決済アプリケーションセキュリティ基準「PA-DSS」とは?
はじめに
最近耳にすることが増えている決済アプリケーションセキュリティ基準「PA-DSS(Payment Application Data Security Standard)」。本連載では、PA-DSSとは何か、またPCI DSSとの違いや関係といった基本的な事柄から、PA-DSSで決済アプリケーションに対して求められる14のセキュリティ対策、およびPA-DSS準拠において重要となる実装ガイドの整備とまとめについて解説する。
PA-DSSは決済アプリケーション向けの基準ではあるが、その内容を理解することは、決済アプリケーションを開発しておらず、PCI DSSに準拠しなければならない加盟店やサービスプロバイダ、もしくは決済に関連しないアプリケーションの開発を行っている企業にとっても参考になるだろう。
PA-DSSの成り立ちとそのステークホルダー
PCI DSSとの関係からPA-DSSフレームワークを知る
PA-DSSとは、‟Payment Application Data Security Standard”、日本語に訳すと「決済アプリケーションデータセキュリティ基準」である。決済に関係するセキュリティ基準といえば、ここ数年でPCI DSSが話題となっているが、PA-DSSはPCI DSSから派生し、PCI DSSと同じようにペイメントカード業界において国際的に統一されたセキュリティ基準である。端的に言うと、PCI DSSは加盟店やサービスプロバイダといったペイメントカードの会員データを取り扱う企業の組織およびシステム全体を対象としたセキュリティ基準であるのに対し、PA-DSSは決済に関連するアプリケーションを対象とするセキュリティ基準である。
まず、PCI DSSとPA-DSSを含めて、そのフレームワークを紹介する。
ペイメントカード業界では、かつてからスキミングや偽造カード、なりすましなどの被害に悩まされ、さまざまな対策が施されてきた。例えばリアル決済では、スキミング防止カードの使用促進やATMにおける監視カメラの設置や設置方法といったスキミング対策、耐タンパ性のあるICクレジットカードの標準化による偽造カード対策、不正利用の早期発見システム(不正検知システム)によるなりすまし対策などがある。また、インターネット加盟店におけるクレジットカードの不正利用に対しては3-D Secureや検証コード(セキュリティコード)などの導入が進められている。このように、リアル決済、ネット決済それぞれにおいて、ペイメントカード業界のもつリスクを減少させるための重要な対策が行われてきた。
しかし近年、カード会員データを保持するカード加盟店や、決済システムのインフラを支えるサービスプロバイダといった企業からのカード会員データの漏洩が増加し、深刻な問題となっていた。これに対して国際カードブランドであるVisaやMasterCardは、それぞれリスク管理プログラムの一環として、カード会員データを取り扱う企業に対してセキュリティ監査やインターネット環境に対する脆弱性スキャンといった対策を義務づけてきた。
しかしこれらの施策は特定の国際カードブランドに依存した問題ではないこと、これを受けて対策を実施する加盟店はそれぞれの国際ブランドのしくみに則って対応しなければならず対応コストが増加していたことから、国際カードブランドは共同で独立組織を運営し、その組織で国際的なセキュリティ対策基準を策定、運用していくことを決定した。その組織とは、特定の国際ブランドに依存せず、また、特定の国や地域に依存せずにペイメントカード業界のセキュリティレベルを向上させることを目的とした組織、「PCI Security Standards Council LLC(以後、PCI SSC)」である。PCI SSCは、国際カードブランドであるAmerican Express、Discover Card、JCB、MasterCard、Visaの5社が共同で設立し、運営している。
PCI SSCは、大きく3つのセキュリティ対策を策定、運用している。1つ目は、すべての元となっており、カード会員データを取り扱う企業を対象としたセキュリティ対策基準、PCI DSS(Payment Card Industry Data Security Standard、PCIデータセキュリティ基準)、2つ目は、PCI DSSから派生し、特に決済アプリケーションを対象としたセキュリティ対策基準、PA-DSS(Payment Application Data Security Standard、決済アプリケーションデータセキュリティ基準)、3つ目はさらにハードウェアに特化した部分を対象にしたセキュリティ対策基準、PTS(PIN Transaction Security)である。PCI SSCによると、これら3つのセキュリティ対策は相互に補助し合う基準であり、これらを業界全体で遵守していくことでペイメントカード業界における主に情報漏洩という大きなリスクを減少させることができるとしている。
