/8/7
この連載でも「PCI DSSは非常に具体的な要件です」と述べてきましたが、まだまだあいまいな判断ができるところもあります。それはPCI DSSまだまだ「若い」からだともいえます。まずは動き続けるPCI DSSの現状を紹介しましょう(編集部)

 PCI DSSは動き続ける

 第5回「カード情報システムでのIIS、QSAはどう見る?」から数カ月空いてしまいましたことをお詫びいたします。この間、さまざまな出来事がありました。個人的なことや、どちらかというとQSAやPA-QSAなど審査をする立場での出来事もありますが、どのようなことが起きているか雰囲気を知っていただくのも面白いかと思いますので、駆け足で振り返ってみたいと思います。

●Prioritized Approachの公開(2009/3/3)

【参考】
Prioritized Approach for DSS 1.2

https://www.pcisecuritystandards.org/education/prioritized.shtml

“まず優先すべき対策”を見いだすPCI DSSの6つのマイルストーン
(TechTarget)
http://techtarget.itmedia.co.jp/tt/news/0907/30/news01.html

 PCI SSCより、「Prioritized Approach for PCI DSS」という文書が公開されました。これは、PCI DSSの12要件を“Milestone”と呼ばれるリスクベースで分類したものです。完全準拠を目指すプロセスにおいて、より効果的なリスク排除に役立ちます。優先順位付けを行ったからといって、PCI DSSの要件を取捨選択してよいわけではなく、あくまで「どの要件に先に対応するのがよいのか」という観点の文書ですのでお気を付けください。

●日本カード情報セキュリティ協議会(JCDSC)の設立(2009/3/5)

【関連記事】
JCDSC、クレジットカード番号を守るために“集結”
http://www.atmarkit.co.jp/news/200903/05/jcdsc.html

クレジット情報を守る「日本カード情報セキュリティ協議会」発足
http://www.atmarkit.co.jp/news/200904/21/jcdsc.html

 PCI DSSはアメリカ発祥の基準ということもあり、日本企業の形態や文化にそぐわない点も多いです。また、近年QSA(審査企業)が増えていることもあり、審査における考え方があまりにもずれてしまうのも問題となります。そこでPCI DSSに関連する企業が集まり、PCI DSSの枠にとどまらず、カード会員データ保護のためにさまざまな議論を行い、情報を広めていくための協議会が発足されました。

●QSAトレーニング開催@東京(2009/3/23〜26)

 2009年3月、QSAトレーニングが東京で開催されました。QSAトレーニングとは、「PCI SSC主催の年1回のトレーニングに参加し、試験にパスしなくてはならない」という、QSAとして活動するために満たす必要がある要件の1つです。これは新規トレーニングと継続トレーニングの2種類があり、新規トレーニングは以前も東京で開催されたことがありましたが、継続トレーニングの東京開催は今回が初めてでした。これは日本におけるPCI DSS普及の兆しととれますので、筆者個人としてはうれしい限りです(海外出張が減ってしまうのはさみしくもありますが)。

●PCI SSC Wireless Guidelineの公開(2009年7月)

【参考】
PCI SSC Wireless Guideline
https://www.pcisecuritystandards.org/pdfs/PCI_DSS_Wireless_Guidelines.pdf

 PCI SSCにはさまざまな組織がありますが、無線に関するより詳細な議論が行われているWireless SIG(Special Interest Group)の活動報告として、PCI DSS Wireless Guidelinesが公開されました。こちらは公開されたばかりで筆者もまだ深くは読み込んでいませんが、無線利用時におけるカード会員データ環境(Cardholder Data Environment、CDE)のスコープ定義方法など、PCI DSSの基準よりもさらに踏み込んだ情報が盛り込まれています。無線環境が存在する場合、もしくは今後無線の導入を検討されている企業には非常に役に立つと思いますので、ご一読いただければと思います。

●PCI DSS v1.2 フィードバックプロセス(2009年7月1日〜10月31日)

【参考】
Lifecycle Process for Changes to PCI DSS
https://www.pcisecuritystandards.org/pdfs/OS_PCI_Lifecycle.pdf

 PCI DSSバージョン1.2が公開されてから、もうすぐ10カ月が過ぎようとしています。PCI SSCが公開する“Lifecycle Process for Changes to PCI DSS 1.2”によると、現在は“Feedback Begins”という期間にあたることになります。準拠に向けて活動している上で、基準の内容やそのほか関連事項におかしいと思うことがあれば、忘れずに書き留めておき、QSAによる審査時に渡されるフィードバックフォームや、PCI SSCへのメールなどで問い合わせてみてください。このときのフィードバックは、次回のPCI SSCによって2009年9月および10月に開催されるCommunity Meetingにて回答されるか議論に上げられ、次バージョンのPCI DSSに反映されることになります。


 このように、PCI DSSという基準自体は、バージョン1.2から変わっていませんが、その解釈や対応方法、取り巻く環境は刻々と変化しています。準拠対応を行われている、もしくは今後行われる予定でしたら、PCI DSSの基準以外にもいろいろと目を向けてみると、有益なものが見つかるのではないかと思います。

1/4

Index
PCI DSS対応の難しさは「あいまいさ」?
Page1
PCI DSSは動き続ける
  Page2
QSAは偉い?
基準に残るあいまいさ、それが問題
  Page3
PCI DSSの要件、あいまい表現トップ3
  Page4
あいまいさを克服するためには
「PCI DSSに準拠するための3つの重要なポイント」とは


オール・ザッツ・PCI DSS 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH