PCIセキュリティスタンダードカウンシル(以下:PCI SSC)は、国際ペイメントブランド5社が運営・管理する、ペイメントカード業界における世界的なセキュリティ基準策定機関だ。
そのPCI SSCが策定するペイメントカードのデータの保護を目的としたセキュリティ基準「PCI DSS」は、2022年3月に最新のv4.0がリリースされ、現在は旧バージョンv3.2.1からの移行期間となっている。
9月12日~15日に開催された「TECH+ EXPO for セキュリティ2023」に、PCI SSC アソシエイトダイレクター日本の井原亮二氏が登壇。PCI DSS v4.0のポイントや、対応するために必要なステップについて説明した。
4つのゴールを目指してv4.0策定を開始
講演冒頭で井原氏は、PCI DSS v4.0の策定にあたって目指した4つのゴールについて説明した。
1つ目は、ペイメント業界のセキュリティニーズに継続的に対応することだ。そのため、PCI SSCのコミュニティ「Participating Organization(以下、P.O)」にv4.0のドラフトレビューを依頼し、そこから得られたフィードバックを基礎情報として基準を策定した。これにより、フィッシング攻撃やオンラインスキミングなどへの対策を講じることができたという。