第6回 PCI DSS対応の難しさは「あいまいさ」?
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2009/8/7
この連載でも「PCI DSSは非常に具体的な要件です」と述べてきましたが、まだまだあいまいな判断ができるところもあります。それはPCI DSSまだまだ「若い」からだともいえます。まずは動き続けるPCI DSSの現状を紹介しましょう(編集部)
PCI DSSは動き続ける
第5回「カード情報システムでのIIS、QSAはどう見る?」から数カ月空いてしまいましたことをお詫びいたします。この間、さまざまな出来事がありました。個人的なことや、どちらかというとQSAやPA-QSAなど審査をする立場での出来事もありますが、どのようなことが起きているか雰囲気を知っていただくのも面白いかと思いますので、駆け足で振り返ってみたいと思います。
●Prioritized Approachの公開(2009/3/3)
| 【参考】 Prioritized Approach for DSS 1.2 https://www.pcisecuritystandards.org/education/prioritized.shtml “まず優先すべき対策”を見いだすPCI DSSの6つのマイルストーン (TechTarget) http://techtarget.itmedia.co.jp/tt/news/0907/30/news01.html |
PCI SSCより、「Prioritized Approach for PCI DSS」という文書が公開されました。これは、PCI DSSの12要件を“Milestone”と呼ばれるリスクベースで分類したものです。完全準拠を目指すプロセスにおいて、より効果的なリスク排除に役立ちます。優先順位付けを行ったからといって、PCI DSSの要件を取捨選択してよいわけではなく、あくまで「どの要件に先に対応するのがよいのか」という観点の文書ですのでお気を付けください。
●日本カード情報セキュリティ協議会(JCDSC)の設立(2009/3/5)
| 【関連記事】 JCDSC、クレジットカード番号を守るために“集結” http://www.atmarkit.co.jp/news/200903/05/jcdsc.html クレジット情報を守る「日本カード情報セキュリティ協議会」発足 http://www.atmarkit.co.jp/news/200904/21/jcdsc.html |
PCI DSSはアメリカ発祥の基準ということもあり、日本企業の形態や文化にそぐわない点も多いです。また、近年QSA(審査企業)が増えていることもあり、審査における考え方があまりにもずれてしまうのも問題となります。そこでPCI DSSに関連する企業が集まり、PCI DSSの枠にとどまらず、カード会員データ保護のためにさまざまな議論を行い、情報を広めていくための協議会が発足されました。
●QSAトレーニング開催@東京(2009/3/23〜26)
2009年3月、QSAトレーニングが東京で開催されました。QSAトレーニングとは、「PCI SSC主催の年1回のトレーニングに参加し、試験にパスしなくてはならない」という、QSAとして活動するために満たす必要がある要件の1つです。これは新規トレーニングと継続トレーニングの2種類があり、新規トレーニングは以前も東京で開催されたことがありましたが、継続トレーニングの東京開催は今回が初めてでした。これは日本におけるPCI DSS普及の兆しととれますので、筆者個人としてはうれしい限りです(海外出張が減ってしまうのはさみしくもありますが)。
●PCI SSC Wireless Guidelineの公開(2009年7月)
| 【参考】 PCI SSC Wireless Guideline https://www.pcisecuritystandards.org/pdfs/PCI_DSS_Wireless_Guidelines.pdf |
PCI SSCにはさまざまな組織がありますが、無線に関するより詳細な議論が行われているWireless SIG(Special Interest Group)の活動報告として、PCI DSS Wireless Guidelinesが公開されました。こちらは公開されたばかりで筆者もまだ深くは読み込んでいませんが、無線利用時におけるカード会員データ環境(Cardholder Data Environment、CDE)のスコープ定義方法など、PCI DSSの基準よりもさらに踏み込んだ情報が盛り込まれています。無線環境が存在する場合、もしくは今後無線の導入を検討されている企業には非常に役に立つと思いますので、ご一読いただければと思います。
●PCI DSS v1.2 フィードバックプロセス(2009年7月1日〜10月31日)
| 【参考】 Lifecycle Process for Changes to PCI DSS https://www.pcisecuritystandards.org/pdfs/OS_PCI_Lifecycle.pdf |
PCI DSSバージョン1.2が公開されてから、もうすぐ10カ月が過ぎようとしています。PCI SSCが公開する“Lifecycle Process for Changes to PCI DSS 1.2”によると、現在は“Feedback Begins”という期間にあたることになります。準拠に向けて活動している上で、基準の内容やそのほか関連事項におかしいと思うことがあれば、忘れずに書き留めておき、QSAによる審査時に渡されるフィードバックフォームや、PCI SSCへのメールなどで問い合わせてみてください。このときのフィードバックは、次回のPCI SSCによって2009年9月および10月に開催されるCommunity Meetingにて回答されるか議論に上げられ、次バージョンのPCI DSSに反映されることになります。
このように、PCI DSSという基準自体は、バージョン1.2から変わっていませんが、その解釈や対応方法、取り巻く環境は刻々と変化しています。準拠対応を行われている、もしくは今後行われる予定でしたら、PCI DSSの基準以外にもいろいろと目を向けてみると、有益なものが見つかるのではないかと思います。
1/4 |
 |
| Index | |
| PCI DSS対応の難しさは「あいまいさ」? | |
 |
Page1 PCI DSSは動き続ける |
| Page2 QSAは偉い? 基準に残るあいまいさ、それが問題 |
|
| Page3 PCI DSSの要件、あいまい表現トップ3 |
|
| Page4 あいまいさを克服するためには 「PCI DSSに準拠するための3つの重要なポイント」とは |
|
 |
オール・ザッツ・PCI DSS 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
