2024年9月25日8:00
提供:キヤノンITソリューションズ株式会社
協力:ICMSソリューションズ株式会社
クレジットカード情報の取り扱いについてのグローバルセキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」のバージョン4.0(以下、v4.0)が2022年3月に発表された。2024年6月には、誤植などの訂正が加えられたマイナーバージョンアップ、v4.0.1(以下、v4.0.1)がリリースされている。
今回も、これまでの改訂と同様に「ベストプラクティス」というルールが設けられている。これは改訂した要件に対応するための猶予期間を設ける考え方で、この期間内であれば該当の要件への対応が済んでいなくても、準拠NGにしないというルールだ。
しかし、どうやらのんびりしてはいられないようだ。というのもv4.0改訂に伴うベストプラクティスの猶予期間は2025年3月までとなっており期限が迫ってきているからだ。PCI DSSに準拠している企業は、これらの改訂要件への対応が急務となっている。このベストプラクティスの猶予期間は、v4.0.1においても変更は無い。
キヤノンITソリューションズ株式会社 ITサービス事業企画部の吉川大亮氏(以下、吉川氏)とICMSソリューションズ株式会社代表取締役社長の荒井亮介氏(以下、荒井氏)の対談でも、各企業の対応状況についての話題となった。
PCI DSS v.4.0で企業が苦慮する要件
ストレージやデータベース暗号化が準拠NGに?
吉川氏:2024年7月時点でPCI DSS v.4.0に対応できている企業の割合はどれくらいでしょうか?
荒井氏:ICMSでは4割程度がv4.0で監査を受けています。また、ICMSソリューションズではすでに100社以上からv4.0対応のコンサルティング依頼があり、対応しております。2024年4月以降はv4.0のみの監査となっています。
移行スケジュールを説明しますと、v4.0.1がリリースされましたので、2024年7月現在v4.0とv4.0.1は並行しています。2024年12月31日にv4.0は終了し、2025年からはv4.0.1のみ有効なバージョンとなります。
どうやら半数近い企業が、スケジュール通りにv4.0への対応を完了させているようだ。
では、v4.0への対応はそれほど難しくないのか?というと、環境やこれまでの準拠方法によっては難しい対応が迫られている企業もあるようだ。
吉川氏:v4.0対応で企業が苦慮していそう要件はありますか?
荒井氏:要件3.5.1.2の暗号化要件、要件8.4.2/8.5.1の多要素認証要求などは対応に悩んでいる企業があるようです。
吉川氏:たしかに要件3.5.1.2は解釈が難しい要件だと感じました。この要件では、ストレージの暗号化機能のよるディスク丸ごとの暗号化や、データベースの暗号化機能によるテーブル丸ごとの暗号化では、準拠NGとなるのですよね?
荒井氏:はい。ご認識の通りです。ICMSとICMSソリューションズではおっしゃった通りの解釈で監査しております。この解釈については国内のQSA部会でも、意見交換をしているので、おそらく国内の他のQSAでも同じ解釈となるでしょう。
ストレージやデータベースの丸ごと暗号化が準拠NGとなるのは、これまで上記の対応で準拠してきた企業にとってのインパクトは大きそうだ。
これまで、これらの方法で準拠していた企業は、異なる暗号化方式への変更を余儀なくされている。
準拠OK/NGと判断するポイント
CipherTrustは対応に最適な暗号化製品?
吉川氏:要件3.5.1.2において、準拠OK/NGと判断するポイントはありますか。
荒井氏:判断ポイントについては、要件資料の「目的」にヒントが記載されています。これを見ると、ディスクレベルおよびパーティションレベルの暗号化は、データの参照権限をユーザー単位で制御できないため準拠NGと読み取れます。言い換えれば、データの参照権限をユーザー単位で制御できれば、この要件でも準拠可能な暗号化と言えるでしょう。
キヤノンITSが取り扱っているCipherTrustは、まさにデータの参照権限をユーザー単位で制御可能な暗号化製品だと吉川氏は話す。
次回は引き続き、吉川氏と荒井氏の対談の中で、どのようにすれば新しい暗号化要件に対応可能なのかを探っていく。
■資料ダウンロード
■問い合わせ先
ciphersec@canon-its.co.jp
