2020年1月14日9:00
PCI Security Standards Council(PCISSC)は、2019年9月にバンクーバー(カナダ)で開催された北米コミュニティミーティングにおいて、PCI DSS Version4.0(以下、4.0)について発表した。同基準ドラフトの主なポイントについて、PCIセキュリティ・スタンダード・カウンシル(PCI SSC)日本アソシエイト・ダイレクター 井原 亮二氏に話を聞いた。
リリースは早くとも2020年後半以降
PCI SSCでは、コミュニティミーティングを年に3回開催、その内北米でのコミュニティミーティングは、4.0の発表もあり注目度も高く、1,300人強が参加したという。また、日本からも複数のQSA(認定審査機関)やPO(参加団体)が参加している。今回は4.0の発表に加え、PCI P2PEもVersion3.0が発表され、2020年1月より18カ月の移行期間となっている。P2PEも3.0となり、よりフレキシビリティが広がったそうだ。
4.0は現在、PO(参加団体)、QSA、ASVによるファーストドラフトのレビューを受け、その結果のフィードバックを元に中身を見直していくプロセスとなっている。今後は、ファイナルドラフトの最終レビューを経て、リリースは早くとも2020年後半以降となる。現基準はPCI DSS3.2.1だが、1.0から2.0、2.0から3.0へと基準が更新されるごとに大きな変更が行われている。井原氏は、「Version3.0が発表されてから6年経ちましたが、新しいテクノロジーや決済環境が変わっていく中で、PO始めステークホルダーから多くのフィードバックがあり、それを反映してきました。今回もいくつかの大きな見直しが行われています。ファーストドラフトについても多数のフィードバックを受けておりますが、その骨格が大きく変わることはないと考えています」と説明する。
オブジェクティブ(目標)に基づいて、基準を再設計
具体的な変更点として、1つはオブジェクティブ(目標)に基づいて、基準を再設計していく。例えば、PCI DSSはパスワードの桁数など要件の記載通りにすることが目的ではなく、パスワードに対する攻撃に対抗することが重要だ。要件書には、新たにセキュリティオブジェクティブという項目が追加され、各要件が目指している本来の目的を説明している。そして、その要件と目的をつなぐために各項目ごとにインテント(意図)文が追加されている。この結果、準拠対応方法に柔軟性がもたらされる。
「従来通り各要件の記載通りに対応する方法に加え、新たなオプションとして独自の対応方法(カスタマイズアプローチ)を審査員がレビューして当該要件が目指している目標が十分に達成できると判断した場合であれば準拠が可能です。PCI DSSの記載要件に無理に合わせるのではなく、自社の独自の取組みが審査員によって評価されます」(井原氏)
例えば、日本企業の中には、独自の方針に沿ってセキュリティ対策を行うカード会社、決済事業者、加盟店もあるが、「独自の対策が評価されて、4.0のインテントで求められている要件の目標が達成されると判断されば、よりPCI DSSが準拠しやすくなります」と井原氏は期待する。
