近年、キャッシュレス化進展に従い、ペイメントカード(クレジットカードや、デビットカード)決済を導入する事業者が規模を問わず、増加しています。
ペイメントカード決済導入の際、決済企業から、PCI DSSといわれるセキュリティ基準を求められます。今回は代表的なセキュリティ規格である、ISMS(ISO27001)と比較しながら、PCI DSSの要求内容を記載します。
そもそもPCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)は、
2004年に大手決済(クレジット)ブランド5社(VISA・American Express・Discover・マスターカード・JCB)により合意されたセキュリティ規格です。
ISO27001などの他のセキュリティ要求より、より具体的で、厳格なことで知られています。
例えば、PCI DSSのパスワードの設定は、以下のように定義されています。(要件8.3.6)
・12 文字以上(またはシステムが 12 文字に対応 していない場合は、8 文字以上)であること。
・数字とアルファベットの両方が含まれているこ と。
PCI DSSについて詳しく知りたい方は関連記事をご覧ください。
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
PCI DSS、ISMS(ISO27001)の違い
PCI DSSは前述の通り、クレジットカード決済に特化したセキュリティ規格です。
一方、ISMS(Information Security Management System)は、
企業のデータ資産全体を包括したセキュリティ仕様であり、情報の機密性・完全性・可用性の三要素を満たすことを目的としています。
ISMSあくまで方向性を示した目標であり、必ずしも具体的な基準を明示しているわけではありません。ISO27001はISMSの方向性を元に規格を策定、具体化したものです。運用面ではISMS=ISO27001として呼称しているケースもあります。
ISMSは資格であると同時に、マーケティングの役割を果たしていることもあり、第三者機関からISMSを満たしていると認証を受けることで、企業が安心して取引できる、ひとつの基準になります。
総括すると、
PCI DSSはクレジットカードに特化したセキュリティ規格、
ISMSは企業全般を包括したセキュリティ規格といえます。
ISMSより具体的な要求事項が存在するPCI DSS
上述のようにISMSはISO27001の規格化により、一定のセキュリティ基準を満たすことを目的としています。
しかし、PCI DSSは、ISMSより具体的で厳格なセキュリティ要求があります。
ISO27001/ISMSは、特定の業種や業態、組織や資産に特化しておらず、よろ多くの事業者に利用できる立て付けであるため、技術的なセキュリティの達成目標の設定は個々の組織に委ねられています。そのため,ISO27001/ISMS(また、プライバシーマークも同様と考えられます)を取得しているということだけでは,どのレベルの対策が実施されているか、判断、判別できないといえます。一方、PCI DSSであれば、すべての基準が明確であり、セキュリティの技術的な要件を達成できているかどうか、明確なのが特長です。
PCI DSS 6つの目標と12の要件
PCI DSSでは6つの目標とそれに対応する12の要件が定められています。また、カード会員データを扱う範囲と保護が必要な箇所が特定することで、効率的な準拠が実現できます。具体的にPCI DSSで定められている6つの目標とそれに対応する12の要件は以下となります。
6つの目標 |
12の要件 |
安全なネットワークとシステムの構築と維持 |
要件1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
カード会員データの保護 |
要件3 保存されるカード会員データを保護する
要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
脆弱性管理プログラムの維持 |
要件5 すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6 安全性の高いシステムとアプリケーションを開発し、保守する |
強力なアクセス制御方法の導入 |
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8 システムコンポーネントへのアクセスを識別・認証する
要件9 カード会員データへの物理アクセスを制限する |
ネットワークの定期的な監視およびテスト |
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする |
情報セキュリティポリシーの整備 |
要件12 すべての担当者の情報セキュリティに対応するポリシーを維持する |
保護の対象となる「アカウントデータ」をセキュリティ対策で守る
ご覧いただいたように、カード決済を取引に利用する場合、厳しいセキュリティ要求に応える必要があります。
カード決済を導入する場合、セキュリティを自社で構築するにしろ、他社にアウトソーシングするにしろ、PCI DSS規格の要求を満たすセキュリティが必須です。
また、PCI DSSは自社のデータ保護など決済以外にも活用が可能なセキュリティ規格です。会社の貴重な財産を保護するために、PCI DSS準拠の検討、見直しをおすすめします。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
PCI DSSのクラウドサービスならPCI DSS Ready Cloud ぜひ、ご相談ください。
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
構成/監修者
滝村 享嗣 氏
株式会社リンク
セキュリティプラットフォーム事業部 事業部長
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。