ここで誤解してはいけないのは、PCI DSS、PA-DSS、PTSの3つのセキュリティ基準でペイメントカード業界のセキュリティが網羅されているわけではないという点である。先述の通り、スキミング対策や不正利用対策といった、これまで実施されてきたセキュリティ対策とは分野が異なるものである。よって、カード会員データを取り扱う加盟店やサービスプロバイダだけでなく、カード会員を含め、これまでの対策も同様に実施していくことが重要である。つまり、どんなにPCI DSSやPA-DSSといった基準を遵守していても、カード会員は自らのカード会員番号や暗証番号の適切な管理、インターネット加盟店であれば3-D Secureや検証コードといった対策を実施しなければ、さまざまな場所で起こりうるリスクをカバーすることはできない。
少し話がそれてしまったが、ここでは、PCI DSSとPA-DSSについて、ステークホルダーを整理するとともに、それぞれの役割を解説する。PCI SSCがこれらのセキュリティ基準を策定、運用していることは先述の通りだが、これを遵守する必要があるのは、それぞれどのような企業なのだろうか。
決済アプリケーションとは、店舗でのPOS端末などに搭載されている、直接ペイメントカードのデータを読み込んでカード会社との間でオーソリゼーション(承認)などを行うようなアプリケーションや、インターネット決済を行うためのパッケージソフトウェアといったものが含まれる。よって、そのようなPOS端末とアプリケーションを開発しているベンダが、PA-DSSにそって開発を行う、つまり実際にPA-DSSを遵守する活動を行う企業となる(図1)。
では、PCI DSSやPA-DSSといったセキュリティ基準を遵守しているかどうかを確認するのは、どういった企業が行うべきだろうか。PCI SSCは、あくまで基準を策定、運用しているだけであり、実際に企業やアプリケーションの審査を行うのは、PCI DSSについてはQSA(Qualified Security Assessor)、PA-DSSについてはPA-QSA(Payment Application QSA)と呼ばれる認定審査機関が行うことになる。これらの機関に対して、トレーニングや試験、品質管理を行っているのが、PCI SSCである(図2)。
PCI DSSは組織とそのシステム、PA-DSSは決済アプリケーションを審査の対象としていることから、QSAとPA-QSAは専門分野が多少異なると言える。PA-QSAに認定されるためにはまずQSAとしての審査経験がなくてはならないため、すべてのPA-QSAはQSAも兼ねていることになる。逆に、すべてのQSAがPA-QSAであるとは限らない。
QSAが審査を行い、その結果を受け取った加盟店やサービスプロバイダは、その結果をカード会社、もしくは国際カードブランドに報告する。カード会社は、加盟店契約を行っている加盟店からの報告をとりまとめ、国際カードブランドに報告することになる。PA-QSAが審査を行った結果は開発ベンダが受け取り、それをPCI SSCに報告する。つまり、PCI DSSの場合、最終的な報告は国際カードブランドが受けるが、PA-DSSの場合、最終的な報告はPCI SSCが受ける。報告を受けたPCI SSCは、準拠済みの決済アプリケーションとしてWebサイトにアプリケーション名をリストアップする(図3)。
では、PA-DSSについて国際カードブランドは関知していないのかというと、そういうわけではない。例えば、国際カードブランドの1つであるVisaは、加盟店に対して”すべての加盟店は、2012年7月1日以降はPA-DSSに準拠したPOS端末を導入しなければならない”といった発表をしているため、開発ベンダも、その期日を念頭において対応していく必要がある。ただし、日本国内のPOS端末を含む決済アプリケーションでは、PA-DSS準拠しているものはほとんど存在せず、すべての加盟店がこの期限に対応できるかどうかには、疑問が残る。今後対応していくためには、POSベンダだけではなく、加盟店、国際ブランド、カード会社を含むステークホルダーによる調整が必要となるだろう。
参考:VISA AIS “Payment Application” http://www.visa-asia.com/ap/sea/merchants/riskmgmt/ais_applications.shtml#Standards
