2017年5月11日8:10
経済産業省が中心となり、クレジット取引セキュリティ対策協議会によって策定された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2016」(以下、実行計画)が、2016年2月に公開された。実行計画では、クレジットカード取引を安全・安心に行うために、クレジットカード加盟店におけるカード情報非保持化を進めるとともに、保持する事業者等は、PCI DSS(Payment Card Industry Data Security Standard)準拠を進めることを求められている。本稿では、PCI DSSおよび関連する基準について解説する。
PCI基準とは
PCI DSSは、カード情報を漏えいから保護するためにPCI SSC(PCI Security Standards Council)により定められ、維持されているセキュリティ基準である。その対象は、カード情報の保護に関わる人・システム・媒体・拠点といった事業体の環境全体だ。
加盟店やサービスプロバイダは、アクワイアラや国際ブランドからPCI DSS準拠を求められる。また、加盟店・サービスプロバイダは、カード情報の保存・処理を委託する第三者、およびシステムのセキュリティに影響をおよぼす機能の管理を委託している事業体に対して、PCI DSS準拠することを求める必要がある。
さらに、事業体のPCI DSS準拠をサポートするために、PCI SSCは、カード情報を扱うデバイスやアプリケーションを対象とした、以下のような基準群も整備・公開している。
PA-DSS : POSやECサイトのカートアプリケーションなどの決済アプリケーションを対象とした基準
P2PE : 決済端末からソリューションプロバイダまでカード会員データを暗号化し、保護するための基準
PTS : 暗証番号(PIN)を入力・伝送するデバイスや暗号化・復号で重要な機能を担うセキュリティモジュールに対して求められる機能を定めた基準
これら以外にもカード発行に関わる事業体向けの基準なども整備されている。実行計画への対応において重要なPA-DSS、P2PEの詳細については、後述する。
PCI DSS Version 3.2の要件のポイント
PCI DSS Version 3.2は、2016年4月28日に公開され、2016年11月以降は、同バージョンに基づいた対応・評価が必要になった。
Version 3.2の主な変更点には、次の通り。
・ SSL/初期のTLSから安全なTLSへの移行対応
・ PAN表示のマスキングにおける業務上の必要性と桁数の関係の厳密化
・ 管理アクセスに対する多要素認証の適用拡大
・ BAU(Business As Usual)としてのPCI DSS維持
上記の変更点については、顧客や業務、システム実装への影響を考慮して、対応期限を見据えて早めに計画を進める必要があるだろう。以下の表1にVersion 3.2で設定されている対応期限を時系列でまとめた。
Version 3.2の最も特徴的な変更点は、PCI DSS準拠を維持するための要件の追加だ。PCI DSSの取り組みは、年一回のオンサイトレビューだけを見据えた活動となりがちである。オンサイトレビュー後の維持運用ができていない事業体による大規模な情報流出事故が発生していることから、PCI SSCの問題意識は、「準拠しているか?」から「維持できているか?」へと移ってきている。PCI DSS準拠維持のために、そのコントロールを日常業務(BAU, Business As Usual)に組み込むという概念は、これまでも紹介されていたが、Version 3.2では要件として具体的に追加された。
BAU要件は、すべての事業体に適用される要件、サービスプロバイダ向けの要件、指定事業体向け要件の三種類に分けることができる。
すべての事業体に適用されるBAU要件
すべての事業体に適用されるBAU要件として、システムの重要な変更が行われた際に、関連するPCI DSS要件の実装と文書化を行うことが追加されている(要件6.4.6)。この要件に対応するには、変更管理プロセスの中でPCI DSS要件への影響分析を実施することが重要となる。
サービスプロバイダー向けのBAU要件
サービスプロバイダー向けに、五種類のBAU要件が追加されている。
1.暗号アルゴリズム、プロトコル、各暗号鍵詳細、鍵管理に使用するハードウェアリストなどを含む暗号アーキテクチャの文書化(要件3.5.1)
2.重要なセキュリティ制御システム(ファイアウォール、IDS/IPS、FIM、アンチウイルス、アクセス制御、ログ管理システム、セグメンテーション制御システムなど)の障害検知/報告/対応(要件10.8、10.8.1)
3.6カ月ごとのセグメンテーション制御のペネトレーションテスト(要件11.3.4.1)
4.経営層の責任を含む、正式なPCI DSS準拠プログラム、PCI DSS憲章の確立(要件12.4.1)
5.四半期ごとの従業員のポリシー・手順遵守状況チェック(要件12.11、12.11.1)
指定事業体向けのBAU要件
カード情報を大量に扱う事業体や情報漏えいを起した事業体などで、アクワイアラや国際ブランドから指定された場合、付録「Appendix A3」として追加された、PCI DSS準拠を確実なものとするための要件DESV(Designated Entities Supplemental Validation)への対応も必要となる。DESV要件は、次の5つの領域のコントロール群から構成されている。
1.PCI DSS準拠プログラムの実装
2.PCI DSSのスコープの文書化および検証
3.BAU活動へのPCI DSSの組み込み
4.カード会員データ環境への論理的アクセスのコントロールおよび管理
5.疑わしい活動の特定と対応
BAU要件の準拠は、2018年1月31日まで猶予があるが、早めの対応を行うことでPCI DSS準拠の維持を確実にし、カード情報漏えいが発生しないように努めることが求められる。
PA-DSSとは
ペイメントアプリケーションデータセキュリティ基準(PA-DSS)は、ペイメントアプリケーションを開発するソフトウェアベンダー向けのセキュリティ基準だ。加盟店やサービスプロバイダなど、ペイメントアプリケーションを利用するユーザーがPCI DSSに準拠しやすくするために、アプリケーションで実装すべき要件やソフトウェアベンダーが実施すべき要件がまとめられている。
PA-DSSは、ユーザーのPCI DSS準拠をサポートする性質上、PCI DSSに対応する要件が数多く見られる。また、ソフトウェアベンダーは『PA-DSS 実装ガイド』という、ユーザー向けのPCI準拠マニュアルの提供が要件で求められるため、PCI DSSがよく分からないユーザーの立場で考えると、PA-DSS準拠製品を使用することはPCI DSS準拠の近道になるといえるだろう。