PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカードの会員データを安全に取り扱うために策定されたクレジットカード業界特有のセキュリティ基準です。本記事では、PCI DSSにおけるネットワークセグメンテーションの重要性や、PCI DSSの要件などについて詳しく解説します。
PCI DSSへの準拠が必要な企業の方は、ぜひ最後までご覧ください。
PCI DSSとは
PCI DSSとは、
カード会員情報を守るために策定された、セキュリティ基準です。
2004年に、国際カードブランドの5社(American Express、Discover、JCB、MasterCard、VISA)によって策定されました。PCI DSSは、2006年に国際カードブランドにより共同設立された組織、PCI SSC(PCI Security Standards Council)によって運営・管理されています。
2008年10月、PCI DSSバージョン1.2からは、基準項目が明確になり、説明の付与などがなされました。注目すべき点は、ネットワークセグメンテーションについて、説明が詳しくなり、重要性が強調されたことです。
現在、このセキュリティ基準は、業界標準となっています。
また、2022年3月には、
PCI DSSバージョン4.0 がリリースされました。
関連記事:
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
PCI DSSが策定された背景
PCI DSSが策定されるまでは、クレジットカード業界には、会員情報を守るための統一ルールがありませんでした。
各国際カードブランドは、独自にセキュリティルールを作り運用していましたが、情報流出事故が発生していました。
インターネットの普及により、ECサイトでの決済手段にクレジットカードを利用することが一般的になってきました。サイバー攻撃を受けたECサイトから、情報流出事故が発生しています。
カード会員情報を守るため、グローバルなルールが必要となりました。
国際カードブランドによって、PCI DSSが策定されました。
PCI DSSで重要な「ネットワークセグメンテーション」とは
PCI DSSで重要な「ネットワークセグメンテーション」とは、カード会員情報が伝送、処理、保存される範囲と、それ以外の範囲に分けることです。
セキュリティ基準に適合させる範囲を、絞り込むこととなります。
セキュリティ基準の適用範囲は、以下となります。
- ・CDE(Cardholder Data Environment)環境:カード会員データ環境
PCI DSSで定義されるカード会員情報が伝送、処理、保存されるシステム、および、そのシステムが稼働している同一セグメントとなります。
- ・接続先システム、セキュリティに影響を与えるシステム
CDEに対して直接または間接的に接続しているシステム、または管理サービスやセキュリティサービスを提供するシステムとなります。
セキュリティ基準の適用範囲外は、以下となります。
CDEのセキュリティまたは設定に影響を与えない自社システムとなります。
PCI DSSにおけるネットワークセグメンテーションの重要性
ネットワークセグメンテーションにより以下の3つの利点があります。
- PCI DSS審査の対象範囲を縮小できる
- PCI DSS審査にかかるコストを抑えられる
- 組織のもつリスクを抑えられる
順番に解説していきます。
①PCI DSS審査の対象範囲を縮小できる
セキュリティ基準の
適用範囲を絞り込むため、結果としてPCI DSS審査の対象範囲を縮小できます。
②PCI DSS審査にかかるコストを抑えられる
セキュリティ基準の適用範囲を絞り込むことができるため、セキュリティ基準に適合させるコストおよび維持・管理するコストが抑えられます。
③組織のもつリスクを抑えられる
守るべき重要な情報を限られた環境に集約・統合し、その環境に対するセキュリティコントロールを強化するため、
組織全体のリスク低減にもつながります。
ネットワークセグメンテーションの方法
ネットワークセグメンテーションの方法には、以下の2つがあります。
- ファイアウォールで分割する
- ルータによるアクセス制御で分割する
順番に解説していきます。
①ファイアウォールで分割する
CDE環境とそれ以外の環境との境界に、ファイアウォールを導入し、アクセスコントロールを行う方法でセグメンテーションを行います。
この方法は、PCI DSSで求められているネットワークセグメンテーションの最も標準的な手法です。
また、CDE環境とそれ以外の環境の間で行われる通信は、業務上必要最低限のプロトコルに制限する必要があります。
②ルータによるアクセス制御で分割する
