クレジットカードを取り扱う事業者向けの、国際的なセキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard[1])」が、現行の3.2.1から4.0へ、約8年ぶりにメジャーバージョンアップされる予定です(2021年8月現在、4.0の発行は2022年3月となる見込み[2])。
クラウドをはじめとする様々な技術の利活用が加速し、システム改修や運用のあり方が多様化する中、日々の業務をこなしながら、PCI DSSへの準拠を維持し続けるのは、容易ではありません。年1回の監査・四半期に1回の診断と対応、日々の脆弱性情報収集やパッチ適用など、様々な対応事項があるためです。
事業者や加盟店の多くは、PCI DSSへの対応に年中追われているのが実態です。その中で、さらに新バージョンへの対応となると頭を抱える方も多いのではないでしょうか。
本記事では、PCI DSSの概要をおさらいした上で、運用を効率化しながら、セキュリティレベルを維持するためのポイントを、アクセス管理・ログ管理の専門家の観点から解説します。これからPCI DSSへの準拠に取り組まれる方も、将来を見据えた対策を行う参考にしてみてください。
[1] カード会員データを安全に取り扱うことを目的として、クレジットカードの取り扱いを行う事業者向けにPCI SSC(PCI Security Standards Council)が策定したセキュリティ基準。
[2] 最新のスケジュールはPCI Security Standards Council(PCI SSC)サイトのブログを参照ください。
https://blog.pcisecuritystandards.org/updated-pci-dss-v4.0-timeline
PCI DSSとは
PCI DSSの概要
PCI DSSとは、カード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界の国際的なセキュリティ基準です。国際ペイメントブランド会社5社[3]が設立した「PCI SSC(PCI Security Standards Council)」によって維持、管理され、新たなリスクの出現や技術の台頭など、外部環境の変更に合わせて要件が見直され、逐次改訂が行われています。
PCI DSSが初めて制定されたのは2004年です。当時は日本での知名度がありませんでしたが、2016年に割賦販売法の改正法案が交付、2018年に施行されると、クレジットカード情報を取り扱う各社で準拠に向けた動きが加速しました。
改正割賦販売法では、クレジットカード会社だけでなく、クレジットカード番号等を取り扱う加盟店へのセキュリティ強化が義務づけられました。加盟店は、クレジットカード情報を保存・処理・通過しない「非保持化」か「PCI DSS準拠」かのセキュリティ対策をとることが定められています。さらに、2021年4月の改正で、新たに決済代行業者やQRコード決済事業者・ECモール事業者などに対して、PCI DSS準拠が義務化されました。
PCI DSSで求められる要求項目は、ネットワークセキュリティ、物理セキュリティ、セキュリティポリシーの整備など、クレジットカード情報を保護するための6つの目的とそれに関する12のセキュリティ要件で構成されています。この12の要件は、さらに400項目以上の具体的な評価項目に細分化されます。
PCI DSSで定められている評価項目は、包括的かつ非常に実践的な内容のため、クレジットカード情報を取り扱っている企業に限らず、一般の企業でもセキュリティ対策のガイドラインとして活用されるケースが多いのが特徴です。
[3] American Express、Discover、JCB International、Mastercard、VISA
PCI DSS準拠のメリット
PCI DSSに準拠するメリットは大きく2つあります。
1点目は、PCI DSSはその時の情勢に合わせてアップデートされるため、PCI DSSに準拠したセキュリティ対策を正しく実装・運用することで、サイバー攻撃・不正アクセスなどによるクレジットカード情報の流出や悪用のリスクを軽減できることです。
2点目は、一般消費者や取引先に対して、最新の国際的なセキュリティ基準に則ってクレジットカード情報を取り扱う企業だとアピールでき、自社への信頼性やブランドの価値向上につながることです。
PCI DSSの準拠は必須か?
改正割賦販売法では、具体的なセキュリティ基準の名称は記載されていません。ただし、一般社団法人日本クレジット協会(Japan Credit Card Association、以下JCA)が具体的なセキュリティ対策の基準を定めると記されています。JCAでは「PCI DSS準拠」を基準として挙げ、クレジットカード情報を取り扱う事業者に対して法的に義務化しています(加盟店のみ「非保持化」も選択可能)。
PCI DSSに準拠しない場合の明確な罰則は現時点ではありません。ですが、PCI DSSに準拠しない事業者は、準拠する事業者に比べ、セキュリティインシデントの発生リスクが高まると言えるでしょう。いったん事故を起こしてしまえば、社会的な信用の失墜や決済取引が減少し、甚大な機会損失が発生する可能性があります。
カード情報セキュリティに関係する国内企業31社により設立され、PCI DSSの普及・啓蒙活動に取り組む「日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:略称JCDSC)」のサイトでは、以下の2点が示唆されています。[4]
- 加盟店のセキュリティの弱さが原因で、カード情報の大量漏えい事故を発生させてしまった場合、加盟店がPCI DSS準拠を完了できるまで、カード会社(アクワイアラー)はカード決済を再開しないのが一般的
- PCI DSS準拠へのハードルの高さから、カード決済取引の再開を断念したケースもある
以上のことから、PCI DSSへの準拠は、クレジットカード決済に関わる企業にとって事実上不可欠なセキュリティ対策と言えるでしょう。
[4] 詳しくはJCDSCのサイトの「よくあるご質問」をご参照ください。
PCI DSS準拠の維持が難しい理由
毎年の監査対応・最新バージョンへの追随
PCI DSSは一度認証を取得したら終わりではありません。情報漏えいの防止には、十分なセキュリティ対策が継続して行われているかどうかが重要です。従って、PCI DSSでは、準拠レベルが保たれているかを確認するために、毎年監査を行うことが定められています。
さらに、セキュリティ周辺の環境は変化するため、PCI DSSの要件はそれに合わせて改訂されます。クレジットカードを取り扱う事業者や加盟店は、認証を取得した後も、常に最新バージョンに追随する必要があります。つまり、PCI DSSに準拠し続けるには、認証を受けるための対応に加え、要件追加・変更に関する情報を逐次収集し、対応していく必要があります。
現在、8年ぶりのメジャーバージョンアップとなる「PCI DSS v4.0」の仕様公開に向けて、最終の改訂作業が行われています。今回のバージョンアップの目的は以下の3つです。
- ペイメントデータに対する新たな脅威・リスクへの対応
- 安全を維持するためのセキュリティ強化
- ステークホルダーに対する柔軟性の強化
PCI DSS改訂ポイント解説|PCI SSCイベントから見る決済セキュリティの行方
PCI DSS 4.0が発行されると、現行の3.2.1を審査基準とする有効期限が決まります。最新のタイムスケジュールについて情報収集し、スムーズに移行の対応を取れるようにすることが大切です。
年間を通じたセキュリティレベルの維持
PCI DSSへの準拠および毎年の監査に対応することは重要ですが、監査を通過さえすれば良い訳ではありません。監査の前後の期間だけセキュリティ要件を満たすのでは意味がないのです。PCI DSS準拠の目的である「クレジットカード情報のセキュリティ」を担保するには、年間の運用の中でセキュリティレベルを満たし続ける必要があります。
実際、運用が適切に継続されていなかったために、PCI DSSに準拠していながら、サイバー攻撃で情報漏えいしたケースもあります。PCI DSSへの準拠は、あくまで監査時において一定レベルのセキュリティを確保した証明に過ぎないのです。事業が拡大する中で、既存システムはもちろん、追加・更新するシステムについても、同様に対応することが求められます。
以上から、PCI DSS準拠に則したセキュリティ基準を維持し続けることが容易ではないことは明らかです。各要件に対応するため、自社開発のツールを利用するケースもあると考えられますが、バージョンアップの追随に保守・開発コストがかかりすぎてしまう、PCI DSSへの習熟が求められるあまり属人化が進んでしまうなど、様々な課題が考えられます。そこで有効なのが、PCI DSSの要件に対応したソリューションを利用することです。
PCI DSS準拠のセキュリティ基準を維持するために
ソリューションの利用と選定方法
ソリューションを利用すれば、PCI DSSのバージョンアップによる要件変更の際も、対応は主にソリューション側が行います。そのため、自社の作業はソリューションのアップデート対応のみに集約できるなど、要件変更時の工数・費用を削減することが可能です。
ただし、PCI DSSの要件は多岐にわたるため、1つのソリューションだけで対応することは困難です。また、ソリューションだけで全ての要件に対応できる訳でもありません。自社の現状を見定め、不足箇所や対応負荷を明確にした上で、必要なソリューションを選定することが重要です。
