【PR】2024年4月以降はPCIDSS v.4.0への対応が必須(キヤノンITS/ICMSソリューションズ)

2024年9月25日8:00

提供:キヤノンITソリューションズ株式会社
協力:ICMSソリューションズ株式会社

クレジットカード情報の取り扱いについてのグローバルセキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」のバージョン4.0(以下、v4.0)が2022年3月に発表された。2024年6月には、誤植などの訂正が加えられたマイナーバージョンアップ、v4.0.1(以下、v4.0.1)がリリースされている。

今回も、これまでの改訂と同様に「ベストプラクティス」というルールが設けられている。これは改訂した要件に対応するための猶予期間を設ける考え方で、この期間内であれば該当の要件への対応が済んでいなくても、準拠NGにしないというルールだ。

しかし、どうやらのんびりしてはいられないようだ。というのもv4.0改訂に伴うベストプラクティスの猶予期間は2025年3月までとなっており期限が迫ってきているからだ。PCI DSSに準拠している企業は、これらの改訂要件への対応が急務となっている。このベストプラクティスの猶予期間は、v4.0.1においても変更は無い。

 

キヤノンITソリューションズ株式会社 ITサービス事業企画部の吉川大亮氏(以下、吉川氏)とICMSソリューションズ株式会社代表取締役社長の荒井亮介氏(以下、荒井氏)の対談でも、各企業の対応状況についての話題となった。

PCI DSS v.4.0で企業が苦慮する要件
ストレージやデータベース暗号化が準拠NGに?

吉川氏:2024年7月時点でPCI DSS v.4.0に対応できている企業の割合はどれくらいでしょうか?

荒井氏:ICMSでは4割程度がv4.0で監査を受けています。また、ICMSソリューションズではすでに100社以上からv4.0対応のコンサルティング依頼があり、対応しております。2024年4月以降はv4.0のみの監査となっています。

移行スケジュールを説明しますと、v4.0.1がリリースされましたので、2024年7月現在v4.0とv4.0.1は並行しています。2024年12月31日にv4.0は終了し、2025年からはv4.0.1のみ有効なバージョンとなります。

キヤノンITS ITサービス事業企画部 吉川大亮氏(右)とICMSソリューションズ代表取締役社長 荒井亮介氏 

どうやら半数近い企業が、スケジュール通りにv4.0への対応を完了させているようだ。

では、v4.0への対応はそれほど難しくないのか?というと、環境やこれまでの準拠方法によっては難しい対応が迫られている企業もあるようだ。

吉川氏:v4.0対応で企業が苦慮していそう要件はありますか?

荒井氏:要件3.5.1.2の暗号化要件、要件8.4.2/8.5.1の多要素認証要求などは対応に悩んでいる企業があるようです。

吉川氏:たしかに要件3.5.1.2は解釈が難しい要件だと感じました。この要件では、ストレージの暗号化機能のよるディスク丸ごとの暗号化や、データベースの暗号化機能によるテーブル丸ごとの暗号化では、準拠NGとなるのですよね?

荒井氏:はい。ご認識の通りです。ICMSとICMSソリューションズではおっしゃった通りの解釈で監査しております。この解釈については国内のQSA部会でも、意見交換をしているので、おそらく国内の他のQSAでも同じ解釈となるでしょう。

ストレージやデータベースの丸ごと暗号化が準拠NGとなるのは、これまで上記の対応で準拠してきた企業にとってのインパクトは大きそうだ。

これまで、これらの方法で準拠していた企業は、異なる暗号化方式への変更を余儀なくされている。

※出典:PCI SSC「PCI DSSv4.0(日本語訳版)」

準拠OK/NGと判断するポイント
CipherTrustは対応に最適な暗号化製品?

吉川氏:要件3.5.1.2において、準拠OK/NGと判断するポイントはありますか。

荒井氏:判断ポイントについては、要件資料の「目的」にヒントが記載されています。これを見ると、ディスクレベルおよびパーティションレベルの暗号化は、データの参照権限をユーザー単位で制御できないため準拠NGと読み取れます。言い換えれば、データの参照権限をユーザー単位で制御できれば、この要件でも準拠可能な暗号化と言えるでしょう。

キヤノンITSが取り扱っているCipherTrustは、まさにデータの参照権限をユーザー単位で制御可能な暗号化製品だと吉川氏は話す。

次回は引き続き、吉川氏と荒井氏の対談の中で、どのようにすれば新しい暗号化要件に対応可能なのかを探っていく。

■資料ダウンロード

■問い合わせ先
ciphersec@canon-its.co.jp

 

 

 

 

 

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP