2023年4月25日8:00
(2)2025年度の審査に向けた対策
自動化の検討を要する新要件(24件)への対応
2025年3月31日までの対応が認められた51要件のうち、自動化ソリューションが必要となることが想定され、導入のための検討等が推奨される要件が、下記の分野で24要件存在します(全体のイメージについては、資料Eをご参照ください)。
●セキュリティ成熟度の向上
●内部リスク・環境変化への対応
●脅威/外部リスクへの対応
●アカウントデータの保護
自動化の検討を要する新要件は、ソリューションの調査・選定・調達・導入のための時間・コストが必要となるため、可能なものから、速やかに着手することが望まれます。
手動による対応の検討を要する新要件(27要件)への対応
手動による対応の検討が必要な新要件は、27要件存在します。このうち10要件を、頻度を決定するためのターゲットリスク分析に関する要件が占めるため、その概要を紹介します。
ターゲットリスク分析(頻度を決定するためのもの)
ターゲットリスク分析は、「PCI DSS の目的のために、特定の PCI DSS 要件に焦点を当てたリスク分析」と定義されています。PCI DSS v4.0の中で、ターゲットリスク分析は2種類が定義され、頻度を決定するためのもの(要件12.3.1)とカスタマイズアプローチを採用した場合に必要になるもの(要件12.3.2)がありますが、ここでは、頻度を決定するためのものを指しています。
