【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説

PCI DSS V4 日本語版 公開

PCI SSC Webサイト DOCUMENT LIBRARY

https://www.pcisecuritystandards.org/document_library
PCI SSCより PCI DSS v4.0 と PCI DSS Summary of Changesの日本語版が公開されています。

・Payment Card Industry データセキュリティ基準 要件とテスト手順
・変更点のまとめ:PCI DSS のバージョン 3.2.1 から 4.0

*Japanese を選択ください。

PCI DSS v4.0準拠までのタイムライン

PCI SSCが公表しているタイムラインでは、現行のPCI DSS v3.2.1は2024年3月31日に終了されます。

各企業は、それまでにv4.0 に伴う変更点、改訂された各種書式への理解、そして更新要件に準拠するための対応計画策定などを整理し、v4.0に準拠する必要があります。

日本語を含む各国語への翻訳やサポート文書が公開されています。

また、PCI DSS v4.0で新規追加済みの64要件のうち、13要件はすぐに適用される一方、技術的に移行が難しく、準拠のための負担が重いとされる残りの51要件（ベストプラクティス要件）に関しては、2025年3月31日まで準拠が猶予されます。

現在、PCI DSS v3.2.1に準拠している企業は、PCI DSS v4.0への移行時に、システム修正や運用体制の変更の検討が必要です。よって、まずはPCI DSS v3.2.1とv4.0の要件差分を洗い出し、現在の対応状況を確認した上で、計画的な移行準備を推進する必要があります。

 

PCI DSS v4.0の特徴

PCI DSS v4.0では、PCI DSSの適用対象や範囲、各要件への対応スケジュール、検証方法などに関して新たに明示されました。

PCI DSS は、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または伝送するすべての事業体と、カード会員データ環 境(CDE)のセキュリティに影響を与える可能性のあるすべての事業体を対象としています。

これには、加盟店、プロセサー、アクワイア ラ、イシュア、その他のサービスプロバイダを含む、カード情報の処理に関与するすべての事業体が含まれます。

事業体が PCI DSS への準拠または準拠の検証を必要とするかどうかは、準拠プログラムを管理する組織(ペイメントブランドやアクワイア ラなど)の判断により決定されます。
PCI DSSの要件として、定期的な実施が求められているものがあります。
この定期的な実施の時間枠について、PCI DSS v4.0では考え方と具体的な例が提示されました。

例えば、「四半期に一度」の活動は、可能な限り近い、同間隔での実施が求められます。
よって、四半期に一度活動が行われていても、間隔がバラバラである場合、不適合と見なされる恐れがあります。

なお、PCI DSSを実装・検証するための方法として、以前までの「定義されたアプローチ」に、「カスタマイズアプローチ」が加えられました。

「定義されたアプローチ」とは、定義された要件とテスト手順を用いる方法であるのに対し、「カスタマイズアプローチ」とは、定義された要件とは厳密には異なる方法を利用して、要件の目的を満たすセキュリティコントロールを実装・検証することをさします。

 

PCI DSS v4.0要件の主な変更点/考え方

PCI DSS v4.0には、前回のメジャーバージョンアップ以降に登場した新技術やシステム環境変化への対応や、オンラインスキミング、フィッシングなどをはじめとする新しい攻撃手法への対応が多く盛り込まれています。
以下で、PCI DSS v4.0で主に変わった点をピックアップします。

 

リスク分析

定期的な実施が必要である一部の運用において、リスク分析に基づいて頻度を決めなくてはならなくなりました。

 
例えば、アクセス権限の棚卸頻度や、インシデント対応要員に対する訓練頻度などは、「ターゲットリスク分析」を通じて決める必要があります。

ターゲットリスク分析とは、運用ごとに資産（ログファイルや認証情報など）と脅威を考慮して、危険性を洗い出す作業のことです。

保護すべき情報に対し、どのようなリスクが潜んでいるのか、外部からの攻撃と内部での不正の両面から可視化し、組織として責任のある決定が求められます。

 

最近の情報漏洩の動向に基づいた新規要件の追加

PCI DSS v4.0では、近年の情報漏洩の動向に基づいて、新規要件が加えられています。

例えば、本来保存が禁じられている事業体から、機密認証データが漏れる事故が起きている状況を考慮し、要件の対象が「カード会員データ」から「アカウントデータ」へと厳密化されました。
そのため、オーソリゼーション完了までの一時的な保存の際も、暗号化が不可欠となり、システム修正と機密認証データ保存に関する文書化が求められます。

また、IPAが公開している「情報セキュリティ10大脅威」で昨今上位にランキングしているリスクが、フィッシングです。

PCI DSS v4.0においては、フィッシング攻撃を検出・防御するための仕組みと、自動化されたメカニズムの実装が新たに求められています。

対策として、メールサーバーや端末に、フィッシング攻撃対策機能を備えたソリューションや、ウイルス対策ソフトの導入が挙げられます。

さらに、PCI DSS v4.0の新規要件では、利用者のブラウザに表示されて、行われる全ての決済ページスクリプトにおいて、認可プロセス・整合性チェック・スクリプトのインベントリを管理することが求められました。

これは近年、決済ページのスクリプト改ざんが原因で、カード情報の漏洩が頻発している状況に基づいたものと考えられます。

 

既に求められている対策の一層強化

PCI DSS v4.0では、v3.2.1で既に求められている対策の一層強化を図る要件が見られます。

例えば、ユーザーアカウントのパスワードは、「数字・英字の両方を含み、12文字以上の長さ」といった最低限の「複雑さ」を満たさなくてはなりません。

他にも、多要素認証の実装は、PCI DSS v3.2.1では非コンソールアクセスの管理者やリモートアクセスに限られていた一方、v4.0においては、カード会員データ環境（CDE）への全ての接続が対象です。
つまり、外部に公開していない内部システムや、社内ネットワークを通じて接続している業務担当者であっても、多要素認証が求められます。

 

First Look at PCI DSS v4.0（日本語字幕付き） 公開

PCI Security Standards Council の Youtubeチャンネル

First Look at PCI DSS v4.0（日本語字幕付き）も公開されています。

主な解説ポイント

・要件の変更: 認証、パスワード
・柔軟性の向上: ターゲットリスク分析、カスタマイズアプローチ、代替コントロール、進化するテクノロジーへの対応
・脅威への対応: フィッシングとソーシャルエンジニアリング、脅威への対応: オンラインスキミング
・継続的なプロセスとしてのセキュリティの推進
・レポーテイングの更新
・PCI DSS v4.0への移行タイムライン

PCI DSS準拠 事例







PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス