2010年9月15日8:10

PCI DSS対象範囲の特定(1)

PCI DSSの準拠を進める上で重要なポイントは、まず対象範囲の設定である。どこからどこまでが自社の準拠する範囲なのか?下記の記述はその定義である『PCI DSS v1.2 要件とセキュリティ評価手順』から引用したもの。要約すると、「カード会員データを含むネットワーク、サーバ、アプリケーション、すべてをPCI DSSの対象範囲と考える」ということだが、実際に範囲を設定する際のこの線引きはなかなか難しい。このような声は数多くPCI SSCにも上げられているが、サーバやネットワークの構成は各社によって異なるため、これ以上、基準内で具体的な定義を定めることも困難と考える。

PCI DSSの対象範囲『PCI DSS v1.2 要件とセキュリティ評価手順』

PCI DSS セキュリティ要件は、すべてのシステムコンポーネントに適用される。システムコンポーネントとは、カード会員データ環境に含まれる、またはこれに接続するすべてのネットワークコンポーネント、サーバ、またはアプリケーションとして定義される。カード会員データ環境とは、カード会員データまたはセンシティブ認証データを保有するネットワークの一部である。ネットワークコンポーネントにはファイアウォール、スイッチ、ルーター、ワイヤレスアクセスポイント、ネットワーク機器、その他のセキュリティ機器などが含まれるが、これらに限定されるわけではない。 サーバタイプには、Web、アプリケーション、データベース、認証、メール、プロキシ、ネットワークタイムプロトコル(NTP)、ドメインネームサーバ(DNS)などが含まれるが、これらに限定されるわけではない。 アプリケーションには、内部および外部(インターネット)アプリケーションなど、すべての市販およびカスタムアプリケーションが含まれる。

監査の前段階で「準拠の対象範囲をここで区切りたいが、よいか?」といった質問をよく受ける。ISMSの場合、適用範囲の考え方は組織による任意の設定が比較的柔軟に行えるため、類似する基準としてPCI DSSでも任意に設定できるとする誤解がある。ISMSとPCI DSSの範囲設定の考え方は根本的に異なる。PCI DSSでは、仮に準拠する組織側がリスクがないと判断しても、カード会員データを取り扱っている範囲、もしくはそこに接続されているフラットネットワークはすべてが含まれる。ネットワークレイヤからアプリケーションのレイヤまですべてが対象だ。

対象範囲の「拠点」についても注意が必要だ。例えば、インハウスのコールセンターも、カード会員データにアクセスして参照するなら、対象範囲に含まなければならない。店舗も同様だ。POSレジが設置されて、カード会員データが伝送されるのであればPCI DSSの対象範囲に入る。ただしコールセンターにおける参照やデータ処理の前工程でカード会員データの一部をトランケーションなどの手段で判読不能とし、その拠点で複合できない場合は対象範囲には含まれない。

オンサイト監査を受審する場合も同様に、対象範囲の設定は初期段階ではもっとも重要な作業である。コンサルティングサービスを使うとしても、監査を受ける企業が独自に対応を進めるとしても、事前に認定セキュリティ評価機関(QSA)との間で合意をとっておくことを強く推奨する。対象範囲に漏れがあったとしたら、追加範囲の設備やソフトウェア導入なども含め、追加コストがかかることになりかねないからだ。

なお監査の対象範囲を任意で設定することはできないが、カード会員データを扱うネットワークを意図的に狭くすることは有効な手法だ。要はカード会員データを扱うネットワークが狭ければ狭いほど、扱う部門が少なければ少ないほどカード会員データが漏えいするリスクは下がり、準拠企業の投資額やコンサルティング/監査費用などを削減することが可能であるという理屈だ。PCI SSCは基準の中でも、「ネットワークセグメンテーション」などの手法を使って、カード会員データ環境、すなわちPCI DSSの対象範囲をどんどん狭めていくことを推奨している。こうした要因からも対象範囲の設定は、最初に取り組むべき作業なのである。

続きを読む⇒PCI DSS対象範囲の特定(2)へ

※本記事は「PCI DSS Version1.2徹底解説」の一部分をご紹介したものです。

■「PCI DSS Version1.2徹底解説」の短期連載目次

関連記事

ペイメントニュース最新情報

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP