PCI DSS v4.0移行期限まであと半年！ 差し迫った期限に向けて今とるべき対応策とは

国際的なクレジット業界向けのデータセキュリティ基準である「PCI DSS（Payment Card Industry Data Security Standard）」。v3.2.1は2024年3月31日で終了するため、v4.0への移行が求められています。移行期限は刻々と近づいていますが、まだ移行が進んでいない事業者も多いのが現状です。そこでPCI DSS準拠・運用コンサルティングやセキュリティソリューションを提供するICMSソリューションズ株式会社 荒井 亮介さんと、PCI DSS準拠を促進するクラウドサービスを提供している株式会社リンク 滝村 享嗣の二人に、移行に向けて今行うべきことを教えてもらいました。
 
 

ようやく本格的に移行作業がスタート

―ここ数年話題となっていたPCI DSS v4.0ですが、移行期限である2024年3月末が近づいてきました。移行を目指す事業者はまさに今、対応を進めている最中だと思います。実際にはどのような状況でしょうか。

荒井　 PCI DSSバージョン4.0の移行期限があと半年と迫ってきたことで、コンサルティング業務への問い合わせや申し込みが急増しています。2022年末に2023年は例年以上に依頼が多くなるだろうとある程度予測はしていたのですが、実際にふたを開けてみると想定の倍以上申し込みが殺到している状況です。

滝村　我々としても、「1年以上前から移行準備を進める必要があります」、と伝え続けて来たのですが、期限が目の前に近づいてきたことで、ようやく本腰入れて取り組み始めたような印象です。お客さまは業界の動向を知りたいので、以前は「何割くらいの会社が移行作業を始めていますか？」と聞かれることが多かったですね。それが最近は「もうみんな進めていますよね？」に変わってきました。荒井さんと一緒に開催しているセミナーも以前は移行しましょうという啓発がメインだったものが、今はv4.0ではこういう対応が必要だといった、より具体的な講演内容にシフトしています。v4.0への移行を始めるには今が本当にギリギリのタイミングですよね。

荒井　そうですね。ただ、v4.0で新たに追加された64要件のうち13要件は2024年の3月31日が期限ですが、残りの51要件はベストプラクティスに位置付けられているので必須要件となるのは2025年4月1日からとなっています。要件によっては1年猶予があるので、2025年3月31日を目指して移行を進めていく事業者が多いですね。


滝村　私たちは専門家として知識やノウハウを持っていますが、お客さまの多くはPCI DSSについては分からなくて当然です。PCI DSS v4.0の基準は約400項目もあるので、理解するだけでも大変です。

荒井　移行が遅れる原因は、リソースの問題が大きいと思います。今、抱えている業務にプラスしてv4.0への移行も進めなくてはならないとなると、事業が忙しい場合はどうしても移行作業がスピードダウンしてしまいます。一気に進められれば2〜3カ月でできる作業でも、業務の合間に進めなくてはならないとなると、その倍以上、半年から1年ほどかかるケースもあります。リンクでもv4.0への移行を促進するクラウドサービスを提供されていますよね？　状況はいかがですか。

滝村　2022年の夏からv4.0への効率的な対応と運用コスト削減を目指すお客さまに向けて「PCI DSS Ready Cloudマネージドモデル」をスタートしました。やはり、ICMSソリューションズと同じように2023年になって新規の問い合わせがとても増えています。先日も、これまでオンプレミスでサーバ構築し、自社でPCI DSSに対応していたお客さまから問い合わせがありました。v4.0への移行を機にクラウド化したいので「PCI DSS Ready Cloudマネージドモデル」を利用したいというお話だったのですが、v4.0への移行を機に、改めて自社のPCI DSSの体制を見直そうという事業者も増えています。
 

専門家に相談して欲しい、新要件への対応策と対象範囲の整理

― v4.0への移行で対策が難しい要件について、一例を挙げていただけますか？

荒井　v4.0からディスクの丸ごと暗号化が禁止になりました。これまではWindows 10 Pro以上のOSであればBitLockerという暗号化ソリューションが標準で導入されていたので、簡単に要件を満たすことができました。それがv4.0では使えなくなってしまった。


滝村　ディスクを丸ごと暗号化するだけであれば難しくなかったのですが、ファイル単位での暗号化に変わりました。要件を満たすためには新たなソリューションを導入する必要がありますね。

荒井　そうなんです。データベースを再構築する必要があるので、システム設計に費用が発生します。しかもソリューションを選定するための見積取得、システム設計や再構築し、テストまで考えるとあっという間に時間が過ぎていきます。


― ディスクの丸ごと暗号/DB丸ごと暗号以外で、対応が難しい要件はありますか？

荒井　もう一つ意外に厄介なのが、対象範囲を再確認するという要件です。目的は、グレーゾーンをなくすように考慮しなさいということなんです。改めてお客さまの業務やシステムを確認していくと、v4.0では、想定していた以上に対象範囲が広がる懸念があります。

