新型コロナウィルスの感染拡大が続く中でも、ペイメントカードのデータセキュリティの国際基準となるPCI DSSの8年ぶりのメジャーバージョンアップ作業が2021年半ばに向けて進んでいる。PCI Security Standards Council(以下PCI SSC)アソシエイトダイレクターの井原亮二氏に、現在策定中の
PCI DSS バージョン4(以下PCI DSS v4.0)について話を聞いた。(聞き手:fjコンサルティング株式会社 代表取締役CEO 瀬田陽介)
PCI Security Standards Council 井原 亮二 氏
新型コロナウィルス(COVID-19)対応情報を特設ポータルサイトで提供
瀬田:本題に入る前に、世界中でCOVID-19感染拡大が続いていますが、PCI SSCでもCOVID-19対応特設ポータルを開設しています。どのような情報が提供されているのですか。
井原:PCI SSCの活動にも、各国の移動制限によるPCIセキュリティ基準の審査の遅れや、決済端末やそれらの部品の生産・供給の遅れなどに起因するさまざまな影響が生じています。PCI SSCでは、ステークホルダーと連携しながら必要な対策を実施し情報提供を行っています。
対策の1つは、各種PCIセキュリティ基準の期限の延長です。代表的なところでは、2020年4月末に予定されていたPCI PTSバージョン3.0の認定決済端末の失効日を1年延長しました。他にもPINセキュリティやPCI P2PEなどのPCIセキュリティ基準についても、期日の猶予や失効日の延期などの措置が発表されています。
二つ目は、各種トレーニングやイベントのオンラインへのシフトです。ソーシャルディスタンスの確保を目的としたもので、2020年中に開催予定のQSA、ISA等のトレーニングや年次のコミュニティミーティングは、全てオンライン開催が決定しています。
多くの企業が渡航や移動の制限によってPCI DSSのオンサイト審査に困難を抱えている中、PCI SSCではリモート審査の手法や注意点などを特設ポータルに掲載しています。日本では割賦販売法対応のためにPCI DSS準拠が必須な事業者にとって切実な問題となりますので、日本語に翻訳した情報を日本カード情報セキュリティ協議会(JCDSC)のご協力をいただいて提供しています。
さらに、COVID-19では多くの企業が社員に在宅勤務を求めた結果、それに伴う固有のセキュリティ課題が提示されました。PCI SSCはパンデミック下においてリモートで仕事を行うためのより良いセキュリティプラクティスをガイダンスとして提供しています。
状況は今も刻々と変化しておりますので、最新の情報は
COVID-19対応特設ポータルでご確認下さい。
変化を総括する節目となる改訂
瀬田:このような状況下でもPCI DSS v4.0の公開に向けた準備は着々と進んでいます。内容について伺う前に、まず、PCI DSSのバージョンアップの基本的な考え方について教えて下さい。
井原:PCI SSCでは、グローバルなペイメントデータセキュリティ強化のための活動方針として、「PCI SSC Strategic Framework」として4つの柱を掲げています。PCI DSSに限らず、全てのPCIセキュリティ基準を時流に合わせて進化させることは、そのうちの一つである「基準とバリデーションの進化」に位置づけられます。
▼PCI SSC Strategic Framework(図版提供:PCI SSC)
井原:PCI DSS v4.0へのバージョンアップの目的は大きく2つだと考えています。1つは、ペイメントデータの安全を維持するための土台として、必要なセキュリティの強化を図ること。もう1つはステークホルダーに柔軟性を追加することです。
瀬田:PCI DSS v3.0が公開されたのが2013年ですから、8年ぶりのメジャーバージョンアップになります。この間に、新たなリスクや脅威の出現、クラウドサービスの普及や新しいテクノロジーの台頭など、さまざまな変化がありました。2019年末に行われたドラフト第1版のRFCでは、多くのフィードバックが寄せられたようですね。私共fjコンサルティングもPCI SSCのPO(Participating Organizations)会員団体としていくつかフィードバックをさせていただきました。
井原:おかげさまで前回のRFCでは全世界から3,000件を超えるコメントをいただきました。PCI SSCは、2020年7月に、
フィードバックの概要を公開しています。こちらは、特に多くの質問やご意見をいただいた項目のうち、代表的なものが挙げられています。
要件4(伝送時における強固な暗号化によるカード会員データ(CHD)保護 )では、CHDの全ての伝送の保護と自己署名・内部証明書の使用についてコメントをいただきました。 要件8(ユーザーの特定とアクセスの認証)では、管理者のみならず全てのユーザーアクセスの
多要素認証、不良パスワードの使用禁止、アプリケーション/システムアカウントに対するセキュアな認証などについて多くのフィードバックをいただいています。要件11(セキュリティシステムと処理の定期的なテスト)では、ユーザー認証を伴う脆弱性スキャンの方法について、要件12(情報セキュリティポリシーの維持)では、データ検知と流出防止の手法などについて多くのコメントをいただきました。
カスタマイズバリデーション導入で最新技術によるセキュリティ強化が可能に
瀬田:柔軟性の強化については、「カスタマイズバリデーション」という考え方が提示されました。これまでのPCI DSSには要件に具体的なセキュリティコントロールの実装方法が明確に定義されており、システム上もしくはビジネス上の制約でどうしてもコントロールが実装できない場合に限り、例外として代替コントロールの実装が認められていましたが、「カスタマイズバリデーション」の導入で代替コントロールはどのように変更になるのでしょうか。
井原:「カスタマイズバリデーション」では、PCI DSSへの準拠を評価する方法として、要件通りにコントロールを実装しテスト手順に沿って確認する手法と、独自の手法でセキュリティ目標を達成した結果を確認する方法、2つのオプションにより柔軟性を持たせています。
PCI DSS v4.0リリース当初は多数の事業者が、要件に記載されたコントロールに沿って対応を進めるでしょう。しかしその後徐々に、「カスタマイズバリデーション」を採用する事業者が増加してゆくと想定しています。テクノロジーの急速な進歩に適応する事業者は「カスタマイズバリデーション」を採用することにより、ペイメントデータセキュリティを強化する本来のゴールに則して、基準よりも速い速度でセキュリティを進化させてゆくでしょう。
前回のRFCでは「カスタマイズバリデーション」についても、多くのフィードバックを受けています。これらのフィードバックを受けて、PCI SSCではドラフト第2版にあわせた追加的なガイダンスの策定を進めています。
これらを含むRFC全体のフィードバックサマリーレポートは、次回RFCと同時に配信されます。内容としては、PCI SSCが受理した各フィードバックと、それに対してどのように対応したかが示されます。
2021年第2四半期公開に向け最終の改訂作業が始まる
瀬田:次回のRFCはいつ頃を予定しているのですか。
井原:9月中旬頃から10月を予定しています。次回のRFCによるフィードバックを反映した上で、2021年第2四半期にPCI DSS v4.0が公開される予定です。2021年後半にかけてSAQやROCなどのサポート文書が整備され、その18ヶ月後(2023年第2四半期)に、
PCI DSS v3.2.1からv4.0への移行期限が設定される予定です。
▼PCI DSS v4.0移行までのスケジュール
瀬田:この図の中にある「未来日付の新要件」(Future Dated Requirement)というのは、従来からPCI DSSにあった「ベストプラクティス要件」に代わるものですか。
井原:そうですね。変更による影響が大きい要件については、リリース後に猶予期間を持ち、それまではベストプラクティスとしておき、実装できていなくても準拠を認めるという考え方です。呼び方が変わっただけと考えていただいて差し支えありません。
瀬田:従来の「ベストプラクティス要件」よりも、表現がわかりやすいと思います。ドラフト第2版では、具体的な未来日付が入ることを期待します。RFCに参加してドラフトをレビューできるのは、QSA、ASV、PO会員に限定されていますが、現在、日本のPO会員団体は何社ぐらいなのでしょうか。
井原:具体的な未来日付は最終的に2021年のPCI DSSv4.0公開まで待つ必要があります。日本のPO会員は2020年7月現在で、20団体になりました。それでも世界を見るとPO会員は782団体ありますので、日本事業者の多くの意見をRFCに反映させるためには、さらに多くの会員が必要だと考えております。POに関しての詳細は
PCI SSCサイトをご覧いただければと存じます。
瀬田:私が世話役を務めさせていただいている日本カード情報セキュリティ協議会(JCDSC)のユーザー部会でも、国内のPO会員団体によるドラフト第2版についての意見交換のワーキンググループ立ち上げを準備しています。PO会員になると、世界各地で開催されるPCI SSCのコミュニティミーティングにも無料で参加できるのですよね。
井原:はい、1社あたりの人数に制限はありますが無料で参加可能です。これまでは参加のために海外出張が必要で敷居が高かったのですが、COVID-19の影響でオンライン開催になったことで、参加しやすくなったと思います。QSAやASVとは異なり、PO会員団体になるために特に必要な資格はありませんので、より多くの日本の企業や団体にご検討いただきたく思います。
瀬田:PCI SSCのコミュニティミーティングは、最新のPCIセキュリティ基準に関する情報やペイメントカード業界のセキュリティトレンドをいち早く得られる機会ですので、我々も毎年参加させていただいています。PCI DSS v4.0についても、10月に開催される2020 北米・ヨーロッパコミュニティミーテイング、11月に開催されるアジア太平洋コミュニティミーテイングでまた新しい情報が公開されることを期待しております。
井原:はい、RFCの期間中の開催となると思いますので何らかのアップデートがあると想定しております。ただし一つご注意申し上げたいのが、RFCで使用されるドラフト版は最終版とは異なる可能性があるということです。RFCの結果、内容が変更される場合もありますので、ドラフト版にアクセスできる事業者の方は、実装は控えていただき、2021年半ばに予定されている正式版の公開をお待ち下さい。
瀬田:確かにそれは注意する必要がありますね。PCI DSS v4.0に関して、現時点(2020年8月)での最新情報をうかがうことができました。本日はどうもありがとうございました。
井原 亮二(いはら・りょうじ)氏
PCI Security Standards Council アソシエイトダイレクター 日本
1979年に日本信販(現 三菱UFJニコス)入社後、国際ブランドカードの企画・推進・オペレーション・リスクマネジメントなどを担当。2002年ビザ・インターナショナル アジアパシフィック・リミテッド(現 ビザ・ワールドワイド・ジャパン)に入社し、カントリーリスクダイレクターとして日本と韓国におけるリスク・セキュリティ問題に取り組む。2018年9月より現職。
瀬田 陽介(せた・ようすけ)
fjコンサルティング株式会社 代表取締役CEO
国際マネジメントシステム認証機構 代表取締役社長、Payment Card Forensics (現P.C.F. FRONTEO)取締役を経て2013年より現職。ペイメントカード業界のコンサルタントとして、講演・執筆活動を行う。BSI Professional Services Japanのテクニカルアドバイザー、日本カード情報セキュリティ協議会ユーザー部会の世話役も務める。2018年、井原亮二氏との共著で『改正割賦販売法でカード決済はこう変わる』(日経BP社)を上梓。