2021年4月19日8:00
2006年に設立された PCIセキュリテイ・スタンダード・カウンシル(PCI Security Standards Council :PCI SSC)は、PCI セキュリティ基準の開発、管理、教育、および認知を担当する、オープンなグローバルフォーラムだ。PCI SSCにおいて、日本国内におけるPCI関連基準の重要性についての啓発と推進に向けた奉仕活動を行う、アソシエイト・ディレクター 日本 井原亮二氏にPCI基準の概要と2021年の注目点について解説してもらった。
PCIセキュリテイ・スタンダード・カウンシル(PCISSC)
アソシエイト・ディレクター 日本 井原 亮二
2020年は新型コロナウィルス感染問題により対面・接触を前提とする従来の生活様式やビジネスプラクティスを根本から見直すことが求められた。一方で多くの場合、コロナウィルス感染防止の観点より現金決済よりも衛生的な非接触決済の普及が促される形となった。これらの変化は多くの場合、フィンテック(FinTech)関連企業によるアプリケーションやソリューションの開発を通じたペイメントの手法とテクノロジーによりもたらされている。PCI SSCは新しいアプリケーションとソリューションのセキュリティを確保するために「ソフトウェアセキュリティフレームワーク(後述)」を立ち上げ、フィンテック関連企業にペイメント領域での採用と使用を呼び掛けている。
残念ながら日本ではカード犯罪は近年増加傾向にある。昨年、「クレジット取引セキュリティ対策協議会」は改正割賦販売法で求められるセキュリティ対策を履行するための実務上の指針となる「実行計画」を引き継ぐ形で新たに「クレジットカード・セキュリティガイドライン」を策定した。本ガイドラインではカード情報保護対策として引き続きPCI DSSが採用されている。このような状況下、PCI基準対応を求められる新規参入事業者も視野にその概要について広く理解しておくことが改めて求められている。
1 PCI SSCの役割とPCI基準
PCI基準を策定・管理している「PCIセキュリティ スタンダード カウンシル(PCI SSC)」は全世界で安全なペイメントのためのデータセキュリティ基準とリソースを開発し、またその普及のためにペイメント業界のステークホルダーが集うグローバルなフォーラムである。PCI SSCのミッションはセキュリティ基準の開発と教育・啓蒙、そしてステークホルダーによる効果的な対応を支援推進することによりグローバルなペイメントデータセキュリティを強化することである。PCI SSCの「ストラテジック・フレームワーク」(図表1)ではグローバルなペイメント業界の利益のために、PCI SSCがこのミッションをどのように達成するかを4つの柱で明らかにしその役割や活動を具体的に示している。
業界参加と知識の促進
グローバルで業界レベルでのPCI基準の普及・拡大と基準の実行を支援するためのペイメントセキュリティに関する知識の普及・拡大を目指す
基準とバリデーションの進化
セキュリティを達成するための広範な環境・テクノロジー・手法などを支援するためにPCI基準とバリデーションプログラムの改革を目指す
新技術・ペイメントチャネルへの対応
最新のペイメントチャネルにおいてセキュアな受入を支援するために新たなPCI基準とリソースの開発を目指す
他基準との整合性・一貫性の促進
セキュリティの余剰の削減や効果的な実施を支援するため、PCI基準とその他の業界基準との連携および一貫性の向上を目指す
PCI SSCでは広範で多様なペイメントチャネルのセキュリティ促進を支援するため、現在15 のユニークなセキュリティ基準が策定されている。中でもPCI データセキュリティ基準(PCI DSS)はアカウントデータ〈カード会員データ(CHD)および機密認証データ(SAD)〉を保護するために設計された技術的・業務的な要件の基礎を提供するための最も網羅的・包括的な基準である。そして、その他の基準の中には加盟店・サービスプロバイダー・イシュア・アクワイアラなどがPCI DSS準拠対応を容易にするために策定された基準、もしくはセキュリティベンダーのセキュアなデバイス・ソフトウェアの開発そして環境を支援するための基準などがある。
2 主なPCI基準の概要
PCIデータセキュリティ基準(PCI Data Security Standard-PCI DSS)
「PCIデータセキュリティ基準(PCI DSS)」はカード会員データのセキュリティを強化し、一貫性のあるデータセキュリティ対策をグローバルに推進するために策定された。PCI DSS はアカウントデータを保護するために規定された技術面および運用面の要件のベースラインとして利用できる。PCI DSS はペイメントカード処理に関係する加盟店・プロセッサー・アクワイアラ・イシュア・サービスプロバイダを含むすべての事業者に適用される。そしてPCI DSSは、アカウントデータを保存・処理または送信するすべての事業者に適用される。図表3に12 の PCI DSS 要件を概説する。
PCI DSS評価プロセス
PCI DSS 評価プロセスには以下のステップの完了を含む。
1. PCI DSS 評価の対象範囲を確認する
2. 各要件のテスト手順に従って環境の PCI DSS 評価を行う
3. 該当するPCI ガイダンスと指示書に従って、代替コントロールの記録を含む該当する評価レポート(自己問診(SAQ)または準拠に関するレポート(ROC))を作成する
4. サービスプロバイダまたは加盟店に対する準拠証明書(AOC)を完成させる。AOCのテンプレートは PCI SSC ウェブサイト(https://ja.pcisecuritystandards.org/minisite/env2/)から入手可能
5. SAQ または ROC、AOCを他の必須文書とともにASVスキャンレポートなど他の要求文書をアクワイアラー、ペイメントブランドまたは他の要求者(サービスプロバイダなど)に提出する
6. もし、ROCもしくはSAQが未準拠の場合、未対応の要件に対する準拠対応を行い、更新された文書を要求者に提供する
ポイント to ポイント暗号化(Point-to-Point Encryption Standard-P2PE)
「ポイント to ポイント暗号化 (P2PE)」 のソリューションは加盟店でカード受付時点からアカウントデータに暗号化を施し、安全な環境で復号化されるまでアカウントデータを保護する。P2PEソリューションを使うことにより、アカウントデータはそれが安全な復号化環境に到着するまで解読不能になる。そのため、万一データが盗難にあってもその影響を低減させることができる。PCI SSCウェブサイト上に掲載されているP2PEソリューションの導入により加盟店はカード会員データ環境についてPCI DSS準拠対応への負荷を大幅に軽減させることができる。
日本ではP2PEでバリデートされたソリューションの活用は加盟店の「カード情報非保持化」 への取り組みを支援する。「カード情報非保持化」とは「クレジット取引セキュリティ対策協議会」が策定した「クレジットカード・セキュリティガイドライン」で規定された加盟店向けのカード情報保護対策であり、PCI DSS準拠と並び改正割賦販売法で求められているセキュリティ対策として実務上の指針とされている。
ソフトウェア セキュリティフレームワーク(Software Security Framework-SSF)
「ソフトウェアセキュリティフレームワーク(SSF)」はペイメントソフトウェアのセキュアな設計と開発のために策定された「セキュア ソフトウェア基準」、「セキュア ソフトウェア ライフサイクル基準」の2つのセキュリティ基準および「バリデーションフレームワーク」で構成される。この新しい取り組みは広範で多様な環境・テクノロジー・手法を支援し、そして最新のペイメントチャネルにおいてセキュアなペイメント処理を実現するため、PCI SSCとして前述の「ストラテジック・フレームワーク」で掲げた既存基準とバリデーションプログラムの改革、さらに新たな基準の開発を含めた取り組みの一環である。
SSFのリリースに伴い、既存のPA-DSS (ペイメント アプリケーション データセキュリティ基準) はSSFに置き換えられる。その移行プロセスは2021年6月より開始され、2022年10月に完了する。
市販品デバイスによる非接触ペイメント(Contactless Payments on COTS-CPOC)
「市販品デバイスによる非接触ペイメント(CPOC)」 はスマートフォンやタブレットなど市販品(Commercial Off-The-Shelf, COTS)のデバイスで非接触決済を行う場合の基準であり、加盟店のデバイス上で非接触取引や”tap and go”取引を可能にするソリューションのセキュリティ要件を提供している。
CPOCソリューションの主な構成要素としてはNFCインターフェースが搭載されPIN無し非接触取引でカード情報を読み込むCOTSデバイス、加盟店のCOTSデバイス上で稼働するバリデートされたペイメント ソフトウェア アプリケーション、そしてCOTSデバイスから独立しモニタリング・取引の完全性チェックおよびペイメント処理を支援するバックエンドシステムで構成される。 (図表5)
3Dセキュア SDKセキュリティ基準(EMV 3D Secure SDK Security Standard- 3DS SDK)
「3Dセキュア SDKセキュリティ基準(3DS SDK)」はスマートフォンやタブレットなどモバイルベースで3Dセキュア取引を行うために「3Dセキュア ソフトウェア開発キット(3DS SDK)」を開発するベンダー用に、EMVの3Dセキュア要件を定義している「EMV 3DセキュアSDK仕様」に対応する。この基準は3DS SDKの開発者やベンダー向けに、セキュリティの思想がSDKの設計・開発に確実に織り込まれることを目的としている。「PCI 3Dセキュア コア セキュリティ基準」 とともに「PCI 3DセキュアSDKセキュリティ基準」は3Dセキュア取引を実現するEMV 3Dセキュアの施設・設備のセキュリティに主眼が置かれている。
3 2021年の注目点
PCI SSC は2021年およびそれ以降を見据え、2つの活動に重点を置き取り組んでいる。
PCI DSS バージョン4.0 の発表と移行プロセス
PCI SSCでは現在PCI DSSの新バージョンに向けての作業を進めている。 新バージョンになるPCI DSS 4.0 ではペイメントエコシステムの急速な進化に応じたペイメントデータ保護のための重要な基礎を提示し、PCI DSSのセキュリティ目標を達成するために広範な手法とテクノロジーを使うことにより事業者に柔軟性を付加することを目指している。
PCI DSS 4.0の最終版は2021年にリリース予定である。その後、自己問診票など関連文書が策定されてから18か月の移行期間が開始される。
さらに、いくつかの新要件では「未来日付」が提示される予定である。これらの要件についてはその期日までは”ベストプラクティス“として見做される。
PCI SSCは2回のRFC*を通じ、ドラフトに対する数千ものご意見・フィードバックを得ることができた。この手法により最終版の策定にインプットを提供し反映させてゆくための機会を広くステークホルダーに提供している。
PCI SSCはRFCを通じ、特に新たな”カスタマイズド バリデーション“に関して多くのフィードバックを得た。”カスタマイズド バリデーション“では従来要件の実行に際し「代替コントロール」が提供してきた柔軟性の上に追加的な柔軟性を提供する。
PCI SSCはQSA(Qualified Security Assessor- 認定評価機関)とISA (Internal Security Assessors-内部セキュリティ評価者) の資格取得のためのトレーニングと認定テストをリモートオンライン方式にて2021年9月に実施する。特にこのトレーニングコースでは日本からの参加者向けに日本語・英語の同時通訳を付ける。
もう一つの資格認定プログラムであるPCIP(PCIプロフェッショナル)は事業者の社内関係スタッフがPCI基準に関する知識を取得するためのトレーニングと資格認定制度である。PCIPのトレーニングはすべてオンラインにてコンピューターベースで24時間いつでも日本語にて受講できる。
新型コロナウィルス感染拡大の影響と対策
多くの地域で新型コロナウィルスの世界的な感染拡大が続く中、ソーシャルディスタンス維持によるオンサイトトレーニングやオンサイトによる評価活動の制限、そしてペイメントで使われるデバイスや部品などの製造・供給の遅れなどPCI SSCおよび評価活動にもさまざまな影響が及んでいる。PCI SSCはステークホルダーと協力の上、必要な対応策の実施と情報提供を行っている。
対応策の1つとして、各種PCIプログラムの期限を延長している。主なものとしてはPCI PTSバージョン3.0認定端末の設置期限は2020年4月とされていたが、それが1年間延長されている。その他のPCI基準、例えばPCI P2PEなども年次の認定更新期限などのスケジュールが延長されている。
PCI SSCはまた、各種トレーニングとイベントをオンライン方式へ移行している。ソーシャルディスタンスを確保しながらすべてのQSA・ISAそしてその他のトレーニングとコミュニティミーテイングは次回の発表まで引き続きオンラインにて実施される。
多くの企業は出張の制約などによるPCI DSSのオンサイト評価を実行するうえで困難を抱えている。PCI SSCはリモートにより評価を実施する場合のアドバイスと注意点をブログとして専用ポータルに投稿している。日本では改正割賦販売法のもとPCI DSS準拠を求められる企業にとり重要な問題であり、PCI SSCではブログの日本語翻訳版を作成し提供している。
新型コロナウィルス問題は多くの企業に従業員の在宅による業務を強要しており、これがセキュリティ上の課題をもたらしている。PCI SSCはパンデミックの早い段階よりリモートワーク時における好ましいセキュリティプラクティスを公開している。
新型コロナウィルス問題に関する対応状況は変化しており、その最新情報についてはPCI SSCウェブサイト(図表7)で確認ができる。
* RFC (Request For Comments) について
PCI SSC はPCI 基準の新規策定や改訂に際し、PCI SSC の参加団体(Participating Organization ‒ P.O) などに対し広くそのドラフトを提示し内容のレビューをお願いしている。RFCはそのプロセスであり、RFC を通じてP.O. からのご意見を反映した形で手直しを行い最終版を完成させてゆく。
※カード決済&リテールサービスの強化書