滝村　多くの企業は、対象範囲をできるかぎり小さくしたいと考えています。リンクでは、そのニーズに応えるサービス「Cloud Token for Payment Card」を用意しており、お客さまがv4.0へのバージョンアップを準備されるタイミングで導入を検討されています。コスト削減や対象範囲の極小化のために、PCI DSS準拠企業による導入が進んでいますね。


滝村　トークナイゼーション技術は、16桁のカード番号を同じ16桁に変換します。変換前も変換後も同じデータフォーマット、データ長ですので、既存のシステムのアプリケーションやデータベーススキームを変更する必要がありません。システム改修が最低限に抑えられる点もメリットです。


 

運用のことまで考えた作りこみがポイント

 
― v4.0では、運用に関する要件も厳しくなったのでしょうか？

荒井　運用面で言うと、定期的な実施が求められる運用の一部について、リスク分析に基づいた頻度の決定が必要になりました。自社のクレジットカード情報だけを取り扱っている事業者と他社のクレジットカードも扱っているサービスプロバイダーでは抱えているリスクが違います。リスクに応じた運用を行う一例として、事故が起きたときに備えてインシデント対応訓練を実施する要件があります。通常であれば1年に1回ですが、リスク分析をした結果リスクが高いと判断した場合は年2回実施する必要があります。
難しいのが対策の水準をどこに設定するかです。これはPCI DSSに限らずセキュリティ全般に言えることですが、セキュリティを強化したからといって売上アップには直結しないため、対策水準をどう設定するは、多くの企業の悩みです。業界的に自社のセキュリティ対策の水準が低いということも避けたいと考えます。その結果、「他の会社はどのくらいに設定していますか」というのはよく聞かれます。

滝村　セキュリティ対策の水準とともに、PCI DSSは構築して終わりではなく、その後も運用していかなければならないものなので……。コストばかりを重視したことによって特定のエンジニアに強い負荷がかかり、運用を継続できなくなって相談されるケースがよくあります。そうなると時間もお金も余分にかかってしまうことになるので、本当にもったいないですよね。

荒井　最初の1回だけ準拠できたとしても、運用が適切になされていないと次回の監査で準拠できなくなってしまいます。しっかりと継続できる運用を作り込むことが重要ですよね。
滝村　PCI DSSは準拠して当たり前と言われますが、運用していくのは本当に大変です。一方で、 DSSには専門の運用会社がないというのが大きな課題になっていました。 この課題を解決するために、「運用代行サービス」を用意しています。これまでも運用作業を委託したいというお話は沢山いただいていたのですが、「PCI DSS Ready Cloudマネージドモデル」を利用いただくと運用まで考慮したサービス構成になっているので、作業の標準化が可能です。ようやく実現することができたサービスとして、我々としても大きなチャレンジです。
お客さまからは「待っていました！これで毎日の運用から手離れできる」と想像以上に高い評価をいただいています。

v4.0への移行は運用を見直す絶好の機会

―v4.0に移行することについて、準拠企業はどのような点に意義を見出したら良いでしょうか？​

荒井　 PCI DSSは事業者をリスクから守るものであると同時に、クレジットカードを利用するユーザーを守るものでもあります。クレジットカードの磁気テープを読み取って決済をしていた頃は、店舗でスキミングされる事件が多発していました。いまはICチップ化されたことで、対面での漏洩事案がほぼなくなってきました。セキュリティを強化すれば確実に効果は現れます。
ここ数年は非対面、ECサイトから漏洩事案が急増していることもあって、オンラインスキミング対策による、消費者向けの決済ページを保護する要件が加わっています。消費者の大事な情報を守ることは、大きく考えると国民、国の財産を守ることだと思うんです。自社のセキュリティを高めることが国全体のセキュリティ強化になる。そういう意識をもっていただけるといいですよね。

滝村　v4.0への移行は費用も手間もかかります。大変な作業であることは間違いありません。だからこそポジティブな面に目を向けた方がいいと思います。
例えば、v4.0は自動化を求める要件が増えています。自動化によって、ヒューマンエラーやエンジニアの運用負荷が大幅に下げられる。V3.2.1の運用が約7年続いてきましたが、この7年の間に生まれた新たなテクノロジーやサービスを活用してどう効率よく運用していくのか。この移行期間を自社のPCI DSSの運用を見直す絶好の機会にしてほしいと思います。
「PCI DSS Ready Cloud」もコストを下げましょう、エンジニアの運用負荷を下げましょうというコンセプトから生まれたサービスです。PCI DSSを難しくしない、効率的に運用できるサービスやソリューションは必ずあるという点を荒井さんと一緒に広めていきたいですね。

荒井　まずは半年後に迫った必須要件の移行期限をクリアするためにも、どう進めたらいいのか迷ったら、あまり時間もないので、ぜひ早めに私たちのような PCI DSSの専門家に連絡をしてほしいですね。

滝村　そうですね。PCI DSSの運用が楽になったとか、運用コストが削減できたとか、移行しましたというだけではなく、移行したことで何かプラスにつながる機会にしてもらえると嬉しいです。