カード国際ブランド、マスターカードが語る

PCI DSSはなぜ登場したのか



柏木 恵子
2008/12/26




 2008年12月5日にベルサール六本木(東京・港区)で、@IT編集部が主催する「@ITソリューションセミナー PCI DSSで知る・見る・使えるセキュリティ対策」が開催された。

 PCI DSSはクレジットカード業界のセキュリティ基準だが、情報セキュリティに対する具体的な実装を要求していることから、企業の一般的な情報セキュリティにも応用できるものとして、昨今注目を集めている。

 ここでは、セミナーの冒頭に行われた、マスターカード ワールドワイドセキュリティリスクサービス 日本/韓国担当 ビジネス・リーダーの荒川明良氏による基調講演「グローバルなデータセキュリティ基準であるPCI DSS」の内容を紹介する。


 国際カードブランドがPCI DSSを制定した理由


マスターカード ワールドワイド
セキュリティリスクサービス
日本/韓国担当
ビジネス・リーダー
荒川 明良氏

 PCI DSS(Payment Card Industry Data Security Standard)とは、支払カード業界のセキュリティ基準だ。そこで、基調講演の壇上には、支払カードの国際ブランドであるマスターカードで、セキュリティやリスク管理を担当している荒川明良氏が上がった。

 支払カード業界では、カードの不正使用や加盟店の不正などを特定したり防止策を講じるために、さまざまなセキュリティプログラムを実施している。PCI DSSとは、そのような数あるセキュリティプログラムの中の1つだ。

 ただし、ほかのプログラムとは大きく異なる点がある。それは、各国の政策や法制と深くかかわっているということだ。

 また、支払カードは、グローバルなプラスチックマネーとして世界中どこでもいつでも利用できるということが特徴であり重要なことだ。カードの不正利用が発生した場合に損害を被るのは、カード会員またはそのカードを発行した会社だが、利用するのはその国の中だけとは限らない。つまり、国ごとにセキュリティのレベルが異なると、それだけカード会員や発行会社が不利益を被るリスクが高くなってしまうのである。そこで、国ごとの法律とは別に、世界共通のセキュリティ基準を設ける必要がある。そのために制定されたのが、PCI DSSなのである。

 PCI DSSの検討や制定を行っているのは、PCI SSC(Payment Card Industry Security Standards Council)という組織だ。これは、2006年に支払カード業界のセキュリティ基準の開発/管理/教育/啓蒙(けいもう)の責任を負う公開フォーラムとして支払カードの国際ブランド5社によって創設され、以下の3つの基準を制定している。

  • PCI DSS(データセキュリティ基準)
  • PCI PA-DSS(支払アプリケーション――データセキュリティ基準)
  • PCI PED(PIN入力機器)

 PIN入力機器というのは店舗に設置されているPOS端末のことだが、この3つを見ると分かるように、PCI DSSは消費者保護だけでなく、情報処理会社および加盟店における情報セキュリティについても規定し、保護の対象としている。つまり、店舗や店舗から集まってきたカード利用者情報を取り扱う情報処理会社、あるいは支払アプリケーションや情報入力端末を開発・製造するような業者にとっても無関係ではないということだ。金銭に関係するために厳密に定められた基準が、さまざまな場面で参照されるという現状から見ても、このPCI DSSは単なる支払カード業界の標準ではなく、さまざまな場面で参考にできるものであると考えられるのではないだろうか。

 支払カードデータ流出の現状

 PCI DSS制定の背景として、支払カードデータの流出の現状は、以下のようにまとめることができる。

  • クレジットカードの不正利用の金額は2000年あたりをピークに減少傾向
  • 特に減っているのは、偽造カードによる被害
  • ただし、ネット販売や通販などの非対面取引での不正は増加している

 これは、対面取引ではプラスチックカードが必要だが、非対面取引ではデータだけで悪用可能ということが理由と考えられる。その意味からも、PCI DSSの必要性は強調される。また、グローバルな支払カードデータ流出の最近の傾向としては、以下のような特徴を挙げることができる。

  • サイバー犯罪の多様化/巧妙化
  • 統合POSシステムが標的になっている
  • 最も多い攻撃手法はSQLインジェクション
  • 遠隔コントロール・ソフトウェアによる被害も拡大

 統合POSシステムはあまりなじみがないかもしれないので、簡単に説明しておこう。POSはPoint Of Saleの略で、買い物をしたときにレジに設置した端末で商品やポイントカード、クレジットカードなどのカード情報を読み込み、その情報を集計/分析し、販売動向を把握する仕組みだ。

 この店舗用の端末自体が、読み取った情報を保持してしまう仕様になっている場合があり、このレジ端末にハッキングを行うことでクレジットカード情報を盗み取るという事例が、特に米国で多発した。これらの事態を改善するために制定されたのが、PCI DSSというセキュリティ基準なのである。

1/2

Index
PCI DSSはなぜ登場したのか
Page1
国際カードブランドがPCI DSSを制定した理由
支払カードデータ流出の現状
  Page2
PCI DSS、6つの目標と12の順守要件
気になるPCI DSSの最新動向

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH