2022年3月9日9:00
ペイメントカード業界の国際的な基準管理団体であるPCI SSC(PCIセキュリティスタンダードカウンシル)は、PCI関連基準の開発と普及に向けた支援活動を担っている。その観点から、国際的なペイメントセキュリティのニーズなどを紹介するとともに、PCI DSSバージョン4.0のポイントについて解説する。(2022年2月10日開催「ペイメントカード・セキュリティフォーラム2022」より)
PCIセキュリティスタンダードカウンシル, アソシエイトダイレクター 日本 井原亮二氏
PCI DSSが10年ぶりの大改訂
新しいテクノロジーとペイメントチャネル、新たなリスクや脅威に対応
PCI DSSはペイメントカード情報を取り扱う事業者の皆様が、取り組むべきセキュリティ基準として、グローバルに活用されています。日本では割賦販売法で規定された「クレジットカード番号等の適切な管理」のための実務上の指針となる「クレジットカードセキュリティガイドライン」の中に示されており、事実上の法律要件と見なされています。同様に多くの諸外国でも、各国の制度・枠組みの中に位置付けられています。
このPCI DSSがペイメントセキュリティの道しるべとして、これからも有効で有益な基準であり続けるためには、新しいテクノロジーあるいはペイメントチャネル、また新たなリスクや脅威、犯罪手口などの変化に応じて対応していくための改訂が必要となります。PCI DSSバージョン4.0の策定の検討に着手したのは2018年でしたので、それから3年あまり時間が経過しています。これまでどのような検討と議論がされてきたのかを、バージョン4.0のいくつかの新要件と合わせてご紹介したいと思います。
まず最初に、PCI DSSバージョン4.0の改訂を通じて、PCI SSCが目指してきた4つのゴールを紹介します。1つ目は、ペイメント業界のニーズに継続的に対応し続けることです。そのためにPCI SSCは、これまで合計3回のRFC(Request for Comments)を実施して、PCI SSC の参加団体であるPO(Participating Organization)、あるいは認定評価機関であるQSAの方々などから延べ6,000件以上のご意見やフィードバックを受け、その1つ1つをレビューし、基準に反映させてきました。
2つ目は、セキュリティを達成するための、要件とは異なる手法を積極的に評価し支援する柔軟性を付加することです。3つ目は、継続的なプロセスとして効果的にセキュリティを維持・推進していくための手法を目指すことです。4つ目にSAQ(Self Assessment Questionnaire:自己診断票)やAOC(Attestation of Compliance:準拠証明書)などのバリデーション文書と手法を改良し、信頼性や透明性を強化することです。以下、これら4つのゴールに向けた具体的な対応についてご説明します。
3回のRFCを通じて幅広く意見を収集
ステークホルダーのフィードバックを基準策定に反映
1つ目のゴールである「ペイメント業界のセキュリティニーズへの対応」については、ペイメントエコシステムの新たな脅威を精査し、また新しいテクノロジーや新しいペイメントチャネルがPCI DSSの中でどのように活かされるべきかを検討してきました。
RFCとは、POやQSAをはじめとするPCI DSSに関係するステークホルダーに、PCIの基準やプログラムの策定および改訂に際して事前にドラフトレビューをお願いし、それぞれの立場から忌憚のないご意見をいただき、それらを反映させて手直しをしていくプロセスです。PCI SSCはこのRFCを通じてさまざまなフィードバックを受け取ります。RFCは大規模な基準変更の際には最低2回実施されます。集まったフィードバックは1つずつレビューし、必要な対応をしてまいります。そしてRFCの参加者に、その結果を提示します。各フィードバックに対してPCI SSCがどのような対応をしたのかをお返します。
今回のバージョン4.0ではこれまで3回のRFCを行いました。2019年の第1回のRFCでは153社から3,000件以上のコメント、フィードバックの提示がありました。2020年の第2回では124社から約1,800件、2021年6月の第3回では87社から約1,300件が提示されました。結果的にバージョン4.0のドラフトには合計200企業・団体から、6,300件以上のフィードバックが寄せられました。この膨大な数のフィードバックは、PCI SSCがペイメント業界の声とニーズを理解するのに大変大きな手助けになっています。またRFCに加えて、ペイメントの環境がどのように変化してきているのか、将来どのように変化するのかについて検討するため、関連業界や専門家のご意見を別途集め、検討してきました。これらによって、基準の策定を大きく前進させることができました。
パスワード、多要素認証、フィッシング対策など
既存要件の見直しと新要件によるセキュリティ強化
間もなくリリースされるバージョン4.0のいくつかの新要件をご紹介いたします。ただし、現時点ではドキュメントがまだ公開されていませんので、詳細はドキュメントがリリースされた段階であらためてご確認ください。
このコンテンツは会員限定(有料)となっております。
「Paymentnavi Pro2021」の詳細はこちらのページからご覧下さい。
すでにユーザー登録をされている方はログインをしてください。