2010年11月09日12:19

PCI DSS Ver.2.0の要件を解説~BSIグループジャパン(2)

要件11.1は検出方法を柔軟化

要件6は脆弱性に対するリスクベースの採用を盛り込む

要件11.1の四半期に一度の無線アクセスポイントの存在、及び許可されていない無線アクセスポイントの検出のためのテスト方法についても改定された。1.2では無線アナライザもしくはIPS/IDSを導入して技術的な確認が必要だったが、物理的なサイトの検査、ネットワークコントロール(NAC)が追加され、要件が緩和された。

=====================

・ 無線ネットワークスキャン(無線アナライザ)

・物理的なサイトの検査

・ネットワークアクセスコントロール(NAC)

・無線IDS/IPSの導入

※青字は追加された部分

=====================

要件の発展的改定としては、脆弱性に対するリスクベースの採用が盛り込まれた。2012年6月30日までは必須ではないが、同7月1日からは必須となる。

要件6.2は新たなセキュリティを特定して、当該のリスクランキングを割り当てることを確認しなければならなくなった。

リスクのランク付けに関しては要件6.5の安全なコーディングガイドライン、要件11.2の脆弱性スキャニングテストにも影響している。例えば、要件6.5.6の安全なコーディングのガイドラインについては要件6.2の定義にしたがって「High」とランク付けされた脆弱性のあるコーディングを防止しなければならない。また、要件11.2.1bのテスト手順では、スキャンレポートをレビューし、スキャンプロセスに合格結果が得られるまで、または要件6.2の定義にしたがって、「High」とランク付けされたすべての脆弱性が解決するまで、再スキャンすることが含まれていることを検証しなければならない。

数多くの要件が明確化

PCI DSS対応の3つの新技術についても解説

新バージョンでは、内容が明確になってわかりやすくなった部分が数多くある。例えば要件1.1.5では、安全でないサービス、プロトコル、ポートの例示として、FTP、Telnet、POP3、IMAP及びSNMPが追加された。また要件1.3のインターネットとカード会員データ環境の境界についても明確化された。要件1.3.5については、1.2ではカード会員データ環境からインターネットへの発信トラフックはすべて禁止されていたが、2.0ではカード会員データ環境からインターネットへの許可を得ていない発信トラフィックは禁止することとなった。また、要件1.3.6では動的パケットフィルタリングの実装状況検証のためのポートスキャナを使用することとなっていが、これを削除した。

要件3.2のイシュアのセンシティブ認証データ保管については、事業上の正当化ができ、データが安全に保管されていれば、センシティブ認証データを保管することが許可された。

要件6.5に関しては従来、安全なWebコーディングに関する条件であったが、非Webアプリケーションを含んだ安全なコーディングに関する要件となった。要件8のレジに対する認証に関わるPA-DSSとの整合化については、「1回にカード番号を1件ずつアクセスするだけのPOSペイメントアプリケーションについては、要件8の一部の要件(8.1、8.2、8.5.8-8.5.15)に適用することを意図していない」、という注記が加わった。カード会員データ環境へのリモートアクセスポリシーの柔軟化(要件12.3.10)については青字の部分が追記され、より明確な要件となった。

­====================

要件12.3.10

PCI DSS要件・・・リモートアクセステクノロジ経由の場合でカード会員データにアクセスする場合、業務上の必要性が定義され、明示的に許可されていない限り、ローカルハードドライブおよびリムーバブル電子メディアへのカード会員データのコピー、移動、保存を禁止する。

テスト手順

12.3.10.a 使用ポリシーで、リモートアクセステクノロジ経由でのアクセス時に、ローカルハードドライブおよびリムーバル電子メディアへのカード会員データのコピー、移動、または保管が禁止されていることを確認する。

12.3.10.b  特定の許可を与えられた従業員に対して、使用ポリシーにおいて、PCI DSS要件に沿ったカード会員データの保護が要求されていることを確認する。

※青字は追加された部分

­====================

米川氏は、PCI DSSの最新技術動向であるカード会員データを暗号化したポイントから、複合化するポイントまで読み取り不能な状態を保つ「Point-to-Point Encryption」、ICチップカード技術に基づくクレジットカード、デビットカードの国際標準仕様である「EMV」、PCI SSCが提案する新しいID管理手法である「Tokenization」についても解説した。

講演の最後には、BSIグループジャパン営業本部 営業マネージャー 部長 武藤敏弘氏がPCI DSSの国内での浸透状況について説明した。今年に入り、同社がオンサイトレビューを実施した企業の数は二十数社。最近は三菱UFJニコスが準拠を果たすなど、対応企業も増えており、サービスプロバイダを中心に問い合わせも多いという。

※PCI DSS Ver2.0の「要件とセキュリティ評価手順」については日本語版はまだ発行されていません。要件の翻訳についてはBSIグループジャパンが行った内容を掲載しています。

⇒⇒⇒PCI DSS Ver.2.0の要件を解説~BSIグループジャパン(1)へ戻る

■特集トップへ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP