2024年4月2日9:00
クレジットカードの不正被害が増大する中、「クレジットカードセキュリティガイドラインv4.0」においてカード情報保護対策とされるPCI DSSは新バージョン4.0への移行期限が2024年3月末に迫り、その準拠対応の正念場を迎えている。このPCI DSSv4.0対応について、最新情報を紹介する。また同じく「ガイドライン」で不正防止対策としてEC加盟店に導入が求められているEMV3DSについて、関係するPCI基準、さらにスマホ・タブレットなど市販のモバイルデバイスをカード決済端末として活用する場合のセキュリティ基準(Mobile Payment On COTS – MPOC)の状況も合わせて紹介する。(2024年3月5日開催「ペイメント・セキュリティフォーラム2024」より)
PCI SSC アソシエイトダイレクター日本・韓国 井原 亮二氏
3月末でPCI DSSv3.2.1が終了
いよいよ4月よりv4.0に全面移行
2004年12月にPCI DSSv1.0がリリースされてから、今年でちょうど20年です。2022年3月にはPCI DSS v4.0がリリースされ、それから今日まで2年が経ちました。いよいよ2024年3月末をもって、前バージョンのPCI DSS v3.2.1はリタイアとなり、4月以降は4.0のみが有効ということになります。
なお、PCI DSS v4.0の新要件は64ありますが、このうちの51要件には未来日付が付いています。それらの要件は1年先の2025年3月末までは要件ではなく、ベストプラクティスという位置付けになっています。ただ51要件の中には、まさに今、日本のクレジットカード業界が直面している大きな課題、たとえばフィッシング攻撃対策やオンラインスキミング対策などが含まれていますので、早急に対応することが望ましいと考えられます。不正被害の拡大に歯止めがかからない中、セキュリティへの取り組みという点で、2024年は正念場の年になるのではないかと考えております。
PCI DSS v4.0への対応に取り組む場合に必要な、基準書、準拠証明書、自己問診票といった各種ドキュメントの日本語版は、PCI SSCのウェブサイトからダウンロードすることができます。優先的アプローチというドキュメントもあり、すでに多数ダウンロードしていただいております。これには、各要件に対して、重要度が6段階でランク付けされています。最終的にはすべてに取り組まなくてはならないのですが、重要度を理解して、優先順位を付けて取り組んでいくのも有効であろうと思います。
また、PCI DSS v4.0リソースハブとして、PCI DSS v4.0への対応に取り組む皆様を支援するため、ビデオ、YouTube、Podcastといったいろいろな形態のコンテンツを用意して、PCI SSCのウェブサイト上で公開しています。英語のコンテンツが主体ではありますが、日本語のコンテンツや日本語のテロップが付いたものもありますので、ぜひご活用ください。
PCI DSS v4.0への対応に取り組むためには、その受け皿として、各要件を理解し、準拠に導くための知見を有した人材の育成・確保が重要です。現状PCI DSS v3.2.1でトレーニングを受け、資格認定されているQSA、あるいは企業内部のISAといった既存の評価者の方々に向けては、PCI DSS v4.0への移行トレーニングを実施してまいりましたが、このプログラムは3月末で終了となります。現在、PCI DSS v4.0対応の新規評価者向けトレーニング(日本語同時通訳付き)プログラムを準備中で、2024年9月19日にリモートオンライン方式で実施する予定です。また、PCI DSSに関する社内研修の講師を務めたり、提携先のPCI DSS準拠対応をサポートされたりする方向けのPCIプロフェッショナル(PCIP)資格取得トレーニングというカリキュラムも、すべて4.0ベースにリニューアルされます。それぞれ準備が整い次第、ウェブサイトでご案内いたします。
PCI DSS v4.0はリリース後から、国内外からさまざまなフィードバック、ご意見をいただいております。これらの声をもとに、一部の表記やレイアウトの変更など軽微な修正を加えた補正版を、v4.0.1として2024年前半にPCI SSCのウェブサイトでリリースする予定です。大きな内容の変更はございませんので、現行のPCI DSS v4.0の日本語版ドキュメントはそのままお使いいただいて支障はありません。
PCI DSSv4.0の柔軟な運用を可能にする
新たなガイドラインをリリース
2023年6月末、「PCI DSS v4.ⅹ Items Noted for Improvement(INFI)」というガイドラインがリリースされました。これは、PCI DSS v4.0の準拠評価における課題解決のために制定されたものです。
PCI DSS v4.0の要件の中には具体的な対応期限、対応フレームが明記されているものがいくつもあります。たとえばインターネットのアクセスポイントについては、3カ月に1度、脆弱性についてスキャニングテストを受けなさい、と規定されています。それが実行されているかどうか、年1回のオンサイト評価のときにチェックしているわけですが、過去1年間に1回でも期限内にテストをしなかった、遅れてしまったという場合、たとえ現時点で問題がないとしてもその項目は「不適合」と評価しなければなりませんでした。新しいガイドラインでは、仮に1回テストが期限内に行われなかったとしても、現時点で適切に運用されていて、なおかつ、なぜ期限内にできなかったのかという原因が分析・解析され、再発防止策が立てられ、それが文書化されているという場合には、評価期間中にもう一度評価をして、問題なければ「適合」としてよいというように改訂されました。これによって、これまでより柔軟で現実的な対応をとれるようになりました。
また、2023年11月には、「PCI DSS v4.0 ターゲットリスク分析(TRA)ガイダンス」がリリースされました。これと同時に、リスク分析を行うための2種類のテンプレートも用意されました。これは、PCI DSS v4.0の要件に対して、各事業者が個社の状況に合わせてフレキシブルに対応できるよう、サポートするものです。
たとえばPCI DSS v4.0の要件8には、アプリケーションやシステムアカウントのパスワードは定期的に変更しなければならないということが規定されています。しかしその頻度については、このTRAの考え方に基づいて自社でリスク分析をして、自社で決めてください、ということになっています。また要件9の中には、決済端末の安全性を定期的にチェックしなさいと規定されていますが、この頻度についても自社でリスク分析をして、自社で判断してください、ということです。評価者はその妥当性についてチェックし、アドバイスするということになります。
