PCI DSS4.0のポイントは? 要件通りの準拠に加えて自社独自での対応も可能に

2020年1月14日9:00

PCI Security Standards Council(PCISSC)は、2019年9月にバンクーバー(カナダ)で開催された北米コミュニティミーティングにおいて、PCI DSS Version4.0(以下、4.0)について発表した。同基準ドラフトの主なポイントについて、PCIセキュリティ・スタンダード・カウンシル(PCI SSC)日本アソシエイト・ダイレクター 井原 亮二氏に話を聞いた。

9月に開催されたバンクーバーのコミュニティミーティングでの様子。左から2人目が井原氏。写真中央の前列左側はPCISSC エグゼクティブ・ダイレクター Lance Johnson氏

リリースは早くとも2020年後半以降

PCI SSCでは、コミュニティミーティングを年に3回開催、その内北米でのコミュニティミーティングは、4.0の発表もあり注目度も高く、1,300人強が参加したという。また、日本からも複数のQSA(認定審査機関)やPO(参加団体)が参加している。今回は4.0の発表に加え、PCI P2PEもVersion3.0が発表され、2020年1月より18カ月の移行期間となっている。P2PEも3.0となり、よりフレキシビリティが広がったそうだ。

4.0は現在、PO(参加団体)、QSA、ASVによるファーストドラフトのレビューを受け、その結果のフィードバックを元に中身を見直していくプロセスとなっている。今後は、ファイナルドラフトの最終レビューを経て、リリースは早くとも2020年後半以降となる。現基準はPCI DSS3.2.1だが、1.0から2.0、2.0から3.0へと基準が更新されるごとに大きな変更が行われている。井原氏は、「Version3.0が発表されてから6年経ちましたが、新しいテクノロジーや決済環境が変わっていく中で、PO始めステークホルダーから多くのフィードバックがあり、それを反映してきました。今回もいくつかの大きな見直しが行われています。ファーストドラフトについても多数のフィードバックを受けておりますが、その骨格が大きく変わることはないと考えています」と説明する。

オブジェクティブ(目標)に基づいて、基準を再設計

具体的な変更点として、1つはオブジェクティブ(目標)に基づいて、基準を再設計していく。例えば、PCI DSSはパスワードの桁数など要件の記載通りにすることが目的ではなく、パスワードに対する攻撃に対抗することが重要だ。要件書には、新たにセキュリティオブジェクティブという項目が追加され、各要件が目指している本来の目的を説明している。そして、その要件と目的をつなぐために各項目ごとにインテント(意図)文が追加されている。この結果、準拠対応方法に柔軟性がもたらされる。

「従来通り各要件の記載通りに対応する方法に加え、新たなオプションとして独自の対応方法(カスタマイズアプローチ)を審査員がレビューして当該要件が目指している目標が十分に達成できると判断した場合であれば準拠が可能です。PCI DSSの記載要件に無理に合わせるのではなく、自社の独自の取組みが審査員によって評価されます」(井原氏)

例えば、日本企業の中には、独自の方針に沿ってセキュリティ対策を行うカード会社、決済事業者、加盟店もあるが、「独自の対策が評価されて、4.0のインテントで求められている要件の目標が達成されると判断されば、よりPCI DSSが準拠しやすくなります」と井原氏は期待する。

準拠対象範囲(スコープ)の確認も通常要件で定義

また、4.0では、新しいテクノロジーをベースに基準を見直している点も特徴として挙げられる。以前からPCI DSSの基準は例えばクラウドをベースとした要件の記載になっておらず、QSAの判断に委ねていたが、4.0ではクラウドサービスなど多様な技術の採用を支援する。

認証では、パスワードを前提とした要件定義が行われていたが、多様な認証手法も視野に入れた記載となっている。

PCI DSSのオンサイトレビューでは、まず最初に準拠すべき対象範囲(スコープ)を定める。これは、定期的に行われるべきプロセスだが、これまでは要件書には定義されていなかった。3.2.1では、DESV(Designated Entity Supplemental Validation)という、過去に情報流出を起こしていたり、事業者のカード情報が集中するなど国際ブランドが特に指定した事業者に対して行う追加要件として定められており、定期的および組織や仕組みが変った時にスコープの再確認を行う必要があった。4.0ではこれが一般要件(要件12)で求められる予定だ。

その他、「NIST(米国・国立標準技術研究所)などではパスワードの方針をアップデートしており、PCI DSSとは必ずしも整合していない場合もありますので、その観点から基準を見直しています。12要件の骨格は変わりませんが、より説明をクリアにしたり、オブジェクティブベースにするために書き換えるなど、細かな変更点があります。サービスプロバイダのみの要件など、切り分けをしている部分もあります」(井原氏)

「実行計画」の下でPCI DSSの準拠を求められているアクワイアラ、サービスプロバイダ等に対しては最終版がリリースされた段階でできるだけ早期に説明が必要と考えている。

なお、PCI SSCでは、セキュリティに関しての人材育成も重要であるとした。4.0の審査をする際、「カスタマイズアプローチでは受審する事業者側で、PCI DSSの要件を把握し、自分たちの取り組みを理解して、審査員と議論ができる人材が不可欠です」と井原氏は話す。PCI SSCでは、「PCIプロフェッショナル(PCIP)」のオンラインによる日本語版講習を開始、すでにセミナーなどでも説明を行ったが、カード会社等の意識は高かったそうだ。また、日本クレジット協会も同取り組みに理解を示したという。

PCIPの料金一覧(2020年度は改訂される可能性あり)とオンライン登録サイト

関連記事

ペイメントニュース最新情報

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

トッパンの決済ソリューションをご紹介(凸版印刷)
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)

スマホ会員証でポイントサービス。今イチオシの「VALUE GATE」(トリニティ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

40ブランドに対応するキャッシュレス決済ゲートウェイ事業のほか、ハウスプリペイドやクラウドPOSなどのマーケティングソリューションを提供する情報プロセシングカンパニーです。(トランザクション・メディア・ネットワークス)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP