2018年6月20日8:30

PCI SSC(PCI Security Standards Council)は、ペイメントセキュリティの「PCI DSS」やPINセキュリティの「PCI PTS」などの基準を運営する機関となる。2018年5月23日~24日の2日間、ウェスティンホテル東京でアジア太平洋地域の決済事業関係者を対象とした年次カンファレンス「PCIアジア太平洋コミュニティミーティング(PCI SSC Asia-Pacific Community Meeting 2018)」を開催したが、PCI SSC インターナショナルディレクター Jeremy King(ジェレミー・キング)氏に基準のアップデートについて説明してもらった。

PCI SSC インターナショナルディレクター Jeremy King(ジェレミー・キング)氏

PCI DSS Version3.2.1は小さな変更に
PCI DSS Version 3.2は12月31日まで有効

――2018年5月にPCI DSS3.2.1を発表されましたが、メジャーアップデートはありませんでしたね。
ジェレミーキング:基準をアップデートするのはコミュニティがどういった所を変更するか、アップデートを望んでいるかに加え、我々が独自で何が必要かを見ています。この2年で3.1から3.2と基準をアップデートしていますので、今回はメジャーな改正はしなくてもいいと判断しました。

3.2.1では、セキュア・ソケット・レイヤー(SSL)/初期トランスポート・レイヤー・セキュリティ(TLS)の適用要件に関する2018年2月1日という有効化の開始日は経過しましたで、この有効日に言及した但し書きを削除するなどしています。PCI DSS Version 3.2は2018年12月31日まで有効であり、2019年1月1日付で終息します。また、3.2.1を使って評価することも可能です。

今回の「PCIアジア太平洋コミュニティミーティング」のようなイベントが、アジアにおいてPCI DSS基準に関する意見をいただくいい機会となっています。この地域から数多くの新しいテクノロジが出ていますので、どういった変更が必要なのかという意見をいただくいいチャンスでもあります。少なくても1年掛けて情報収集させていただき、基準の方向性を見定めていきたいです。次が3.3になるのか、4.0になるかはわかりません。

PINセキュリティは「ANSI X7」とコラボ
PA-DSSは新たなフレームワークに移行へ

――他のPCI基準のアップデートはいかがでしょうか?
ジェレミーキング:PCI DSSでメジャーなアップデートがないとはいえ、PINセキュリティに関してはVersion 2となっていますが、「ANSI X7」とのアライアンスにより、2つを組み合わせて1つにする試みをしています。「PCI ANSI X7 PIN Security」ですが、それを「PCI PIN Security3」にする予定です。今年末までに統一したアプローチを目指しています。開発に当たってはOWASP(The Open Web Application Security Project)の協力を得ました。

P2PE(Point to Point Encription)に関しては、フィードバックからは基準に満足できていますので、来年のリリースを予定しています。

また、ソフトウェアセキュリティの基準は2019年の第一四半期に出す予定です。ソフトウェアセキュリティのライフサイクルは今や時間単位となりつつありますが、そういった短いライフサイクルでも対応できるようにしていきます。

ペイメントアプリケーションの「PA-DSS」は、現在はセキュリティ基準に対して十分満たしており、加盟店で自信を持ってお使いいただいています。そのPA-DSSの情報を今のソフトウェアセキュリティのフレームワークにマージします。PA-DSSは2022年が期限となり、新しいフレームワークに移行させます。

「PCI 3-D Secure Core」をリリース
小規模加盟店向けのサポートも強化

――本人認証の仕組みである「3-Dセキュア」の基準に関してはいかがでしょうか?
ジェレミーキング:3-DセキュアはEMVCoが再設計して、固定だったパスワードをダイナミックパスワードにすることで展開されます。EMVCoでは、セキュリティ面での評価やテストをする上でPCIに助けを求めてきたため、2つの標準規格を策定しました。

すでに、実際にソリューションを開発する「PCI 3-D Secure Core」はリリースしています。もう1つが3-DセキュアのSDK(ソフトウェア開発キット)となり、実際にソリューションとして採用する加盟店がセキュアな形で行うことにフォーカスしています。これで、EMV 3-Dセキュアプロセスのバージョン2ができあがります。最後のフェーズでは、承認できる人間を育成します。3-DセキュアのSDKもバリデーションのプロフェッショナルが2018年以降に評価していくことになります。

小規模加盟店向けのサポートも行っています。新たに小規模加盟店が正しい方向に向かっているのかをバリデーションするためのツールを作成しています。「Payment Data Security Essential」ですが、加盟店はセキュリティ面で改善・向上しているかを評価できます。ガイダンスのドキュメントは仕上がっていますが、日本の小規模加盟店向けに日本語版が出てまいります。

小規模加盟店では、特に3つの点を解決すればセキュリティは大幅に向上すると考えています。1つはパスワードの保護のポリシーとプロセスを持つこと、2つめはソフトウェアのパッチを行うこと、3つめはソフトウェアについて最新のバージョンを使用することです。その助けとなるシンプルな動画を作成しており、強固なパスワードの保護は日本語の字幕も付けています。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP