2022年3月にPCI DSS バージョン4.0がリリースされました。2013年の11月にリリースされたPCI DSS バージョン3.0から数えて約8年ぶりのメジャーバージョンアップとなります。ここでは、どのような点が変更されたのか、準拠に向けて取り組んでいくためには何をおさえておけば良いのかなどについて紹介します。
PCI DSS V4 日本語版 公開
PCI SSC Webサイト DOCUMENT LIBRARY
https://www.pcisecuritystandards.org/document_library
PCI SSCより PCI DSS v4.0 と PCI DSS Summary of Changesの日本語版が公開されています。
・Payment Card Industry データセキュリティ基準 要件とテスト手順
・変更点のまとめ:PCI DSS のバージョン 3.2.1 から 4.0
*Japanese を選択ください。
PCI DSS v4.0準拠までのタイムライン
PCI SSCが公表しているタイムラインでは、現行のPCI DSS v3.2.1は2024年3月31日に終了されます。
各企業は、それまでにv4.0 に伴う変更点、改訂された各種書式への理解、そして更新要件に準拠するための対応計画策定などを整理し、v4.0に準拠する必要があります。
日本語を含む各国語への翻訳やサポート文書が公開されています。
また、PCI DSS v4.0で新規追加済みの64要件のうち、13要件はすぐに適用される一方、技術的に移行が難しく、準拠のための負担が重いとされる残りの51要件(ベストプラクティス要件)に関しては、2025年3月31日まで準拠が猶予されます。
現在、
PCI DSS v3.2.1に準拠している企業は、PCI DSS v4.0への移行時に、システム修正や運用体制の変更の検討が必要です。よって、まずはPCI DSS v3.2.1とv4.0の要件差分を洗い出し、現在の対応状況を確認した上で、計画的な移行準備を推進する必要があります。
PCI DSS v4.0の特徴
PCI DSS v4.0では、PCI DSSの適用対象や範囲、各要件への対応スケジュール、検証方法などに関して新たに明示されました。
PCI DSS は、
カード会員データ(
CHD)や
機密認証データ(SAD)を保存、処理、または伝送するすべての事業体と、カード
会員データ環 境(CDE)の
セキュリティに影響を与える可能性のあるすべての事業体を対象としています。
これには、加盟店、プロセサー、アクワイア ラ、イシュア、その他のサービスプロバイダを含む、カード情報の処理に関与するすべての事業体が含まれます。
事業体が PCI DSS への準拠または準拠の検証を必要とするかどうかは、準拠プログラムを管理する組織(ペイメントブランドやアクワイア ラなど)の判断により決定されます。
PCI DSSの要件として、定期的な実施が求められているものがあります。
この定期的な実施の時間枠について、PCI DSS v4.0では考え方と具体的な例が提示されました。
例えば、「
四半期に一度」の活動は、
可能な限り近い、同間隔での実施が求められます。
よって、四半期に一度活動が行われていても、間隔がバラバラである場合、不適合と見なされる恐れがあります。
なお、PCI DSSを実装・検証するための方法として、以前までの「
定義されたアプローチ」に、「
カスタマイズアプローチ」が加えられました。
「
定義されたアプローチ」とは、定義された要件とテスト手順を用いる方法であるのに対し、「
カスタマイズアプローチ」とは、
定義された要件とは厳密には異なる方法を利用して、要件の目的を満たすセキュリティコントロールを実装・検証することをさします。
PCI DSS v4.0要件の主な変更点/考え方
PCI DSS v4.0には、前回のメジャーバージョンアップ以降に登場した新技術やシステム環境変化への対応や、オンラインスキミング、フィッシングなどをはじめとする新しい攻撃手法への対応が多く盛り込まれています。
以下で、PCI DSS v4.0で主に変わった点をピックアップします。
リスク分析
定期的な実施が必要である一部の運用において、リスク分析に基づいて頻度を決めなくてはならなくなりました。
例えば、アクセス権限の棚卸頻度や、インシデント対応要員に対する訓練頻度などは、「
ターゲットリスク分析」を通じて決める必要があります。
ターゲットリスク分析とは、
運用ごとに資産(ログファイルや認証情報など)と脅威を考慮して、危険性を洗い出す作業のことです。
保護すべき情報に対し、どのようなリスクが潜んでいるのか、外部からの攻撃と内部での不正の両面から可視化し、組織として責任のある決定が求められます。
最近の情報漏洩の動向に基づいた新規要件の追加
PCI DSS v4.0では、近年の情報漏洩の動向に基づいて、新規要件が加えられています。
例えば、本来保存が禁じられている事業体から、機密認証データが漏れる事故が起きている状況を考慮し、要件の対象が
「カード会員データ」から「アカウントデータ」へと厳密化されました。
そのため、オーソリゼーション完了までの一時的な保存の際も、暗号化が不可欠となり、システム修正と機密認証データ保存に関する文書化が求められます。
また、IPAが公開している「
情報セキュリティ10大脅威」で
昨今上位にランキングしているリスクが、フィッシングです。
PCI DSS v4.0においては、フィッシング攻撃を検出・防御するための仕組みと、自動化されたメカニズムの実装が新たに求められています。
対策として、メールサーバーや端末に、フィッシング攻撃対策機能を備えたソリューションや、ウイルス対策ソフトの導入が挙げられます。
さらに、PCI DSS v4.0の新規要件では、利用者のブラウザに表示されて、行われる全ての決済ページスクリプトにおいて、認可プロセス・整合性チェック・スクリプトのインベントリを管理することが求められました。
これは近年、決済ページのスクリプト改ざんが原因で、カード情報の漏洩が頻発している状況に基づいたものと考えられます。
既に求められている対策の一層強化
PCI DSS v4.0では、v3.2.1で既に求められている対策の一層強化を図る要件が見られます。
例えば、ユーザーアカウントのパスワードは、「
数字・英字の両方を含み、12文字以上の長さ」といった
最低限の「複雑さ」を満たさなくてはなりません。
他にも、多要素認証の実装は、PCI DSS v3.2.1では非コンソールアクセスの管理者やリモートアクセスに限られていた一方、v4.0においては、カード会員データ環境(
CDE)への全ての接続が対象です。
つまり、外部に公開していない内部システムや、社内ネットワークを通じて接続している業務担当者であっても、多要素認証が求められます。
関連記事:
多要素認証とは?メリット・デメリットや具体例を詳しく解説v4.0への対応一例:ディスク暗号化の代替手段
PCI DSS v4.0がリリースされましたが、新要件となる要件3.5.1.2ではディスク暗号化の禁止が定められました。本要件では、リムーバブル電子媒体以外のサーバ機などについては、ディスク暗号化を禁止しています。
これはv4.0への移行において非常に影響が大きい新要件といえるでしょう。ディスク暗号化によるPANの暗号化を行っている場合は、代替案について検討する必要が出てきます。
代表的な方法としては、アプリケーションデータの暗号化、DBMSによるデータの暗号化、ファイルの暗号化といった3つの方法です。それぞれについて解説します。
アプリケーションデータの暗号化
プログラムでPANの処理を行う際、暗号化するプログラムを活用した上で保存できれば問題ありません。復号する場合については、一度ファイルやDBなどに保存している暗号化済みのデータを呼び出した上でプログラムにてPANを復号し、PANを処理します。
そもそもディスク暗号化が禁止されることになったのは、万が一の事態に
PANの漏えいを防ぐためです。例えば、サーバーが起動している状態でOSの管理者権限が奪われてしまえば、PANの漏えいに繋がってしまいます。
ですが、アプリケーションの暗号化に対応しておけば、仮にOSの管理者権限が奪われてしまったような場合でもPANを読み取ることができません。非常に安全性の高い方法といえます。
ただし、デメリットとして復号化・復号を行うためには、すべてでプログラムを経由しなければならない点についておさえておきましょう。例えば、企業によっては複数のサーバーを使い分けているようなケースもあるのではないでしょうか。このようなケースではプログラム同士の相性に問題がないかについてもよく確認が必要です。
また、DBMSのバッチ処理においてPANが扱えないことがあるのもデメリットといえるでしょう。
DBMSによるデータの暗号化
2つ目の代替案は、データベース管理システムであるDBMSを活用してデータの暗号化を行う方法です。DBMSとは、コンピューター上のデータベースの整理やデータの検索といったもののほか、更新や共有などが行えるソフトウェアのことをいいます。
暗号化/復号機能を持つDBMSの場合、、仮にOSの管理者権限が奪われてしまってもDBMSにログインできなければPANデータが読み取られてしまうようなことがありません。
また、暗号化した後であっても従来と同様の方法でデータにアクセスできるのもDBMSによる暗号化の大きなメリットといえるでしょう。
ただ、サーバーやパソコンのメモリ上にあるデータについては、一時期に暗号化されていない形で残ってしまいます。そのため、DBMSによるデータ暗号化で対応しようと考えているのであれば、それらのファイルについては別途セキュリティについて検討しなければなりません。
ファイルの暗号化
3つ目の代替案が、ファイルの暗号化となります。プログラムに依存することなくすべてのデータを暗号化できるのが特徴です。
ファイルの暗号化に取り組む場合は、ファイルに書き込みをしたり、読み込んだりする際に暗号化・復号できるようなプログラムを導入しましょう。万が一、OSの管理者権限を奪われてしまったときのことを考えても、ファイル自体が暗号化されていれば情報を読み取ることができなくなります。
暗号化ソフトの導入について検討する場合は、権限の制御ができるかについても確認しておきましょう。例えば、従業員に対しても復号権を与えるようなソフトを選択した場合は、データの持ち出しなどのリスクについても検討しなければなりません。また、ソフトウェアとの相性問題についても確認が必要です。
特に注意したいのが、ウイルス対策ソフトです。相性が悪いものを選択すると動作に支障をきたす恐れもあります。
PCI DSS v4.0準拠に向けてのポイント
前述したように、PCI DSS v4.0ではカスタマイズアプローチが加わりました。カスタマイズアプローチでは、従来のように要件書に定義されているテスト手順とは異なる方法であっても、セキュリティ目標が満たせていれば問題ないと判断されるものです。
なお、カスタマイズアプローチについては、すべての要件で認められるものではない点にも注意しましょう。要件によってはカスタマイズアプローチの対象外であると定められているものもあるため、そういったものについては従来と同様に要件書に定義されている形で取り組んでいく必要があります。
PCI DSS v3.2.1の有効期間については、2024年3月31日と定められています。技術的に難しい要件や、準拠するとなると企業負担が重くなる新要件は、特定の期日までの猶予期間を設ける措置であるベストプラクティス要件の対象となります。猶予期間は、2025年3月です。
First Look at PCI DSS v4.0(日本語字幕付き) 公開
PCI Security Standards Council の Youtubeチャンネル
First Look at PCI DSS v4.0(日本語字幕付き)も公開されています。
主な解説ポイント
・要件の変更: 認証、パスワード
・柔軟性の向上: ターゲットリスク分析、カスタマイズアプローチ、代替コントロール、進化するテクノロジーへの対応
・脅威への対応: フィッシングとソーシャルエンジニアリング、脅威への対応: オンラインスキミング
・継続的なプロセスとしてのセキュリティの推進
・レポーテイングの更新
・PCI DSS v4.0への移行タイムライン
PCI DSS準拠 事例
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
構成/監修者
滝村 享嗣 氏
株式会社リンク
セキュリティプラットフォーム事業部 事業部長
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。