PCI DSSとは 2

前回からPCI DSSについて解説しています。前回はPCI DSSが定められた背景や、認定されるにはどうすれば良いかという話を中心に行いました。今回は、実際にどのような基準でPCI DSSが定められているのかを見ていきます。

PCI DSSにより求められる要件

PCI DSSでは、クレジットカード会員情報を適切に管理するために、ネットワークアーキテクチャやソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシジャなどに関して6つの目的とそれに対応する12の要件が定められています。

  • 安全なネットワークとシステムの構築と維持
    1.カード会員データを保護するために、ファイアウォールをインストールして維持する
    2.システムパスワードおよび、他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
  • カード会員データの保護
    3.保存されるカード会員データを保護する
    4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
  • 脆弱性管理プログラムの維持
    5.マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
    6.安全性の高いシステムとアプリケーションを開発し、保守する
  • 強力なアクセス制御手法の導入
    7.カード会員データへのアクセスを、業務上必要な範囲内に制限する
    8.システムコンポーネントへのアクセスを識別・認証する
    9.カード会員データへの物理アクセスを制限する
  • ネットワークの定期的な監視およびテスト
    10.ネットワークリソースおよびカード会員データへの全てのアクセスを追跡および監視する
    11.セキュリティシステムおよびプロセスを定期的にテストする
  • 情報セキュリティポリシーの維持
    12.すべての担当者の情報セキュリティに対応するポリシーを整備する

これらの要件に関して、「準拠する範囲を定めること」が重要だという考えがあります。

最も重要なのは「準拠する範囲を定める」事です。なぜ「準拠する範囲を定めること」が重要なのか?それは、セグメンテーションを行わなければネットワーク全体がPCI DSSの評価対象になり、PCI DSSに準拠する為のコスト(人件費・システム投資)が莫大になってしまうためです。セグメンテーションを行うことで、カード会員データを扱う範囲が特定され、かつ保護が必要な箇所が特定されることにより、効率的かつ現実的な準拠対応が可能になります。

参考:【今さら聞けない】誰でもわかるPCI DSSの要件と対応方法

また、参考にあげた同サイトでは、次のようなプロセスでPCI DSS対応をするのが良いとしています。

1.PCI DSS準拠対象範囲の確定
2.改善計画の立案
3.実装と確認
4.テスト実施と本審査

クレジットカード会員情報の取扱範囲を特定し、それを元にPCI DSS準拠対応が必要な範囲を確定の上、現行のセキュリティシステム状況を確認し、PCI DSSの要求事項とのギャップを確認することが重要になります。また、分析の結果を元に、改善計画を立案していきます。その後、立案した改善計画に基づき、設計書などの変更やシステムへの実装および運用手順書などの作成・変更を行います。またそれぞれの確認作業を実施します。十分に改善されたように感じられる段階まで達したら、いよいよテストを実施します。内部スキャンや外部スキャン、ペネトレーションテストの実施・結果確認/対応を行い、またPCI DSS認定のスキャニングベンダーが行うスキャンの実施や検出事項への対応、審査機関(QSA)の審査のためのエビデンスの準備やQSAとの調整なども必要になってきます。いずれにせよ、「効率的な準拠対応」が今後必要になるでしょう。

 

ISMSとの比較

企業セキュリティに関して、ISMS(情報セキュリティマネジメントシステム)というものがあります。企業にとって、コスト面やパフォーマンス面でリスクを適切に把握して対策を実施するISMSは非常に役に立ちます。しかし、こういった対策を行うにはそれ相応の予算と実施計画が必要になります。これはもちろんクレジットカード情報に関するセキュリティにも共通することです。

一方で、PCI DSSには具体的かつ即効性のある対策が盛り込まれています。要件が明確に記載されており、どのような観点で文書の作成にあたれば良いか、どのような設定・運用を施せば良いかが分かります。

それではPCI DSS のみを採用すれば良いかというと、そうではありません。ISMSとPCI DSSは互いに補完し合うものです。ISMSで求められる情報セキュリティマネジメントのフレームワークが構築・運用されていることは前提であり、その上でPCI DSSによるセキュリティを確実に行うことで、よりよりセキュリティ体制づくりや管理が行えるようになります。

QSAとは

最後に、QSAについて触れておきます。

QSA(Qualified Security Assessor)は企業とその企業に所属する従業員の双方が要件を満たして初めて認定されるものであり、企業を指してQSAと呼ぶこともあれば、個人を指してQSAと呼ぶこともあります。企業としてのQSAには、安定性や訪問調査を行う上での独立性、企業保険、品質管理などが求められます。また、個人としてはセキュリティ関連業務の経験と知識、カードシステムについての知識が求められます。