2020年1月14日9:00
PCI Security Standards Council(PCISSC)は、2019年9月にバンクーバー(カナダ)で開催された北米コミュニティミーティングにおいて、PCI DSS Version4.0(以下、4.0)について発表した。同基準ドラフトの主なポイントについて、PCIセキュリティ・スタンダード・カウンシル(PCI SSC)日本アソシエイト・ダイレクター 井原 亮二氏に話を聞いた。

リリースは早くとも2020年後半以降
PCI SSCでは、コミュニティミーティングを年に3回開催、その内北米でのコミュニティミーティングは、4.0の発表もあり注目度も高く、1,300人強が参加したという。また、日本からも複数のQSA(認定審査機関)やPO(参加団体)が参加している。今回は4.0の発表に加え、PCI P2PEもVersion3.0が発表され、2020年1月より18カ月の移行期間となっている。P2PEも3.0となり、よりフレキシビリティが広がったそうだ。
4.0は現在、PO(参加団体)、QSA、ASVによるファーストドラフトのレビューを受け、その結果のフィードバックを元に中身を見直していくプロセスとなっている。今後は、ファイナルドラフトの最終レビューを経て、リリースは早くとも2020年後半以降となる。現基準はPCI DSS3.2.1だが、1.0から2.0、2.0から3.0へと基準が更新されるごとに大きな変更が行われている。井原氏は、「Version3.0が発表されてから6年経ちましたが、新しいテクノロジーや決済環境が変わっていく中で、PO始めステークホルダーから多くのフィードバックがあり、それを反映してきました。今回もいくつかの大きな見直しが行われています。ファーストドラフトについても多数のフィードバックを受けておりますが、その骨格が大きく変わることはないと考えています」と説明する。
オブジェクティブ(目標)に基づいて、基準を再設計
具体的な変更点として、1つはオブジェクティブ(目標)に基づいて、基準を再設計していく。例えば、PCI DSSはパスワードの桁数など要件の記載通りにすることが目的ではなく、パスワードに対する攻撃に対抗することが重要だ。要件書には、新たにセキュリティオブジェクティブという項目が追加され、各要件が目指している本来の目的を説明している。そして、その要件と目的をつなぐために各項目ごとにインテント(意図)文が追加されている。この結果、準拠対応方法に柔軟性がもたらされる。
「従来通り各要件の記載通りに対応する方法に加え、新たなオプションとして独自の対応方法(カスタマイズアプローチ)を審査員がレビューして当該要件が目指している目標が十分に達成できると判断した場合であれば準拠が可能です。PCI DSSの記載要件に無理に合わせるのではなく、自社の独自の取組みが審査員によって評価されます」(井原氏)
例えば、日本企業の中には、独自の方針に沿ってセキュリティ対策を行うカード会社、決済事業者、加盟店もあるが、「独自の対策が評価されて、4.0のインテントで求められている要件の目標が達成されると判断されば、よりPCI DSSが準拠しやすくなります」と井原氏は期待する。
準拠対象範囲(スコープ)の確認も通常要件で定義
また、4.0では、新しいテクノロジーをベースに基準を見直している点も特徴として挙げられる。以前からPCI DSSの基準は例えばクラウドをベースとした要件の記載になっておらず、QSAの判断に委ねていたが、4.0ではクラウドサービスなど多様な技術の採用を支援する。
認証では、パスワードを前提とした要件定義が行われていたが、多様な認証手法も視野に入れた記載となっている。
PCI DSSのオンサイトレビューでは、まず最初に準拠すべき対象範囲(スコープ)を定める。これは、定期的に行われるべきプロセスだが、これまでは要件書には定義されていなかった。3.2.1では、DESV(Designated Entity Supplemental Validation)という、過去に情報流出を起こしていたり、事業者のカード情報が集中するなど国際ブランドが特に指定した事業者に対して行う追加要件として定められており、定期的および組織や仕組みが変った時にスコープの再確認を行う必要があった。4.0ではこれが一般要件(要件12)で求められる予定だ。
その他、「NIST(米国・国立標準技術研究所)などではパスワードの方針をアップデートしており、PCI DSSとは必ずしも整合していない場合もありますので、その観点から基準を見直しています。12要件の骨格は変わりませんが、より説明をクリアにしたり、オブジェクティブベースにするために書き換えるなど、細かな変更点があります。サービスプロバイダのみの要件など、切り分けをしている部分もあります」(井原氏)
「実行計画」の下でPCI DSSの準拠を求められているアクワイアラ、サービスプロバイダ等に対しては最終版がリリースされた段階でできるだけ早期に説明が必要と考えている。
なお、PCI SSCでは、セキュリティに関しての人材育成も重要であるとした。4.0の審査をする際、「カスタマイズアプローチでは受審する事業者側で、PCI DSSの要件を把握し、自分たちの取り組みを理解して、審査員と議論ができる人材が不可欠です」と井原氏は話す。PCI SSCでは、「PCIプロフェッショナル(PCIP)」のオンラインによる日本語版講習を開始、すでにセミナーなどでも説明を行ったが、カード会社等の意識は高かったそうだ。また、日本クレジット協会も同取り組みに理解を示したという。
