決済アプリケーションセキュリティ基準「PA-DSS」入門 第5回(1/3)

2011年1月5日8:00

決済アプリケーションセキュリティ基準「PA-DSS」入門 第5回(1/3)

要件13、まとめ

NTTデータ・セキュリティ コンサルティング本部 PCI推進室 CISSP 川島祐樹

はじめに

ここまで、決済アプリケーション向けのセキュリティ基準であるPA-DSSの解説を行ってきたが、今回で最終となる。もし、全体を通してご覧いただいていれば、PA-DSSへの準拠は一筋縄ではいかないのでは、と感じられた方が多いのではないだろうか。その理由は、さまざまである。

■業務運用との乖離

「アプリケーションないし端末を要求通りの仕様にすることは可能だが、現場でそのような使い方は到底できない。」

例えばPCI DSSでは要件5、PA-DSSでは要件8.1では、アンチウィルスソフトウェアの導入に関する要求があるが、実際に導入されているPOS端末でアンチウィルスを稼働させ、定期的なパターンファイルのアップデートやログの生成と管理等を要求通りに行うことができない、などが考えられる。

■プラットフォーム上の制限

「そんなアクセス制御方法/管理方法は、このOSでは実現できない。」

PCI DSSやPA-DSSは、明らかにオープン系システムを想定した内容に偏っており、決済端末で使用されるような組み込み、専用OSや、メインフレームなどではうまく適合しない要件がある。例えばPCI DSS要件8のアカウントやパスワード関連の詳細な要件、PCI DSS要件10のログ管理要件などは、専用OSで、もともとマルチアカウント対応していない、必要最小限のコンポーネントしか持たない、などの性質から、そもそも実現できない、といったことも十分にあり得る。

■外部接続

「最小限のカード会員データを保持、伝送すべきなのはわかる。しかし接続先からすべて伝送するよう指示されているので持たざるをえない」

グローバルな基準とはいえ、米国発祥のPCI DSS/PA-DSSと日本国内の事情が異なることから、よく問題となる。自組織でPCI DSS準拠や、アプリケーションのPA-DSS準拠を目指していても、外部接続先(プロセッサ等)との連携があり、ここでやりとりされる電文フォーマットは当然ながらあらかじめ決められたものである。1対1で決められたものであればまだ調整の余地はありそうだが、複数の接続先を受け入れている事業者が、特定の1社に対してだけフォーマットを変えるということは、あまり考えられない。

このように、原因はさまざまではあるが、決済アプリケーションをPA-DSS準拠させるのはなかなか難しいことがおわかりいただけるだろう。こういった場合には、ビジネス上、契約上、システム上など、さまざまなレイヤーで変化球が必要になると考えていただきたい。時には要件の解釈を「逆手に取る」というようなことも必要かもしれないが、本来の目的は、カード会員データを情報漏えいから守ることであり、PA-DSSに準拠するのが目的ではないということを思い返しながら対応を進めていただければと思う。

PA-DSSに準拠していても期待通りに設定・運用されるとは限らない?

PA-DSS準拠決済アプリケーションの取扱い

要件13の内容に入る前に、少しおさらいしておこう。PA-DSSは、PCI DSSをベースにした決済アプリケーション向けの基準であるが、ステークホルダーに違いがある。大きな違いとしては、PA-DSSはアプリケーション開発を行うベンダが、実際に決済が行われる環境に登場しないことである。つまり、PCI DSSの場合はPCI DSSに準拠すればその環境がそのまま実運用環境であり、準拠していることが確認できるが、PA-DSSの場合はあくまでアプリケーション自体の準拠に過ぎず、実運用環境でのアプリケーションの安全な稼働まで保証されるものではない。PA-DSS準拠のアプリケーションであっても、適切な使用法のもと稼働させなければ、決済環境を安全にすることはできない(図1)。

図1 PA-DSSに準拠していても期待通りに設定・運用されるとは限らない

そこで、PA-DSSでは、「顧客、リセラー、インテグレータ向けの指示文書とトレーニングプログラムの保守」といった要件が含まれている。本要件は、13.1、13.2(v1.2においては14.1、14.2)の2つのサブ要件しか含まれていないが、PA-DSS全体に散りばめられている「PA-DSS実装ガイド」の策定と管理を含む幅広い要件とお考えいただきたい。実装ガイドは各要件に散りばめられているが、13要件(14要件)の後に実装ガイドに関する要件が抜粋された一覧表があるため、実装ガイドの作成時、確認時には活用すべきである。

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第5回(2/3)へ

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第5回(3/3)へ

⇒⇒連載目次へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

加盟店でのレジ係トレーニング用のテストクレジットカード発売開始。 ターミナルの設定確認にもご利用いただけます。(FIME JAPAN)
【7/8(水)無料開催】セキュリティ対策Webセミナー「ニューノーマルにおけるサービス・業務の非対面化 ~顧客を守る・会社を守るセキュリティの要点~」(セイコーソリューションズ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP