PCI SSC・井原氏が解説 - 新たなアプローチを採り入れたPCI DSS v4.0とは

クレジットカードなどの不正利用が増加する中で、ペイメントカードの国際的なセキュリティ基準「PCI DSS」が今、再び注目を集めている。2022年3月31日には、約9年ぶりのメジャーアップデートとなる「PCI DSS v4.0」が発表された。ペイメントビジネスの進化を踏まえてリリースされたPCI DSS v4.0には、どのような考え方が盛り込まれたのか。また、企業はどのような対応が必要なのか。

PCI DSSを管理しているPCI Security Standards Council (以下、PCI SSC) 日本のアソシエイトダイレクターである井原亮二氏が、9月27日、28日に開催されたオンライン展示会「TECH+ セキュリティ2022」に登壇。「ペイメントセキュリティのニーズに応えて」と題した講演を行った。

PCI SSCとはどのような組織か?

PCI SSCは、ペイメントカードの国際的なセキュリティ基準「Payment Card Industry Data Security Standard」(以下、PCI DSS)v1.0が2004年12月に策定されたことを受け、それを管理するために2006年に設立された団体だ。

現在、「American Express」「Discover」「JCB」「Mastercard」「UnionPay (銀聯)」「VISA」の6ブランドが参加し、主な活動としてPCI基準と関連プログラムの策定・管理に加え、セキュリティ人材の育成と教育、セキュリティに関する啓蒙を行っている。

今、日本のカード業界では再びこのPCI DSSが注目されている。その背景にあるのは、キャッシュレス決済の増加に伴う、クレジットカードなどの不正利用増加だ。日本クレジット協会 (JCA)が発表した統計によると、2021年は不正被害額が330億円に達し、偽造カードが横行していた1990年代をしのぎ過去最大の被害額になったという。

主な手口は、EC決済で他人のクレジットカード情報を使う"なりすまし"による不正利用である。クレジットカード情報の安全な保護が喫緊の課題とされる中、割賦販売法では関連事業者に対しクレジットカード番号等の適切な管理を求めている。「クレジット取引セキュリティ対策協議会」が策定した「クレジットカードセキュリティガイドライン」は割賦販売法が求めている要件を満たすための実務上の指針とされているが、この中でPCI DSSについても言及している。

このような状況の中で、PCI DSS準拠を必要とする事業者や、それを支援する事業者のために、必要に応じたリソース・日本語資料・評価者の認定や人材育成などの機会を設定したり、さらにはPCI関連、セキュリティ基準の認知を向上させるための活動を行ったりしているのがPCI SSCとなる。

PCI SSCが提供するリソース

2022年に改訂されたPCI DSS v4.0

PCI DSSは、2022年3月31日に約9年ぶりの大幅なバージョン改訂が行われ、v4.0がリリースされた。これは、新しいテクノロジーや決済チャネル、ビジネスモデル環境の変化を受け、ペイメントビジネスが大きく進化したからだ。「PCI DSS v4.0では、策定に当たり4つのゴールを目指した」と井原氏は述べる。

1つ目は、ペイメント業界のセキュリティニーズに継続的に対応すること。これは過去3年間にわたり、200団体以上のグローバルなステークホルダーから、延べ6000件以上のフィードバックを受けて行われた。その結果、ペイメントビジネスにおけるクラウドコンピューティングの活用、多要素認証やパスワード認証強度の見直し、フィッシング攻撃やオンラインスキミング対策などが織り込まれた。

2つ目は、セキュリティを達成するために柔軟性を付加すること。従来型である要件通りの対応、すなわち"定義されたアプローチ"に加え、セキュリティ目的の達成に着目した“カスタマイズアプローチ”という手法が用意された。同アプローチでは、要件通りの対応でなくても斬新なテクノロジーや手法を使い、要件の目的を達成させることで準拠と見なされる。