決済アプリケーションセキュリティ基準「PA-DSS」入門 第1回(上)

2010年8月19日8:34
 
第1回 決済アプリケーションセキュリティ基準「PA-DSS」とは?(上)
 
NTTデータ・セキュリティ コンサルティング本部 PCI推進室 CISSP 川島祐樹

決済アプリケーションセキュリティ基準「PA-DSS」とは?はじめに

最近耳にすることが増えている決済アプリケーションセキュリティ基準「PA-DSS(Payment Application Data Security Standard)」。本連載では、PA-DSSとは何か、またPCI DSSとの違いや関係といった基本的な事柄から、PA-DSSで決済アプリケーションに対して求められる14のセキュリティ対策、およびPA-DSS準拠において重要となる実装ガイドの整備とまとめについて解説する。

PA-DSSは決済アプリケーション向けの基準ではあるが、その内容を理解することは、決済アプリケーションを開発しておらず、PCI DSSに準拠しなければならない加盟店やサービスプロバイダ、もしくは決済に関連しないアプリケーションの開発を行っている企業にとっても参考になるだろう。

PA-DSSの成り立ちとそのステークホルダー

PCI DSSとの関係からPA-DSSフレームワークを知る

PA-DSSとは、‟Payment Application Data Security Standard”、日本語に訳すと「決済アプリケーションデータセキュリティ基準」である。決済に関係するセキュリティ基準といえば、ここ数年でPCI DSSが話題となっているが、PA-DSSはPCI DSSから派生し、PCI DSSと同じようにペイメントカード業界において国際的に統一されたセキュリティ基準である。端的に言うと、PCI DSSは加盟店やサービスプロバイダといったペイメントカードの会員データを取り扱う企業の組織およびシステム全体を対象としたセキュリティ基準であるのに対し、PA-DSSは決済に関連するアプリケーションを対象とするセキュリティ基準である。

まず、PCI DSSとPA-DSSを含めて、そのフレームワークを紹介する。

ペイメントカード業界では、かつてからスキミングや偽造カード、なりすましなどの被害に悩まされ、さまざまな対策が施されてきた。例えばリアル決済では、スキミング防止カードの使用促進やATMにおける監視カメラの設置や設置方法といったスキミング対策、耐タンパ性のあるICクレジットカードの標準化による偽造カード対策、不正利用の早期発見システム(不正検知システム)によるなりすまし対策などがある。また、インターネット加盟店におけるクレジットカードの不正利用に対しては3-D Secureや検証コード(セキュリティコード)などの導入が進められている。このように、リアル決済、ネット決済それぞれにおいて、ペイメントカード業界のもつリスクを減少させるための重要な対策が行われてきた。

しかし近年、カード会員データを保持するカード加盟店や、決済システムのインフラを支えるサービスプロバイダといった企業からのカード会員データの漏洩が増加し、深刻な問題となっていた。これに対して国際カードブランドであるVisaやMasterCardは、それぞれリスク管理プログラムの一環として、カード会員データを取り扱う企業に対してセキュリティ監査やインターネット環境に対する脆弱性スキャンといった対策を義務づけてきた。

しかしこれらの施策は特定の国際カードブランドに依存した問題ではないこと、これを受けて対策を実施する加盟店はそれぞれの国際ブランドのしくみに則って対応しなければならず対応コストが増加していたことから、国際カードブランドは共同で独立組織を運営し、その組織で国際的なセキュリティ対策基準を策定、運用していくことを決定した。その組織とは、特定の国際ブランドに依存せず、また、特定の国や地域に依存せずにペイメントカード業界のセキュリティレベルを向上させることを目的とした組織、「PCI Security Standards Council LLC(以後、PCI SSC)」である。PCI SSCは、国際カードブランドであるAmerican Express、Discover Card、JCB、MasterCard、Visaの5社が共同で設立し、運営している。

PCI SSCは、大きく3つのセキュリティ対策を策定、運用している。1つ目は、すべての元となっており、カード会員データを取り扱う企業を対象としたセキュリティ対策基準、PCI DSS(Payment Card Industry Data Security Standard、PCIデータセキュリティ基準)、2つ目は、PCI DSSから派生し、特に決済アプリケーションを対象としたセキュリティ対策基準、PA-DSS(Payment Application Data Security Standard、決済アプリケーションデータセキュリティ基準)、3つ目はさらにハードウェアに特化した部分を対象にしたセキュリティ対策基準、PTS(PIN Transaction Security)である。PCI SSCによると、これら3つのセキュリティ対策は相互に補助し合う基準であり、これらを業界全体で遵守していくことでペイメントカード業界における主に情報漏洩という大きなリスクを減少させることができるとしている。

