2011年6月23日9:22
PCI DSS Version 2.0の発効から半年、続々と準拠企業が登場
代替コントロールの適用が多かった要件3.6はオリジナル要件で対応が可能に
PCI DSSの新バージョンであるVersion 2.0は、2011年1月から有効となった。2011年はVersion2.0に加え、Version1.2の審査も並行して行われているが、アナザーレーンやJ-Paymentなど、2011年上期に更新審査を受診した企業はVersion2.0を選択するケースが多い。PCI DSSは年末に審査を行う企業が多い。そのため、今後、更新審査を受診する企業は対応までの準備期間も十分にあることから、2011年はVersion2.0の審査を選択する企業が増えるだろう。
Version 2.0は1.2から、要件自体に大幅な変更はなかった。QSA(認定セキュリティ評価機関)やPCI SSCのメンバーなど、PCI SSCが現場からのフィードバックなどを受け、要件の明確化やベストプラクティスの変化の対応などが行われたため、基準自体の完成度が高まったと言えるだろう。
基準自体も要件3.2でイシュアに限り、ビジネス上の正当性が認められればオーソリゼーション後のセンシティブ認証データの保持が認められた。また、要件3.6.4では暗号鍵の変更期間が柔軟になった。この部分はVersion1.2の審査まで、代替コントロールを適用するケースが多かったが、オリジナルのコントロールで対応が可能となった。そのほか、QSAからは、システム強化基準のソースへのISOの追加(要件2.2)、不正な無線デバイスの検出方法として、ネットワークアクセスコントロール(NAC)システム、その他の物理的/論理的なシステムコンポーネントのチェックについても選択肢に含まれるようになった要件11.1なども挙がった。
その一方で、要件の明確化や項番構成を含めた変更箇所は100を越えた。例えば、序章「ビジネス設備とコンポーネントのサンプリング」についてはサンプリングの方法を明確化することが求められた。また、要件6.2は新たなセキュリティを特定して、当該のリスクランキングを割り当てることを確認しなければならなくなった。それに伴い、要件6.5では「高」ランクに位置づけられた脆弱性への対応が必要となった。要件8.3では、リモートアクセス時における2因子認証として、知識認証(パスワード等)、所有物認証(トークン等)、本人の特徴による認証(生体認証等)のうち2つを使用することが明確化(要件8.3)された。
全体的に各QSAの見解としては、Version 2.0では、審査時に使用するテスト手順に関して、要求する対象によって明確に分離されるようになったため、基準自体の柔軟性が増し、審査を行いやすくなるという。また、加盟店やサービスプロバイダからの受容性も向上するという意見が多かった。
ただし、スコープの定義や2.0から具体的に明示された仮想化環境、エンドツーエンド暗号化、トークナイゼーション、EMVについては日本カード情報セキュリティ協議会のQSA部会などで話し合う必要があるとしている。
