2010年11月22日8:00
QSAに聞くVersion2.0のポイント~(1)NTTデータ・セキュリティ
――御社がQSAとして活動する上での強みを簡単にお答えください。
QSA、PA-QSA、ASVとしてのPCI DSSに関するさまざまな業種に対する豊富な実績と、セキュリティ専門会社としてのスキル、決済インフラに関わる経験により、トータルでPCI DSS準拠へのアドバイスが可能です。
――PCI DSSが新バージョンに移行になりますが、新バージョンをご覧になった感想をお答えください。
大きな変更点はないが、柔軟性や明確さが上がっており、基本的な部分ではない各論部分は追加で補完しており、完成度が高まっています。
――新バージョンに移行になり、緩和された部分で特に注目される点につきましてお答えください。
イシュアによるセンシティブ認証データ保管が許容されるようになった点(3.2)と、暗号鍵の変更について期間が柔軟になった点(3.6.4)が特に緩和されたと考えられます。
また、不正な無線機器を検出するためのテストにおける対応方法の多様化(11.1)、システム強化基準のソースへのISOの追加(2.2)も挙げられます。
――新バージョンに移行になり、強化された部分で特に注目される点につきましてお答えください。
序文ではスコープ定義プロセスの文書化が追加された点、要件では6.2、6.5の脆弱性を特定するプロセスにおけるリスクのランク付けの追加や、非Webアプリケーションへの対象の拡大です。
――上記の点を踏まえ、来年以降、QSAとして審査は行いやすくなると考えられますか?また、QSA部会などで議論が必要になる点などがあるようでしたらお答えいただけると助かります。
審査自体のボリュームや方法は大きく変わりませんが、要件がさまざまな点で明確化されていることから、顧客への説明が容易になることが予想できます。
QSA部会では、スコープの定義プロセスについて、含むべき内容や粒度を話し合う必要があるでしょう。
