2012年1月17日8:00
PCI DSSの普及・啓発に取り組む日本カード情報セキュリティ協議会
QSA部会、ベンダー部会などが活動し、業界団体との取り組みも開始
日本カード情報セキュリティ協議会(JCDSC)は、国内のQSA(認定セキュリティ評価機関)、ASV(脆弱性スキャニングベンダー)、コンサルティング、製品提供ベンダーなど107社(2011年11月2日現在)が参加している。同協議会では、QSAが要件解釈の緩やかな統一や情報の共有を行う「QSA部会」、ベンダー提供の製品に対しての理解を深める「ベンダー部会」などを定期的に開催している。また、関連団体との交流も積極的に実施。2011年11月に行われたコミュニティミーティングの発表をもとに同団体の活動を紹介する。
国内のQSA有資格者が集う「QSA部会」
「Assessor Update」の情報やガイドラインの情報を共有
日本カード情報セキュリティ協議会(JCDSC)のQSA部会では、「QSA審査員の審査技術向上」、「要件の解釈と許容範囲(スコーピング)の緩やかな統一」、「QSAの地位向上」などに向け取り組んでいる。2010年までは、9回の部会が行われており、各社の持ち回りで2~3カ月に一度、開催している。2011年は10回~第13回の4回の部会を行った。参加メンバーは、QSAの有資格者となり、2011年から新たに富士通が加わった。
2011年に行った部会では、国内の業界動向の情報交換、審査における要件の解釈や許容範囲についての議論、PCI SSCから発行された文書の共有などが話し合われた。
第10回では、「Assessor Update」3月号の紹介を実施。Assessor Updateとは、PCI SSCからほぼ月次で送付されているニュースレターで、PCI SSCの動向、イベント/トレーニング情報、QSA/PA-QSA/ASV向けコラム、FAQとして現場から寄せられた質問事項についてPCI SSCの見解が述べられている。Assessor Updateの情報を通して、PCI SSCにおける最新の動き、各種イベントや発行物の状況、要件解釈に関するPCI SSCの見解などを確認することが可能だ。
3月号のQSAのコラムとしては、情報セキュリティのポリシーの整備に関する各要件の重要性に対しての注意喚起、今月のFAQの欄では、要件8.5.11に「パスワードは英数字混在のものを使う」とあるが、数字の代わりに特殊キャラクターは利用可能か?」といった質問があった。その回答として、「特殊キャラクターを利用する場合、QSAはパスワード強度が英数字混在のものと同等以上であるかを確認すべき」とPCI SSCの見解が記載されている。
第10回では、前月に発行されたコールセンターなどにおいて、カード情報の取り扱いのリスクを軽減するために策定されたガイドラインである「Telephone-based Payment Card Data」についての紹介が行われた。
第11回目の開催では、Assessor Update5月号、6月号の紹介と、情報交換を行った。当時、米国でPTAエクスポが行われ、イベントの1つのアセッサーセッションとしてPCI SSCが講演を行い、各ガイドラインの策定を行うSIG (Special Interest Group)の活動について発表している。6月号では、仮想化に関するガイドライン「PCI DSS Virtualization Guidelines」についての紹介が行われた。仮想化技術に関しては、新たなリスクが発生することや、各社の運用の状況によって審査内容が変わるため、QSAとしても仮想化技術が利用される環境については注意して審査しなければならない。
第12回のQSA部会では、Assessor Updateの7月号、8月号の紹介と、情報交換を実施。まず、FAQで「要件11.1において、無線LANが存在しなくてもワイヤレスアクセスポイントの検出を行う必要があるのか」という質問に関しては、「実際に無線アクセスポイントが存在しないことを検出する必要がある」とPCI SSCの見解が述べられている。
また、8月号では、要件11.2について、「ASVは、年4回のペネトレーションテストの証拠を確認しなければならないが、初回の審査では4回出す必要はないが、再審査の際に過去4回のスキャンが提示できない場合はどうしたらいいか」という問いに対して、「詳細を出すことができない場合は、それを補う対策を別のアプローチで確認する必要がある」との見解が述べられていた。
第12回のQSA部会では、これまでの進捗の確認、経営者層に対して、PCIDSS準拠の重要性を啓蒙・普及していくためのセミナーが実施できないかという企画・立案が行われた。
2011年最後の部会となる第13回は、12月6日に実施。PCI DSSの活性化やPCI SSCから発表された文書の共有などを行っている。
「認定トレーニングに関するワーキンググループ」、
「統一ロゴマーク」の発行を検討へ
現状、国内におけるPCI DSSの推進については、QSAの訪問審査やシステム対応のコスト、準拠に向けての動機づけなど、加盟店がアクセルを踏むための、課題が多いことも事実である。
そのため、QSA部会では、「認定トレーニングに関するワーキンググループ」、もう1つは「統一ロゴマーク」の発行に向けた取り組みを行っている。
PCI DSS認定トレーニングについては、現在、多くの加盟店やサービスプロバイダが「PCI DSSはコストがかかる」という認識があるため、社内の現場の中で基準をよく理解している人間をつくる目的がある。また、経営層向けにPCI DSSの基準の全体像を説明したセミナーを提供することも必要となる。基本的に、経営層はセミナーに長期間参加することは難しいため、短時間のセミナーを行い、基準への理解を深めてもらうことなどを検討している。逆に、コンプライアンス部門の担当者などは、基準の中身まで詳しく紹介するセミナーを予定している。課題としては、明確な内容をどの程度決めるか、コースを設けるための採算性、セミナーを受講するメリットなどが挙げられる。現在、経営層向けのセミナーについては具体的な話が進んでいるという。
一方、統一の認定マークについては、これまで各QSAが独自に発行していたが、これはISMSやプライバシーマークの考えを生かしたものだ。PCI DSSの認定証については、準拠した企業からの要望も多かったが、各社で違ったマークを付与していると外部に向けたPR効果が発揮しにくくなる。そのため、統一マークをつくることで、準拠に向けたモチベーションを高める狙いだ。
ソリューションベンダーが活動するベンダー部会
各企業が製品の紹介を行うことで各要件の理解を深める
ベンダー部会は、JCDSCの場を利用して、12要件のテーマを絞り、各社からの説明を行い、抱えている課題に向けての意見交換、またQSA会員からの最新情報、トピックなどを紹介してもらい、PCI DSSの基準や製品に向けての見識を深める狙いがある。
2011年は7月26日に暗号化に関する勉強会を開催。QSAからの基準の説明や関連ベンダー9社からの商品説明が行われた。これまで取り上げた要件は3、4、8、10となり、次回の開催は2012年1月26日となっており、要件11に関してのソリューション紹介が行われる。11.2内部および外部のネットワークスキャン、11.3外部および内部のペネトレーションテストについて、自社の検査ツールや検査サービスを実施している会員企業からの発表が行われる予定だ。