Discover Performance

 

 


今すぐ登録する

「HP Software Discover Performance」日本語版

【セキュリティ】PCI DSS ver.3.0対応は?

今月は、11月7日にリリース予定となるPCIDSSv3.0の話題を取り上げてみます。

PCIDSSとは

PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

PCI DSSが策定される以前にもセキュリティ基準はいくつか存在していましたが、それらに比べてPCI DSSでは情報セキュリティに対する具体的な実装まで踏み込んだものになっているのが特徴です。PCI DSSでは、「ネットワークやアプリケーションのペネトレーション・テストの回数や実施時期」「パッチのリリース後1カ月以内の適用」「6回ログオンに失敗した場合のロックアウト」「クライアントPCへのパーソナル・ファイアウォールのインストール」など、具体的な実装方法が示されているため、クレジットカード情報とまったく関係ない企業や組織も、PCI DSSを参考にして自社のセキュリティ基準を定めています。

このPCI DSSですが、策定されたのは2004年12月で、以降
v1.1 (2006年9月)
v1.2 (2008年10月)
v1.2.1(2009年7月)
v2.0 (2010年10月)
と改定されてきました。今回は前回の改定から実に3年間の期間があったため、変更点もv2.0の時よりも多くなっています。

v1.2.1→v2.0での変更点

v2.0での変更は「明確化」「追加のガイダンス」「発展型要件」と3つの種類に分類されています。

変更後の種類 変更前の種類 定義
明確化 明確化 要件の趣旨を明確化する。基準の用語が、要件の目的を適切かつ簡潔に表現していること。
追加のガイダンス 説明 特定のトピックについて理解を深めるための、または特定のトピックの詳細情報を提供する説明または定義(あるいはその両方)
発展型要件 拡張 基準を新種の脅威や市場の変化に応じた最新の状態にするための変更

v2.0での変更点は、例えば

  • 無線LANの存在を明確化(明確化)
  • テスト手順の目的の明確化、手順の細分化(明確化)
  • 内部スキャンが認定された第三者によって実施される必要があることの明確化(明確化)
  • 安全でないサービス、プロトコル、またはポートの例を追加(追加のガイダンス)
  • 仮想化技術に関する新しいオプションのテスト手順を追加(追加のガイダンス)
  • リスク評価方法の例を追加(追加のガイダンス)
  • 要件およびテスト手順のプロセスに、脆弱性の特定だけでなく、リスクに応じた脆弱性のランク分けが含まれている必要があることを追加した。リスクをランク分けする方法についてガイダンスを提供した(発展型要件)
  • リスクの高い脆弱性に対処する為に、新しい要件およびテスト手順を追加(発展型要件)

のようなものがあります。いずれも、2010年までの間に発展したIT機器に対応するとともに、実際にPCI DSS v1.xを使用した際に不明確だった部分のフィードバックを受けて更新されたものになります。

v2.0→v3.0での変更点

今回のv3.0での変更には、以下の3つの重要なテーマがあるとしています。

  • Education and awareness (教育と啓蒙)
    セキュリティに対しての教育と啓蒙が足りないために、システム導入/メンテナンス時のセキュリティの問題が発生しているとして、これら教育を加速するための修正がドキュメントに加えられています。
  • Increased flexibility(柔軟性の強化)
    v3.0での変更として、カード情報侵害のようなセキュリティインシデントの発生につながるリスク、弱いパスワードや認証方式、マルウェアなどに対してもフォーカスし、要件を満たすために柔軟なインプリができるように対応するようです。同時に、要件に対して確実にインプリが行われているかのテスト方法も向上されています。
  • Security as a shared responsibility(セキュリティを共有化された責任とする)
    現在のカード決済の環境がより複雑化している状況に伴い、他のビジネスパートナー(委託など)と共同で作業を行う際の情報管理に対しても見直しがされるようです。

V3.0での変更点はv2.0のときと同じ「明確化」「追加のガイダンス」「発展型要件」に分類されています。V3.0では、例として次のような点が変更されています。

  • PCI DSSスコープ内のシステムのインベントリを維持する。
  • マルウェアが一般的に影響しないようなシステムに対しても、進化しているマルウェアの脅威を評価する。
  • 安全なコーディング手法の為に、OWASP、SANS、NIST等の一般的な脆弱性のリストを更新する。
  • POS端末やデバイスをタンパリング攻撃から守る。
  • PANが存在しない場合でも、センシティブな認証データは承認後に保存されてはならないことを明確にする。
  • デフォルトパスワードの変更が、ユーザアカウントと同じくアプリケーションやサービスアカウントにも必要であることを明確化。
  • パスワードの長さと複雑さについてバリエーションを認め、柔軟性を向上。

また、クラウドやモバイルを使った決済などの新技術に対しては、これまで通り、個別のガイダンスやインフォメーションサプリメントとして対応がされていきます。

まとめ

PCIDSS V3.0は2013年11月7日にリリースされ、2014年1月1日に有効となります。これに伴って、現状のV2.0は2014年度中が有効となります。
そのため、関係する企業は、リリース後、早めに内容を精査しておいたほうが良いでしょう。

【参考記事】

  1. PCI Security Standards Council
    https://ja.pcisecuritystandards.org/minisite/en/pci-dss-v2-0.php 
  2. "Payment Card Industry(PCI) Data Security Standard and Payment Application Data Security Standard Version 3.0 Change Highlights"
    https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf