決済アプリケーションセキュリティ基準「PA-DSS」入門 第5回(3/3)

2011年1月5日8:20

決済アプリケーションセキュリティ基準「PA-DSS」入門 第5回(3/3)

決済アプリケーションのPA-DSS準拠と実運用のギャップの扱い方

責任の所在を明らかに

本要件で言及されている内容をふまえると、ベンダの責任は「ペイメントアプリケーションの開発と、PCI DSS準拠環境での運用の支援」にあり、実際に安全に導入、運用する責任は、加盟店やインテグレータにあるといえる。

これは、いわゆる“本音と建前”の世界であり、もちろんPA-DSS準拠のアプリケーションを、実装ガイドに書かれた通りに設定、導入し、運用するのが理想的だが、数百、数千といった数の端末/アプリケーションを、強固なセキュリティのものに一気に入れ替えるのは容易ではない、というのが“本音”といえるだろう。そこで、アプリケーションの実装としては、“建前”を用意してPA-DSS準拠しつつ、現実的な“本音”の運用にも対応し、緩やかに理想的な運用に近づけていく必要があるだろうと筆者は考えている。これがまさに、本連載初回で予告した(以下に引用)、代替コントロールを採ることができないPA-DSS認定取得を目指す際に対応する方法だ。

=====抜粋=====

PCI DSSでは、要件に記載されている通りでなくても、リスク分析を行って十分に対策が施されていると判断できる場合に限り“代替コントロール”として“対応済み”とすることができる。しかしPA-DSSでは、代替コントロールの考え方自体が存在しないため、要件に記載されている通りに実装、対応しなければならない。

PCI DSSのように、暗号化を実装できない時に強固なアクセス制御やセグメンテーションを行うことで代替し、暗号化を避ける、といったことができないのである。それでもなんとか準拠しなければならない、といった際の対応方法については、本連載の最終回で触れたいと考えている。

引用元: https://paymentnavi.com/pcidss/6942.html

============

逆にいえば、“現実的に考えて運用が無理だから、PA-DSS準拠対応はしない”という結果に終わる必要はない。選択肢を持たせれば良いのである。簡単に言ってしまうと、“PA-DSS準拠モード”と、“PA-DSS非準拠モード”の2種類を用意し、非準拠モードの説明に「このモードは絶対に使用しないで下さい。いいか、絶対にだぞ!!」という注意書きを追加すれば完璧だ。アプリケーションはPA-DSSに準拠できるし、加盟店やインテグレータへの忠告も十分である。

1つ例を挙げる。読み取った完全な磁気ストライプデータは、オーソリゼーション完了後に保管してはならない。ただし、現状では保管されていることは多いだろう。決済アプリケーションベンダとしては、このようなデータを保管しないアプリケーションに改修することは技術的には難しくはないはずだ。ではなぜ保管しているのだろうか。原因はさまざまだが、外部接続先(プロセッサや、カード会社)とのやりとりの上で必要となるため保管しているケースなどがあるだろう。このような場合に、外部接続先とやり取りするデータの内容やフォーマットのほか、業務フローも修正しなければならないが、それは加盟店の責任である。アプリケーションとしては要求通りにオーソリ後に削除する機能を実装すれば良い。ただし、現場で行われている運用や外部システムがうまくいかないようであれば、この機能を無効化できるようにしておけば良いのである。無効化できてしまうとPA-DSS準拠できないというわけではない。

本連載まとめ

おわりに

本連載では、5回にわたりPA-DSS要件の解説をした。PA-DSSに限らず、このような基準、標準文書は、幅広いシステムやプラットフォームをカバーしなければならないため、記述内容が曖昧であったり、逆に特定の実装に適用しようとすると要求事項がうまく合わなかったりする。PA-DSS要件を満たすべき決済アプリケーションは、Webアプリケーションや一般的なパソコン上で稼働するアプリケーションだけではなく、組込みOSや、最近ではスマートフォン上で稼働するアプリケーションなどもあり、これらをPA-DSSという1つのセキュリティ基準でカバーし、かつ意味のあるものでなければならないのである (スマートフォン上の決済アプリケーションについては、現在PCI SSCで議論されており、認定は取得できない)。ただし、むやみに要件通りに実装することが目的ではなく、安全に決済が行われるようにすることが目的であることを、ベンダや加盟店の方々だけでなく、われわれQSAやPA-QSAも考えていく必要があるだろう。つまり、要求事項に沿ってできていないことを指摘することではなく、できないところをどうやって実現するかを、加盟店、ソフトウェアベンダ、カード会社など含めたステークホルダーと共に考えるのがQSAやPA-QSAの役割なのである。

PCI DSSと同様、PA-DSS も3年のライフサイクルでバージョンアップされる。先述したが、以前は参照先のみであったPCI DSSの内容が、バージョン2.0ではPA-DSSの中に盛り込まれており、読みやすくなっている。本格的に準拠を目指して対応していくのであれば、プログラムガイドなど、アプリケーション要件以外にも、バージョニング方法の定義や各種契約など、さまざまな手続きがあり準拠は容易なものとはいえないが、要件には“今すぐできるセキュリティ対策”も多く含まれている。バージョン2.0の日本語版もすでに公開されているので、本連載でご興味を持っていただけたら、要件書もご一読いただければ幸いである。

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第5回(1/3)へ戻る

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第3回(2/3)へ戻る

⇒⇒連載目次へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

加盟店でのレジ係トレーニング用のテストクレジットカード発売開始。 ターミナルの設定確認にもご利用いただけます。(FIME JAPAN)
【7/8(水)無料開催】セキュリティ対策Webセミナー「ニューノーマルにおけるサービス・業務の非対面化 ~顧客を守る・会社を守るセキュリティの要点~」(セイコーソリューションズ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP