2021.01.20

PCI DSS v4.0で顕在化するクラウドサービスの課題(前編)- PCI DSS準拠のために導入したクラウドサービスがPCI DSS準拠してない矛盾-

  • このエントリーをはてなブックマークに追加
加盟店やカード会社などがクレジットカード情報を保護するためのセキュリティ基準PCI DSS(Payment Card Industry Data Security Standard)の改訂版であるPCI DSS v4.0が2021年第2四半期に公開される予定です。fjコンサルティングの代表の瀬田陽介氏にPCI DSSのコンサルタントの立場からお話を伺いました。(執筆:牧野 武文氏)



現行のv3.2.1からの改訂ポイントは、主に4つありますが、その中でも課題となるのが、「④クラウドサービスの要件への取り込み」です。特に日本のPCI DSS準拠企業や関連するサービスプロバイダーにとっては意外な思いを感じるかもしれません。



【図1】2021年第2四半期に公開されるPCI DSS v4.0の改訂のポイント。この中で、④「クラウドサービスの要件への取り込み」で問題が生じることになる。

PCI DSS v4.0によって、クラウドサービスなど外部サービス利用時の課題として顕在化しそうなのは、外部委託先に対するPCI DSS準拠の確認と、外部委託先との間での責任区分の明確化の2つです。具体的にどのようなことが問題となるのか、前者からお話ししていきます。

PCI DSS準拠企業は、さまざまな外部委託先を活用しています。近年では、PCI DSS準拠対象となるシステムにSaaS、PaaSなどのクラウドサービスやセキュリティサービスを活用されることが増えています。ところが、日本で展開されるそれらのサービスの多くにPCI DSS準拠に活用できることをうたっているにも関わらず、自身はPCI DSS準拠をしていないという現状があります。

PCI DSSの要件における「PCI DSS準拠を求める外部委託先」は主に2つあります。

1)カード会員データを共有するサービスプロバイダー
PSP(Payment Service Provider)、コールセンター/BPO(Business Process Outsourcing)、データストレージサービス、IaaS(Infrastructure as a Service)など
2)カード会員データのセキュリティに影響を及ぼすサービスプロバイダー
マルウェア検知サービス、稼働監視/障害復旧サービス、IDS/IPSセキュリティ監視やセキュリティログ監視サービス、シングルサインオンサービスなど

1)についてはカード会員データを共有するのですから、委託するサービスの選定時にPCI DSS準拠を考慮する必要性は分かりやすいでしょう。実際に1)のサービスを提供するサービスプロバイダーの多くが既にPCI DSSに準拠しています。しかし、2)についてはどうでしょうか。国内で展開するセキュリティ関連のサービスの多くが、PCI DSSに準拠をしていません。「PCI DSS準拠に役に立つサービスです」とうたい、セールスしているサービス自身がPCI DSSに準拠してないという矛盾した状況になっているのです。



【図2】クラウドサービス利用時の課題。外部委託先に対するPCI DSS準拠確認の必要性について、①は多くの顧客企業が認識をしているが、②は盲点になっている。PCI DSS4.0でこの問題が顕在化する。


例えば、企業内のコールセンターで使うPCが、PCI DSSの対象範囲に含まれているのであれば、それらにマルウェア検知サービスを導入しなければならないとPCI DSS要件5で要求されています。さらに、定期的にマルウェアのパターン定義ファイルをアップデートすることも要件になっています。この場合、マルウェア検知サービスを提供しているサービスはPCI DSSに準拠する必要があります。なぜなら当該企業のシステムにセキュリティ影響を及ぼす可能性があるからです。例えばパターン定義ファイルを配信するクラウドサービス上のサーバーに侵入して特定のマルウェアを検知しないようにパターン定義ファイルを改ざんすることで、攻撃者は当該企業にマルウェアを送り込むことが可能になってしまう訳です。

また別の例として、PCI DSS要件10では、すべてのシステムコンポーネントのログとセキュリティイベントを調べ、異常や疑わしい活動を特定することを求めています。この要件に対応するためにログの収集、分析、および警告ツールを提供するセキュリティ監視サービスを利用するPCI DSS準拠企業が増えています。しかし、このサービスがPCI DSSに準拠をしていなかった場合、攻撃者が侵入し、例えばセキュリティシステムのログの記録を一時的に停止した上で、顧客企業にマルウェアを送り込んだり、不正ログインをするなどのリスクがあります。

これは、次のような例え話にすると、わかりやすいかもしれません。顧客企業はビルのセキュリティをしっかりと行い、警備員も配置している。しかし、委託している警備会社がセキュリティ基準に準拠をしていないため、警備員になりすました攻撃者がビルの監視カメラや警報を切って侵入をする。あるいは、攻撃者が警備会社に就職をして、警備員としてビルに侵入するというインシデントが起こり得ます。これでは、顧客企業のセキュリティは安全とは言えず、外部委託先である警備会社にも顧客企業と同じレベルのセキュリティ基準を求めざるを得ません。

仮に、この問題を放置してPCI DSSに準拠していないサービスプロバイダーのサービスを使い続けた場合、認定審査機関(QSA)の審査からの指摘事項となりPCI DSS完全準拠とは言えないと判断されるケースが想定されます。

もちろん、そんなことになっては困るので、PCI DSS準拠企業は現在契約中のサービスプロバイダーにPCI DSS準拠を求めるか、あるいは応じてもらえないのであれば、同じサービスを提供する別のPCI DSS準拠のサービスに切り替えることになります。繰り返しとなりますが、日本の著名なセキュリティサービスの多くがPCI DSSにまだ準拠していないというのが現状です。

一方で、グローバル展開する主要なサービスプロバイダーの多くがPCI DSSに準拠済みです。このままだと顧客企業は国内のサービスからグローバルに展開するサービスに切り替えていくという現象が起きる可能性があります。そのような事態を招かないよう、セキュリティサービスプロバイダーの皆様には、「外部委託先のPCI DSS準拠」の問題を早く認識し、PCI DSS準拠は顧客企業のニーズを捉えるための課題と考えていただければと思います。

PCI DSS v4.0はすでにドラフト第2版が会員内で公開され、2021年第2四半期に正式版が公開されます。現行のPCI DSS v3.2.1はv4.0の正式公開から2年後、すなわち2023年第2四半期に移行期限を迎えます。移行に時間を要する要件については、期限が猶予される「未来日付の新要件」となる予定ですが、この外部委託先のPCI DSS準拠の問題が、未来日付の新要件に入るかどうかは未定です。つまり、2023年第2四半期までに対応を完了させるつもりで行動しておく必要があります。余裕のあるスケジュールではないと思います。PCI DSSに関連するクラウドサービスやセキュリティサービスプロバイダーの方々には、PCI DSS v4.0が公開されたらすぐに対応作業に入るというスケジュール感が必要になるかもしれません。

公開情報としては、英語のみになりますが、PCI SSCのブログ(https://blog.pcisecuritystandards.org/)が信頼できる情報です。私がここでお話しした内容が詳しく解説されています。



【図3】PCI DSS v4.0策定から移行までのスケジュール(PCI SSCブログを参考にfjコンサルティング作成)PCI DSS4.0の公開は2021年第2四半期。しかし、移行期間は2年間しかないので、公開されてから情報収集をしていたのでは間に合わなくなる可能性がある。公開情報を使って、今から情報収集をしておくことが望ましい。

#後編はこちらからご覧ください。


この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加