ここで誤解してはいけないのは、PCI DSS、PA-DSS、PTSの3つのセキュリティ基準でペイメントカード業界のセキュリティが網羅されているわけではないという点である。先述の通り、スキミング対策や不正利用対策といった、これまで実施されてきたセキュリティ対策とは分野が異なるものである。よって、カード会員データを取り扱う加盟店やサービスプロバイダだけでなく、カード会員を含め、これまでの対策も同様に実施していくことが重要である。つまり、どんなにPCI DSSやPA-DSSといった基準を遵守していても、カード会員は自らのカード会員番号や暗証番号の適切な管理、インターネット加盟店であれば3-D Secureや検証コードといった対策を実施しなければ、さまざまな場所で起こりうるリスクをカバーすることはできない。

図1.PCI DSSとPA-DSSの違い:対応する企業の違い

少し話がそれてしまったが、ここでは、PCI DSSとPA-DSSについて、ステークホルダーを整理するとともに、それぞれの役割を解説する。PCI SSCがこれらのセキュリティ基準を策定、運用していることは先述の通りだが、これを遵守する必要があるのは、それぞれどのような企業なのだろうか。

決済アプリケーションとは、店舗でのPOS端末などに搭載されている、直接ペイメントカードのデータを読み込んでカード会社との間でオーソリゼーション(承認)などを行うようなアプリケーションや、インターネット決済を行うためのパッケージソフトウェアといったものが含まれる。よって、そのようなPOS端末とアプリケーションを開発しているベンダが、PA-DSSにそって開発を行う、つまり実際にPA-DSSを遵守する活動を行う企業となる(図1)。

図2.PCI DSSとPA-DSSの違い:審査機関の違い

では、PCI DSSやPA-DSSといったセキュリティ基準を遵守しているかどうかを確認するのは、どういった企業が行うべきだろうか。PCI SSCは、あくまで基準を策定、運用しているだけであり、実際に企業やアプリケーションの審査を行うのは、PCI DSSについてはQSA(Qualified Security Assessor)、PA-DSSについてはPA-QSA(Payment Application QSA)と呼ばれる認定審査機関が行うことになる。これらの機関に対して、トレーニングや試験、品質管理を行っているのが、PCI SSCである(図2)。

PCI DSSは組織とそのシステム、PA-DSSは決済アプリケーションを審査の対象としていることから、QSAとPA-QSAは専門分野が多少異なると言える。PA-QSAに認定されるためにはまずQSAとしての審査経験がなくてはならないため、すべてのPA-QSAはQSAも兼ねていることになる。逆に、すべてのQSAがPA-QSAであるとは限らない。

図3.PCI DSSとPA-DSSの違い:報告先の違い

QSAが審査を行い、その結果を受け取った加盟店やサービスプロバイダは、その結果をカード会社、もしくは国際カードブランドに報告する。カード会社は、加盟店契約を行っている加盟店からの報告をとりまとめ、国際カードブランドに報告することになる。PA-QSAが審査を行った結果は開発ベンダが受け取り、それをPCI SSCに報告する。つまり、PCI DSSの場合、最終的な報告は国際カードブランドが受けるが、PA-DSSの場合、最終的な報告はPCI SSCが受ける。報告を受けたPCI SSCは、準拠済みの決済アプリケーションとしてWebサイトにアプリケーション名をリストアップする(図3)。

では、PA-DSSについて国際カードブランドは関知していないのかというと、そういうわけではない。例えば、国際カードブランドの1つであるVisaは、加盟店に対して”すべての加盟店は、2012年7月1日以降はPA-DSSに準拠したPOS端末を導入しなければならない”といった発表をしているため、開発ベンダも、その期日を念頭において対応していく必要がある。ただし、日本国内のPOS端末を含む決済アプリケーションでは、PA-DSS準拠しているものはほとんど存在せず、すべての加盟店がこの期限に対応できるかどうかには、疑問が残る。今後対応していくためには、POSベンダだけではなく、加盟店、国際ブランド、カード会社を含むステークホルダーによる調整が必要となるだろう。

参考:VISA AIS “Payment Application” http://www.visa-asia.com/ap/sea/merchants/riskmgmt/ais_applications.shtml#Standards

第1回 決済アプリケーションセキュリティ基準「PA-DSS」とは?(下へ)

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP