PCIセキュリティスタンダードカウンシル(以下:PCI SSC)は、国際ペイメントブランド5社が運営・管理する、ペイメントカード業界における世界的なセキュリティ基準策定機関だ。

そのPCI SSCが策定するペイメントカードのデータの保護を目的としたセキュリティ基準「PCI DSS」は、2022年3月に最新のv4.0がリリースされ、現在は旧バージョンv3.2.1からの移行期間となっている。

9月12日~15日に開催された「TECH+ EXPO for セキュリティ2023」に、PCI SSC アソシエイトダイレクター日本の井原亮二氏が登壇。PCI DSS v4.0のポイントや、対応するために必要なステップについて説明した。

4つのゴールを目指してv4.0策定を開始

講演冒頭で井原氏は、PCI DSS v4.0の策定にあたって目指した4つのゴールについて説明した。

1つ目は、ペイメント業界のセキュリティニーズに継続的に対応することだ。そのため、PCI SSCのコミュニティ「Participating Organization(以下、P.O)」にv4.0のドラフトレビューを依頼し、そこから得られたフィードバックを基礎情報として基準を策定した。これにより、フィッシング攻撃やオンラインスキミングなどへの対策を講じることができたという。

2つ目は、セキュリティを達成するための柔軟性を付加することである。要件通りに対応する従来型の「定義されたアプローチ」に加え、必ずしも要件通りでなくても新たなテクノロジーを用いて要件の目標達成を目指す「カスタマイズアプローチ」も認めたことで、要件単位でアプローチの方法を選べるようになった。

3つ目は、継続的なプロセスとしてセキュリティを推進することだ。サイバー攻撃は休日など、警備が手薄なタイミングを狙ってくる。そのため、セキュリティ体制は継続的につくられなくてはいけない。そこでv4.0では体制を構築するためのガイダンスおよび各担当者の役割を明確に定義し、それが担当者に理解されるとともに文書化されることを求めている。

4つ目は、バリデーションの手法と手続きを強化することだ。バリデーションとは、評価者による準拠評価確認手続きのこと。PCI DSSの評価を行うPCI SSC認定評価者「QSA」が発行する準拠証明書や自己問診票のフォーマットを見直し、一貫性と透明性、信頼性を向上させるとともに、文書作成の省力化を目指したそうだ。

  • PCI DSS v4.0が目指す4つのゴール

フィッシング攻撃とオンラインスキミングを想定し、要件を策定

PCI DSS v4.0では、新たに「フィッシング攻撃」と「オンラインスキミング」の2つの脅威を想定し、セキュリティ要件を策定している。

フィッシング攻撃については、攻撃を検知し、担当者を保護するための自動化されたメカニズムの導入を求めるかたちに改定。組織内のスタッフに対して、フィッシング攻撃やソーシャルエンジニアリングを含むセキュリティの意識向上トレーニングの実施することも要件とした。

一方、EC環境におけるオンラインスキミングの場合、攻撃者はスクリプトに不正なコードを埋め込み、Webブラウザから消費者のカード情報を取得する。そのため、決済ページでの不正な動きを検知するメカニズムの導入を求め、消費者のWebブラウザにロード・実行される決済ページのスクリプト監視と管理することを新要件とした。

PCI DSS v4.0へ移行するための8つのステップ

井原氏は、PCI DSS v4.0に移行する際に必要となる考え方を8つのステップとして説明した。その8つとは以下の通りだ。

  • すぐに開始すること
  • 移行期間中のセキュリティ強度を維持すること
  • 各要件の理解
  • バリデーションの選択肢の理解
  • タスクの開始
  • 信頼できるパートナーの採用
  • 自身で評価を行うこと
  • 継続性のあるセキュリティを優先すること

まず、取り組みの開始を先延ばしにしないことが重要だと同氏は言う。システムの運用見直しなど、想定以上のタスクと時間が必要になる可能性があるためだ。

「早期に取り組めば取り組むほど、スムーズかつ効果的な移行を目指すことができます」(井原氏)

v4.0の対応のためにv3.2.1のセキュリティコントロールを外さず、セキュリティ強度を維持しておくことも重要である。仮に、v3.2.1からの移行ではなくv4.0から初めて導入する場合であれば、「要件通りに定義されたアプローチを用いれば良い」と井原氏は述べた。

また、さまざまな要件を理解するために、公式サイトにある「Payment Card Industry データセキュリティ基準」v3.2.1からv4.0への変更点のまとめを熟読し、自己問診票を活用する場合も基準書だけでなく、その中のガイダンスも読むことを推奨した。

移行に必要なタスクは、v4.0の要件を理解したうえで、それを現在のセキュリティコントロール上にマッピングすれば、明らかになる。さらに、前述の「定義されたアプローチ」と「カスタマイズアプローチ」のどちらがベストかを決めることや、v3.2.1で代替コントロールを用いていた場合にはv4.0の要件に基づいて再度選択することも必要だ。そのためにはバリデーションの選択肢を理解しておかなければならない。

これらを経て決定したタスクを開始する際には、移行計画の情報が全ての関係部門で連携され、全員が役割を認識していることが不可欠である。そしてその成功確率を上げるには、正確な計画の維持、タイムリーなマイルストーンの設定、継続的な進捗管理といったプロジェクトマネジメントを効果的に行うことも重要だ。

「セキュリティコントロール実行のためのポリシーや手続きを確立し、文書化しておくことが必要です」(井原氏)

その他に井原氏は、スタッフへの教育やトレーニングを行い、PCIP/ISA/QSAのような専門家と共に対応するなど信頼できるパートナーを使うことや、早期に準備を開始してQSAなどの評価を受ける前から自社でセキュリティ評価を行うこと、中長期的なスパンで継続性のあるセキュリティを優先していくことなどを重要なポイントに挙げた。

刷新されたP.Oプログラムとそのメリット

講演後半で井原氏は、v4.0への対応を促進するために、PCI SSCが組織するコミュニティである・P.Oについて説明した。

P.Oは、PCI DSSに取り組むカード会社、加盟店、決済代行会社やそれらの業界団体など全世界で720の団体・個人が参加しているコミュニティだ。

P.Oで用いるプログラムは、v4.0のリリースが一段落したタイミングで刷新されている。

新しいプログラムでは、従来は1つだったカテゴリを「Principal」「Associate」「Individual」の3つに分類した。まずPrincipalは、PCI SSCとの関係をさらに強化し、基準の策定・改訂や活動の方向性に影響力を発揮したい団体に推奨するものだ。Associateは、PCI SSCのリソースを活用し、DSS対応や関連ビジネスの推進に役立てる、または業界内外のグローバルな情報収集など交流の機会を増やしたい団体に向けたものである。そして団体ではなく個人で参加できるようにしたのがIndividualという位置付けだ。

中でも、Associateへの参加には、数多くのメリットの中には、基準の新規策定や改定に先立ってドラフトを提示し意見収集するRFC(Request For Comment)や、課題や問題について関係者で議論するSIG(Special Interest Groups)、業界タスクフォースなどへの参加機会を得られる。

また、PCI SSCの意思決定に参加できるアドバイザリーボードへのノミネートや、新基準の策定や改定の承認投票など、SSCの意思決定に参加できることもメリットだ。

P.Oでは資格取得トレーニングの割引や過去のコンテンツのアーカイブ解放なども行っており、井原氏は「ペイメントセキュリティの関連情報が広範囲に得られる」と述べ、そのメリットを強調した。