さらに、PCI DSSへの対応はもちろん、PCI DSSの最新動向に追随して対応しているソリューションを選定することが、何よりも重要です。対応方法に悩む場合は、PCI DSS準拠の訪問審査が可能な、PCI SSCが認定した審査機関(QSA)に相談するのも一つの方法です。NRIセキュアでもQSAの資格を取得しています。
特に負荷がかかる要件と対応策
ソリューションの利用は、PCI DSSの要件の中でも、日々の運用負荷が特に高くなりやすい要件を見極めた上で行うのがおすすめです。これにより、セキュリティ基準を満たしながら、日々の運用負荷を下げることが可能です。
下表は、PCI DSSの12の要件をまとめたものです。定期的に運用が必要な要件の中で、初期審査時以降もシステム影響があるもの、もしくは日々の業務への影響度が大きいものは、運用負荷が高い傾向にあります。具体的には、6、7、8、10、11の要件です。
図1. PCI DSS準拠の維持に際して運用負荷の高い要件・対応策
この5つの要件は、対応策の内容によって、次の2種に分けられます。
- ①効率化はできるが自動化は難しいもの(人の手で確認・判断・検証する項目が多い)
⇒ 要件6、11
②ソリューションを活用した運用により、大半の項目を自動化することが可能なもの
⇒ 要件7、8、10
具体的には、下図のとおりです。
図2. 運用効率化が見込めるPCI DSS要件・対応策
①は、主にシステムの脆弱性に関する業務領域です。この領域で必要な対応策は、効率化はできるものの、人の手で確認・判断・検証する項目が多いため、ソリューションを使っても自動化につながらない面があります。
②は、主にアクセス管理・ログ管理の業務領域です。この領域に集中してソリューションによる効率化・自動化を行うことは、セキュリティレベルを維持しながら日々の運用負荷を減らすのに大変有効です。
アクセス管理・ログ管理ソリューションの導入ポイント
PCI DSSの要件を満たしながら、アクセス管理・ログ管理を効率的に行うには、どのような方法が望ましいでしょうか。アクセス管理・ログ管理について、ある程度の自動化はできていても、一部の業務は紙ベースや手動で行われている。あるいは、監査対応に時間や手間が非常にかかる。何らかの対応はしていても、そうした課題を抱える企業が多いのが実態です。
アクセス管理・ログ管理は、業務フロー上では、アカウント管理、アクセス制御、ログの保管・モニタリングの順に実施されています。効率化を図るには、要件個別の対応ではなく、この業務フローに沿って一貫して行うのが重要です。
図3. 本番アクセス制御・特権ID管理の業務フロー
この業務フローの効率化に非常に有効なのが、特権ID管理ソリューションです。
特権ID管理ソリューションを導入することで、本番アクセスの権限付与、アクセス制御、ログ監査を一貫で行うことが可能です。PCI DSSに準拠した環境を実効性・継続性をもって運用できるのです。
ただし、先述の通り、PCI DSSの要件に迅速に追随しているソリューションを選ぶことが非常に重要です。せっかく導入したのに、結局手動のメンテナンスが必要となる場合があるからです。
弊社でも、特権ID管理ソリューション「SecureCube Access Check」を提供しています。本製品は、既存システムに影響を与えないゲートウェイ型を採用しており、短期導入・運用工数の削減が可能です。クレジットカード事業会社をはじめとする金融関連企業のPCI DSS準拠を支援しています。
SecureCube Access Check導入事例:東急カード株式会社様
まとめ
クレジットカードを取り扱う事業者や関連企業の方向けに、アクセス管理・ログ管理の専門家の立場で、PCI DSS準拠のセキュリティ基準を効率的に維持するポイントについて解説しました。
PCI DSSの要件の中でも、日々の運用負荷が特に高くなりやすいアクセス管理・ログ管理の領域でソリューションを利用すること。その際、必ず、PCI DSSの最新動向に追随して対応しているソリューションを選定すること。この2点がポイントです。これにより、日々の運用負荷を軽減できるだけでなく、最新版への移行も効率的に行うことが可能です。
NRIセキュアでは、PCI DSSについて以下の取り組みを行っています。ぜひご参照ください。
- 【NRIセキュアのPCI DSSに関する取り組み】
- ■国内最多の認証取得と関連サービスの提供
- PCI DSSの認定を国内最多となる8つの認定[5]を取得しており、さまざまなサービスを提供しています。詳しくはこちらをご覧ください。
- NRIセキュアのPCI DSS関連支援および非保持化対応支援
- ■特権ID管理ソリューションの提供
- 特権ID管理ソリューション「SecureCube Access Check」の提供により、クレジットカード事業会社をはじめとする金融関連企業において、PCI DSS準拠で求められる厳格なアクセス管理・ログ管理を実現します。
- 特権ID管理ソリューション「SecureCube Access Check」
- ■ファイル転送/共有サービスの提供
- PCI DSSに準拠したファイル転送・共有サービス「クリプト便」の提供により、クレジットカード情報の安全・効率的な受け渡しを支援しています。
- PCI DSS準拠の法人向けファイル転送/共有サービス「クリプト便」
- [5] QSA、ASV、PFI、PA-QSA、P2PE QSA、3DS Assessor、CPSA、QPA