ルータは、ネットワークを流れるパケットを解析し、ACL(Access Control List)を利用して、アクセス制御(経路制御)を行うことができます。この機能を利用して、ファイアウォールと同等のIPアドレスやポートでの制御を行うことで、セグメンテーションを行います。
ただ、一般的にルータのACLは複雑になるため、設定変更等を考えると必ずしも最良の選択肢ではないと思われます。
ネットワークセグメンテーションを行う際のポイント
ネットワークセグメンテーションを行う際のポイントは2つあります。
- 会員データの種類と量、流れを把握する
- どの部分にアクセス制御機構を実装するか考える
順番に解説していきます。
①会員データの種類と量、流れを把握する
自企業で扱っているカード会員情報の種類と量を洗い出し、その情報がどこに保存されているか確認します。
また、ネットワーク図を利用して、カード会員情報がどのような流れをたどっているか、確認することが重要となります。
各種デバイス、サーバに保存されているログ、セキュリティ監視システムなども含めて洗い出します。
②どの部分にアクセス制御機構を実装するか考える
カード会員情報を、どこに集約しどの部分にアクセス制御機構を実装するかを、考える必要があります。
アクセス制御は、必要最低限のユーザが、必要に応じて限られた場所からのみアクセスできるように実装します。また、その操作は、限られた操作のみ可能にする必要があります。
PCI DSSの要件
カード情報を守るための、6つの目標とそれぞれの目標に対応する、12の要件は以下となります。具体的な対応内容が要件化されています。
目標 |
要件 |
・安全なネットワークとシステムの構築と維持 |
1. ファイアウォールを使用し外部と内部を切り分ける。業務上必要な通信のみ許可するように、アクセスリストを作成する。また、安全で必要なプロトコルのみ許可する。
2. サーバやネットワーク機器では、ベンダー特有のデフォルト設定を使用しない。不必要なサービスやプロトコルをインストールしない。 |
・カード会員データの保護 |
3. カード会員データは、必要最低限の量と期間、安全に保管する。
4. 公衆ネットワークを利用し、カード会員データを送受信する場合は、暗号化する。 |
・脆弱性を管理するプログラムの整備 |
5.アンチウィルスソフトウェアを導入し、スパイウェア・アドウェアなどに対する検知、除去、防護を行う。
6. OSやアプリケーションへのパッチは、迅速に適用する。 |
・強力なアクセス制御手法の導入 |
7. アクセス許可は必要最低限とする。アカウントの共有は禁止する。必ず個別のアカウントを割り当てる。
8. ユーザの認証には、個別アカウントの割り当ての他にパスワードやトークン、生体認証などを実装する。
9. 物理的に、セキュリティカードなどを利用して、ビルへの入退館、マシンルームへの入退室などを制限する。また、監視カメラの設置などを行う。 |
・定期的なネットワークの監視およびテスト |
10. カード会員データへのアクセスについては、すべてログ管理し不正アクセスを監視する。
11. 定期的にネットワークテストを行う。 |
・情報セキュリティポリシーの維持 |
12. リスク評価手順に基づいて情報セキュリティポリシーを運用する。 |
PCI DSSへの準拠が必要な企業
PCI DSSへの準拠が必要な企業には、以下があります。
イシュアー(クレジットカード発行会社)、アクワイアラー(加盟店管理会社)です。
PSP(Payment Service Provider)、QRコード決済事業者、EC モール、EC システム提供会社などが該当します。
独自にカード情報を機器・ネットワークを通過(通過型)して処理する場合は、該当します。
カード情報を保持しない非通過型(決済代行業者の機器・ネットワークを利用)の場合は、該当しません。
PCI DSS準拠の課題
PCI DSS準拠には、2つの課題があります。
PCI DSSに準拠するには一般的に、
12ヶ月程度の期間がかかるといわれています。
この12ヶ月は、比較的スムーズにいく場合を想定した期間です。
対策実施において、さまざまな要因から長期化するようなケースもあります。
PCI DSS準拠は、一度審査に通ったら恒久的に認定が受けられるものではありません。
定期的な監査が存在し、維持するための負担があります。
例えば、年1回の監査・四半期に1回の診断と対応、日々の脆弱性情報収集やパッチ適用など、さまざまな対応事項があります。
これらの維持に、自社単独で対応しようとすると、大きな負担になってしまいます。
課題への対応は、自社単独で行うことは非常に難しいため、経験豊富な専門業者への委託がおすすめです。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
構成/監修者
滝村 享嗣 氏
株式会社リンク
セキュリティプラットフォーム事業部 事業部長
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。