ペンタセキュリティシステムズ(ペンタセキュリティ)は5月16日、クレジットカード向けのセキュリティ規格「PCI DSS」について自社のコラム上で解説した。
「PCI DSS」とは、クレジットカード会社の会員のカード情報および取引情報を安全に管理するための規格のことで、一部の大手企業によって策定された。参画した企業は、JCB、アメリカンエキスプレス、Discover、MasterCard、VISAといった、誰もが知っているクレジットカードを運営する、国際的ブランドの企業ばかりである。
PCI DSSには、セキュリティ状態の診断、審査過程、アプリケーションやシステム、浸透テストの回数、不正ログインを確認したい場合のロック処理の設定、ファイアウォールのインストール状況の確認など、セキュリティに関するさまざまな基準がある。
主な目的は、カード所有者の個人情報やクレジットカードの番号、取引情報を守ること。コラムでは、これらの情報を「敏感情報」と呼んでいる。この「敏感情報」の扱い方については、4カテゴリーに分類して認証を行っている。
|
PCI DSSの認証の仕組み |
PCI PTS(PIN Transaction Security)
クレジットカード端末機などのハードウェア設計および検証の基準。物理的装備やネットワークトランザクションを通じて、敏感情報が流出されることを防ぐための通信セキュリティ及びデータ暗号化などセキュリティ標準の遵守可否を規定する。
PCI PA-DSS(Payment Application Data Security Standard)
アプリケーション開発会社を対象とする認証基準。カード会社及び会員会社そしてクレジットカードの会員が使う業務用ソフトウェアで敏感情報が伝送、処理、保存される過程での通信セキュリティ及び暗号化可否などを確認する。
PCI DSS(Data Security Standard)
クレジットカードインフラ全般にわたってネットワークとシステム構成が安全なのかなどを総合的に判断する基準。アカウント統制及びアクセス制御を通じて、業務環境の厳しい管理、定期的なセキュリティ監査実施有無などのセキュリティ対策まで含む。技術的には、主にアプリケーション内部と通信区間での敏感情報の安全性および暗号化可否を検討し、安全性を判断する。
PCI P2PE(Point to Point Encryption)
P2P暗号化に関する基準。クレジットカード端末機からカード会社のアプリケーションを経てデータベースに保存されるまで、データが移動する全過程にわたって暗号化する。
ここまで見てきたように、異なる4つのカテゴリーに分類されているが、そのすべてがデータの暗号化を重視している。「PCI PTS」は、データ暗号化とトランザクション通信セキュリティ関連。「PCI PA-DSS」の内容の多くはWebセキュリティ関連。「PCI DSS」「PCI P2PE」もWebセキュリティとデータ暗号化についてである。
上記を踏まえ、本コラムではWebセキュリティの重要性を訴えている。Webアプリケーションが主流になり、通信技術、システム環境、ユーザインタフェースなどがWebに統合されたことで、Webアプリケーションが最も狙われやすいためだ。
なお、ペンタセキュリティはPCI DSSに準拠した自社製品を開発・提供している。Webアプリケーションファイアウォール(WAF)の「WAPPLES」はPCI DSS要求事項を満たし、PCI DSS基準の適合認証を保有している。
また、オープンソースデータベース暗号化ソリューションの「MyDiamo」もクレジットカード番号のマスキング機能を搭載するなど、PCI DSSの要求事項に順守したセキュリティ機能を搭載している。
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供:
