2019年6月4日8:00

PCIセキュリティ スタンダード カウンシル(PCISSC)はペイメントセキュリティの国際的な基準とプログラムの開発・管理に加え、加盟店・サービスプロバイダー・カード会社などがペイメントセキュリティを向上させるための取組みを支援しております。本講演では、PCI SSCの概要とPCI基準の最新動向、2020年に向けた日本での取組みについて紹介します。

PCIセキュリティスタンダードカウンシル(PCI SSC)日本アソシエイトダイレクター 井原 亮二氏

PCI セキュリティ スタンダード カウンシル (PCI SSC) の概要

来年の東京オリンピックまであと500日を切りましたが、2020年3月12日に東京オリンピックのための聖火ランナーのリレーが始まります。3月26日には福島に上陸して47都道府県を回り、7月24日に新国立競技場に来るということで、オリンピックの準備もいよいよ大詰めですが、一方で、東京オリンピックを標的としたサイバー攻撃も実はすでに報告されています。例えばチケット販売のフェイクサイト、フィッシングメールなど、すでにいろいろ起きています。翻って、3年前に、ブラジルのリオデジャネイロ・オリンピックがございましたが、当時の現地のお話を聞いてみると、やはり開催の2年程前からいろいろな攻撃があったそうです。その意味で日本では、2015年からクレジット取引セキュリティ対策協議会が立ち上げられて、実行計画が作られましたが、このような問題を見越していち早く取り組まれた素晴らしい活動だったと考えています。

PCIセキュリティスタンダードカウンシル(PCI SSC)日本アソシエイトダイレクター 井原 亮二氏

PCIセキュリティスタンダードカウンシルは、頭文字を取ってPCI SSCと呼んでいます。PCI DSSのDSSは、データ・セキュリティ・スタンダードです。このスタンダード、基準を管理・運営している組織がPCISSCです。私はPCI SSCの一員としてアジアで初めて採用されまして、この日本の官民を挙げた取り組みを支援していく役割を担っているわけですが、これは今回の取り組みがある意味、アジアのモデルとなって、手本となれるような、国際的な期待の表れでもあると考えています

今回は「PCI基準の最新動向と2020年に向けた取り組み」というテーマでお話しますが、PCI SSCが日本でこのようなオープンフォーラムでお話をするのは、実は今回が初めてとなりますのでまずは、PCI SSCについてご紹介します。

PCI DSSができたのは、2004年12月です。国際5ブランド(アメックス、ディスカバー、JCB、Mastercard、Visa)が共同でこの基準を作り発表しました。それから1年半後の2006年6月に、それを管理・運営する機関として、同じ5ブランドが、このPCI SSCという組織を立ち上げました。そういう関係もあって、現在でも国際5ブランドがPCI SSCのガバナンスを管理しており、大きな意思決定はすべて、この5ブランドで構成されるエグゼクティブ・コミッティーで承認を得て、活動しています。セキュリティは、ブランドの競合関係を乗り越えて、協力・連携をしていくべき課題であるとの考え方に基づいています。

PCI SSCのミッションは、非常にシンプルです。関連事業者のペイメントデータの安全な管理を支援していきます。この目的を達成するための柱となる考え方、方針を3つ掲げています。1つは、セキュリティを向上させるための、国際的・業界横断的な努力です。脆弱な地域や業界、企業が残ると、そこに犯罪が集中しますので、関係者全員が同じ立場で取り組むことが大事です。2つ目に、業界主導による柔軟で効果的な基準と制度です。実際に作られた基準も、取り組む事業者側の理解と協力がないと普及しないため、さまざまな要望を積極的に取り込んでいます。3つ目は、犯罪者の攻撃や情報流出の予防、検知、影響の緩和です。予防だけではなく、実際に攻撃があったときに、それをいち早く検知して被害を最小限に抑える考え方も、基準の中に織り込んでいくべきです。そういう意味では、多面的、重層的な基準にしていく必要があります。

具体的に、PCI SSCが提供できるリソースとして、基準、認定プログラム、トレーニング、教育用ツールがあります。中でも基準は、PCI DSSを筆頭に、現在14の基準がございますが、大きく3つに分類をしています。1つは、決済用装置、ハードウェアです。例えばPINを入力するデバイス、HSMなど、ハードウェアに関する基準があります。それに対してソフトウェアでは、P2PE、PA-DSSなどがこのカテゴリーに入ってきます。3つ目の決済環境は、漠然とした言葉ですが、カード情報を扱ういわゆる体制、運用、処理、管理とか、そういう環境全体を指しており、これはまさにPCI DSSでいろいろな要件を規定しています。

これらの基準について準拠していることを、テストを通じて確認し、合格したソリューションを認定しています。また、認定したものPCI SSCのサイトで広くご紹介ししています。

もう1つ、人材育成の観点で、例えばPCI基準に関する理解者、あるいはPCI DSSの準拠状況を評価する評価者、評価する機関がトレーニングを受けていただき、最終的に認定しています。

一方、カード情報を取り扱う事業者から見たときに、セキュリティ対策の基本は「人材」「プロセス」、「テクノロジー」の3つになります。

「人材」は、組織の中にペイメントセキュリティに関する経験者、あるいはリーダーを育成していくことが非常に重要なポイントです。「プロセス」は、カード情報を扱うための方針、業務処理、あるいは運用手順をきちんと確立していくことで、担当者が変わっても、そういう考え方が引き継がれていくことが、大事なポイントです。3つ目の「テクノロジー」は、新しい犯罪の手口、脅威、リスクに対抗できる適切な技術を積極的に採用していくことが、大変重要なポイントだと考えています。この「テクノロジー」ですが、安全でセキュアな、例えば端末機、ソリューションを使っていただくことが重要だと考えていますが、PCI SSCはこの基準に準拠、合格し、認定した設備やソフトウェアを、加盟店、あるいはサービスプロバイダ等々の関連事業者が簡単に特定できるように、PCI SSCのサイト上で公開して案内しております。特に日本の実行計画との関係でいきますと、例えば「Approved PTS devices」はいわゆるPIN入力用デバイスです。これはIC化対応をしていくと、どうしてもPINを入力するオペレーションが付いてきます。そのときに、入力したPINを安全に処理・管理していくためのデバイスになります

PCI P2PE Solutions」は、ポイントtoポイントということで、カード情報を扱う端末と、最終的にそれを処理・保管するセンター側に至るまで、カード情報を適切に暗号化し処理・伝送していくソフトウェアがあります。これに認定されているソリューションが公開されております。

「Validated Payment Applications」は、ペイメントカードデータを保護するためにPA-DSS(Payment Application Data Security Standard)に準拠していることが確認されたソフトウェアプロダクツです。

P2PEも、PA-DSSも、カード情報の非保持化、特に内回り方式を実現していく上で大変有効なソリューションであり、先々PCI DSSに準拠していくためにも大変有効に機能すると考えております。

次に、PCI SSCのミッションを達成するためには、やはり地理的、業種・業界の専門家、実務の方々が広く参画し、いろいろな意見を反映することが重要だと考えております。これを実現していくための手段として、Participating Organizations(パーティシペイティング・オーガニゼーション)という枠組みが、PCI SSCの中にあり、略して、「PO」と呼んでいます。

PCI基準は、PCI SSCに参加してくださったPOの方々との協業によってかたち作られていきます。POは現在、全世界に800社強あり、多くの関連事業者が参加してくださっています。新しい基準の策定や、改定、制度を考案、決定するに当たり、いろいろなフィードバックをPOからいただいています。

PCI SSCは、グローバルなオープンフォーラムです。法人であれば、原則どなたでもPOに参加していただくことが可能です。現在、アジア・太平洋地域では67団体あり、この内、日本は残念ながら10社と少ない状況です。日本の市場規模、PCIに対する取り組みを勘案すると、もっとPOが増えて、日本の声を反映させていく努力が必要なのではないかと思います。

PCI DSSの準拠は、日本では事実上法律要件の一部になっています。もっと日本の特殊事情、環境といったものがPCI DSSの中に反映させていくことが必要と考えています。

POに参加するには年間3,750ドルの費用が必要になりますが、いろいろなメリットがあります。簡単にご紹介しますと、一番重要なのは、PCIの基準やプログラムをドラフトの段階でレビューすることができ、そのうえでいろいろなご意見やコメントを提示していただくことが可能です。それと、海外の動向やPCI基準、プログラムに関するニュースがPCI SSCから定期的にニュースレターとして送られます。また、PCSSCが立ち上げるタスクフォース(SIG (Special Interest Group)と呼ばれています)があります。POの方からPCI基準やペイメントセキュリティに関する共通課題をご提示いただいたときに、それを議論するためのタスクフォースを立ち上げます。それにはQSA、アクワイアラ、国際ブランド、ベンダーなど、いろいろな方々を招集して、課題に取り組んでいきます。そして1つの解答、結論を出していくという枠組みがあり、これにも参加していただくことができます。

さらに、PCI SSCが主催する、ISA,PCIPなど人材育成トレーニングおよび資格認定のプログラムがありますが、これらのご参加料の割引が受けられます。そのほかいろいろ細かいこともあるのですが、ぜひこのようなメリットをご理解いただき、ご検討いただければと思います。

PCI基準とプログラムの最新動向

続きまして、PCI基準とプログラムの最新動向についてお話しします。PCI SSCは、PCI DSSをはじめとしまして、PO、あるいはQSAのような方々からいろいろなご意見をいただき、それに応じて基準やプログラムの更新、策定などを行っていきます。このような動きは、いずれ国際ブランドがルールに落とし込んでいきます。そうなると、アクワイアラを通じて、サービスプロバイダあるいは加盟店にいろいろな影響を及ぼします。ですので、できるだけ早い段階でこういう情報を収集・把握していただき、ご理解していただくことをお勧めします。

まず最初に本年1月に「ソフトウェア・セキュリティ・フレームワーク」が発表されました。これは企業から情報流出が起きているケースでその原因を調査していく中で、使われているアプリケーションプログラムに脆弱性があり、導入している加盟店も知らないところで平文のカード情報のファイルがPOSの中に残っていたケースなどがありました。実際、POS端末やモバイル、スマホ、サーバなどではいろいろなプログラム、アプリケーションが使われカード情報が処理されています。したがって安全なソフトウエアおよびそのライフサイクルに関する基準を策定することはとても重要な課題です。そういう議論を経て、ソフトウェア・セキュリティ・フレームワークがつくられています。

次に「Best Practices for Maintaining PCI DSS Compliance」です。ベストプラクティスなので、基準ではありませんが、PCI DSSに準拠した企業が、いかに持続するか、維持するのかは共通の課題になっております。PCI SSCがSIGを立ち上げて、議論を行い、ドキュメントにまとめられています。

PCI DSSは原則年1回のレビューで準拠状況を確認しますが、このレビューは、その時点がどうかというのはわかりますが、普段の状況は把握できません。大切なことは、自社のリスクをしっかり理解して、どういうリスクがあるのか、どういう頻度で何をどれだけ見たらいいのかを企業のカルチャーとして、作り上げていくということが非常に重要だと思います。このガイドブックには、テクニカルな観点だけではなくて、会社の体制、管理方法などがベストプラクティスにまとめ上げられています。

▶▶後編へ続く

※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のPCIセキュリティスタンダードカウンシル(PCI SSC)日本アソシエイトダイレクター 井原 亮二氏の講演に加筆を加え、紹介しております。

 

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP