カード国際ブランド、マスターカードが語る

PCI DSSはなぜ登場したのか



柏木 恵子
2008/12/26



 PCI DSS、6つの目標と12の順守要件

 では、具体的にPCI DSSの内容について見ていこう。PCI DSSは、個々の要件が極めて具体的に設定されているのが大きな特徴だ。

I 安全なネットワークの構築・維持
要件1:
カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件2:
システムパスワードとほかのセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと

II カード会員データの保護
要件3:
保存されたカード会員データを安全に保護すること
要件4:
公衆ネットワーク上でカード会員データを送信する場合、暗号化すること

III 脆弱性を管理するプログラムの整備
要件5:
アンチウィルス・ソフトウェアを利用し、定期的に更新すること
要件6:
安全性の高いシステムとアプリケーションを開発し、保守すること

IV 強固なアクセス制御手法の導入
要件7:
カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件8:
コンピュータにアクセスする利用者ごとに個別のID を割り当てること
要件9:
カード会員データへの物理的アクセスを制限すること

V 定期的なネットワークの監視およびテスト
要件10:
ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
要件11:
セキュリティ・システムおよび管理手順を定期的にテストすること

VI 情報セキュリティ・ポリシーの整備
要件12:
情報セキュリティに関するポリシーを整備すること
表1 PCI DSS、6つの目標と12の順守要件

 例えば要件8に「コンピュータにアクセスする利用者ごとに個別のIDを割り当てること」とあるが、これにはさらに細かく「少なくとも90日ごとに休眠状態のユーザーアカウントを取り除くこと」といった基準があり、日数を明確に規定している。さらには、「少なくとも90日ごとにユーザーのパスワードを変更すること」「最初のパスワードの長さは少なくとも7文字。その7文字はアルファベットと数字を組み合わせなければいけない」といった内容も定められている。

 要件9には「カード会員データへの物理的アクセスを制限すること」とあるが、特に廃棄する場合の基準として、ハードコピー資料の廃棄は「クロスカットの裁断、焼却またはパルプ状に溶解」と極めて具体的な基準を示し、電子媒体にカード会員情報がある場合は「電子媒体が再現不可能になるように消去、消磁、裁断または破棄する」となっている。

 情報保護のためには、そもそも保護すべきデータを明確にする必要があるが、それを規定しているのが要件3だ。要件は「保存されたカード会員データを安全に保護すること」となっているが、さまざまなカード会員データのうち、保管していいものといけないものを定め、保管する場合には暗号化もしくはそれに代わる方法を取ることとされている。

 
データ要素
保管の可否
保護の要請
暗号化の要請
カード会員データ
カード番号
Yes
Yes
Yes
有効期限
Yes
Yes
No

サービスコード

Yes
Yes
No
カード会員名
Yes
Yes
No
センシティブ認証データ
全磁気ストライプ
No
N/A
N/A
CVC2/CVV/CID
No
N/A
N/A
暗証番号(PIN)
No
N/A
N/A
表2 PCI DSS、データ保管の可否および保護の要請

【関連記事】
オール・ザッツ・PCI DSS(2)
あの手この手で守るべきカード情報、その中身とは?
http://www.atmarkit.co.jp/fsecurity/rensai/pcidss02/pcidss01.html

 このように具体的に定めることで、順守しているのかいないのかをはっきりと峻別(しゅんべつ)でき、中途半端な状態を許さないのがPCI DSSの優れているところだ。企業でセキュリティポリシーを定めるものの、漠然とした目標であるために何をどうすればいいか分からないというケースもあるようだが、笛吹けど踊らずにならないためには、このような基準は参考になるだろう。

 また、PCI DSSを実施しているかどうかの検証要件も明確だ。以下の3つの手法が規定されており、取り扱いデータの数やそれまでにセキュリティ事故を起こしたことがあるかなどの基準でレベルが設定され、それに応じて必要な検証方法が決まっている。

  • 自己診断(Self-assessment Questionnaire)
  • 脆弱性セキュリティスキャン(Network Security Scan)
  • 訪問調査(Onsite Reviews)

 PCI DSSは厳密であり順守するためにはかなりの負担もかかるが、セキュリティレベルが上がるだけでなく、ブランドイメージやビジネスパートナーからの信頼性も高めることができる。また、支払カードデータが流出した場合、加盟店や情報処理を行う加盟店契約会社はカードブランドに対してペナルティとしての罰金が科せられるが、データ流出時にPCI DSSに準拠していればこれを免除されるという規定になっているため、具体的なメリットもある。


 気になるPCI DSSの最新動向

 最後に、最近の動向について触れておこう。PCI DSSは2008年10月に改定され、バージョン1.2となった。2009年1月1日からは1.2の基準に基づいて監査することが求められる。ただし、新規の順守基準は設定しておらず、既存の順守要件の明確化と柔軟性の提示を行ったものだ。

 PCI DSS準拠へ向けての第一歩として、荒川氏は「カード会員データを保管しているかチェックする」ということを挙げた。つまり、しているかどうか分からないというところが意外と多く、流出して初めて保管していたことに気付くことがあるのが現状だというのだ。これは、一般企業の情報管理についてもよく取りざたされる問題である。そして「保管しているとしたら、暗号化か代替コントロール措置を取っているか確認する」。情報管理の基本事項として、これらの言葉はしっかりと覚えておきたいところだ。

【関連記事】
オール・ザッツ・PCI DSS(3)
PCI DSS v1.2で注目すべき4つの変更点
http://www.atmarkit.co.jp/fsecurity/rensai/pcidss03/pcidss01.html

2/2

Index
PCI DSSはなぜ登場したのか
  Page1
国際カードブランドがPCI DSSを制定した理由
支払カードデータ流出の現状
Page2
PCI DSS、6つの目標と12の順守要件
気になるPCI DSSの最新動向

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間