非営利のグローバルなオープンフォーラムであるPCI SSC(PCIセキュリティスタンダードカウンシル)は、国際クレジットカード産業向けのデータセキュリティ基準であるPCI DSSを策定し、ペイメントカードの会員データ・取引情報の保護や、そのための人材育成に努めている。PCI DSSは2022年3月に最新のv4.0がリリースされており、2024年4月からはv4.0への準拠が必須となるため、関係団体は対応を急がなければならない。

3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」にPCI SSC アソシエイトダイレクター日本の井原亮二氏が登壇。PCI DSS v4.0で定められている主要な要件の内容を紹介した。

「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら

ペイメントカードのセキュリティ基準であるPCI DSS

井原氏はPCI DSSについて、国際カードブランド5社が知見を持ち寄ってつくったクレジットカードのセキュリティ基準で、「これをクリアすれば全てのブランドのカードを受け入れられるもの」だと紹介した。準拠すれば情報漏れが絶対に発生しないと保証されるものではないことには注意が必要だが、カード情報を扱う事業体がその責任として取り組むべき基本要件がここに集められている。適用されるのは、カード情報を保存・処理・伝送する事業体、およびカード情報の環境(CDE)に影響を及ぼす可能性のある事業体である。

PCI DSSの対象は、アカウントデータ全体だ。アカウントデータには、カード券面上に表示されているカード会員データ(CHD)と、主に認証に使われる機微認証データ(SAD)の2種類がある。CHDにはカード番号のほか、会員氏名、有効期限、サービスコードが含まれている。一方、SADにはチップまたは磁気ストライプ上のフルトラックデータ、カード検証コード、PIN/PINブロックなどが含まれていて、これが流出すると本人になりますことができるため、一段高いセキュリティが求められている。

  • PCI DSSの概要

PCI DSSの主要12要件

全システムコンポーネントにセキュアな設定を適用

PCI DSSには400以上の詳細要件があり、そのうちの主要な12要件が6つのグループに分けてまとめられている。まずグループ1は安全なネットワークとシステムの構築と維持に関するもので、ファイアウォールやルーターなどのネットワークのセキュリティコントロールを導入し、安全な管理を求めるのが要件1だ。要件2は、全システムコンポーネントにセキュアな設定を適用することを規定していて、CDEと呼ばれるカード情報を扱う環境、およびCDEに接続したり、CDEのセキュリティに影響を与えたりする可能性のある全てのコンポーネントについて、IDやパスワードなどを適切に設定すべきと定められている。

「いかに優れたセキュアな仕組みを導入しても、パラメータが適切に設定されていないと有効に機能しません」(井原氏)

グループ2はアカウントデータの保護に関するもので、要件3ではカード情報の強力な暗号化、暗号鍵の適切な管理、SADの使用後の保管禁止などによってデータを保護することが規定されている。要件4では、公共のネットワークやWi-Fiで送受信送される際に、強力な暗号化によってカード会員データを保護することを規定している。

物理的な制限も含めた強力なアクセスコントロール

グループ3は脆弱性管理プログラムの維持に関するもので、要件5で悪意あるソフトウエアから全てのシステムとネットワークを保護することを求めている。具体的には、マルウエア対策のソフトウエアとメカニズムの導入、フィッシング攻撃を検知して保護するプロセスや自動化されたメカニズムの導入、さらには攻撃に対する意識向上のトレーニングの実施も求められている。要件6では安全なシステムおよびソフトウエアの開発と保守を規定。自社が使うソフトウエアについて、開発からコーディング、インストレーション、運用、バージョン改定など、ライフサイクル全体を通じた安全性の確保を求めている。オンラインスキミングも増加している中で、PCI DSS v4.0ではその対策として、全ての決済ページのスクリプトを事業者が管理し、不正な変更を検知して担当者に警告を発するメカニズムの導入も求めている。

グループ4では、強力なアクセスコントロールの導入を求めている。要件7では、システムコンポーネントやカード会員データへのアクセスを、業務上必要な範囲に制限すること、要件8では、ユーザーの識別とシステムコンポーネントへのアクセスの認証のために、個人に対して一意のIDを割り当てることを規定し、CDEへのアクセスや外部からのリモートアクセスでは多要素認証を必須としている。さらに要件9では、会員データへの物理的アクセスの制限を求めていて、領域をセンシティブなエリア、CDE、その他管理されるべき施設の3つに分類し、それぞれのリスクの度合いに応じて管理すべきとしている。

攻撃を受けたときの対応判断のためにログを適正に記録

グループ5はネットワークの定期的な監視とテストに関するものだ。要件10ではカード情報への全てのアクセスをモニターし、ログに記録することを求める。万一攻撃を受けた場合、それを追跡し影響の範囲を特定するために、アクセスログの監視と管理が必須になるためだ。

「ログが適正に記録されレビュー管理されていることが、その攻撃を受けたときの対策、対応方針への判断材料になります」(井原氏)

さらに要件11では、外部、内部のネットワークやアクセスポイントのセキュリティを定期的にテストすることも定められている。

グループ6は情報セキュリティポリシーの維持に関する規定だ。要件12で、情報セキュリティ維持のポリシーを策定し、組織内部で適正に運用することを求めている。その内容は、組織体制や従業員の人事管理、マニュアルの整備と教育、啓蒙、担当者の責任の明確化と文書化、サプライチェーンの管理、インシデント対応など、多岐にわたっている。

「PCI SSCは、新たなテクノロジーについてニュートラルな立場を採っている」と井原氏は言う。上記のような要件は、あらゆる環境に適用できるように意図しており、DSS 4.0では、カスタマイズアプローチも認められているそうだ。

「必ずしも要件通りでなくても、他の手法やテクノロジーでその目的が達成できれば、準拠とみなしています」(井原氏)

知見を広めるためのPCI SSCの取り組み

こうしたDSS準拠の対応に取り組む事業体を支援するため、PCI SSCはドキュメントや動画などのコンテンツをPCI SSCのWebサイトで公開しているほか、人材の確保と育成にも力を入れている。DSS 4.0の評価資格育成のためのトレーニングの日本語版は、2024年9月19日にオンラインで開催される予定だ。また毎年秋に北米、ヨーロッパ、アジア太平洋地域で開催しているコミュニティミーティングは、DSSの最新情報の発表や質問への対応、参加者間の交流などの機会として活用されているという。

PCI SSCでは、ペイメントセキュリティの知見を広めるべくコミュニティも立ち上げている。そこに参加する団体はP.O(Participating Organization)と呼ばれていて、多くのメリットがあると井原氏は話す。例えばPCIの基準に意見を反映させることができるのもその1つだ。基準の策定や改定の際には、ドラフト段階でP.Oに共有し、意見を募る。そしてSSCはその意見を反映しながら基準を完成させていくという。知識を得られるのもメリットで、最新情報のニュースレターが送られるほか、P.O専用のポータルで最新情報や過去のセミナー動画など、「グローバル・コンテンツ・ライブラリ」を利用できる。さらに、SSCの人材育成、資格取得トレーニングプログラムにも参加が可能になるそうだ。

「私たちはペイメントエコシステムの参加者として、協力、連携、知識の共有を通じて、セキュリティの向上を目指すことが可能です。新しいテクノロジーやペイメントのチャネル、さらに新たなリスクや脅威など自社ビジネスを犯罪から守っていくために、個社の取り組みに加えてコミュニティとして活動していくことが求められています」(井原氏)

「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら