Payment Card Industry Data Security Standard(PCI DSS)についてご紹介します。これは、加盟店や決済事業者のコンプライアンスを簡略化することを目的として共同で策定されたものです。
2004年に初めて発表されたPCI DSSは、決済データを盗難や悪用から保護するために大手ペイメント カード ブランド5社によって策定された一連のセキュリティ標準です。データの処理、送信、保存のいずれにしても、ペイメント カード データを取り扱う企業や組織はPCI DSS標準に従う必要があります。従わない場合、罰金、法的措置、加盟店としてのアカウントの停止を含め、深刻な結果を招く危険があります。
PCI DSSは、支払アカウントのデータ セキュリティを奨励および強化し、一貫性のあるデータ セキュリティ対策を広くグローバルに導入し促進するために策定されました。現在PCI DSSは、支払アカウントのデータを保護して、消費者と企業の両方を金銭的な不正行為と評判の低下から守るための技術的要件と運用上の要件のベースラインとなっています。
PCI DSSの主な目的の一つは、カード所有者のデータを不正アクセスや潜在的な不正利用から保護することです。保護対象のデータには、会員番号、カード所有者の名前、有効期限、その他の機密情報が含まれます。この標準は、ペイメント カード情報への不正アクセスや盗難につながりかねないデータ漏洩のリスクを最小限に抑えることも目的としています。こうしたPCI DSS制御を実施することで、組織はペイメント カード取引に関連する不正行為を防ぎ、検出できるようになります。
留意すべき重要な点として、新たなセキュリティ上の脅威、技術の進歩、規制状況の変化に対応するために、PCI DSSの要件が時間とともに進化していることがあげられます。最新の要件については、PCI Security Standard CouncilのWebサイトをご確認ください。
PCI DSSコンプライアンスを維持するには、組織が一連の潜在的な脆弱性に対処して、カード所有者のデータ セキュリティを確保する必要があります。組織がPCI DSSコンプライアンスを維持するために対処しなければならない一般的な脆弱性の領域としては、次の4つが挙げられます。
PCI DSSでは、支払アカウントのデータを保護するための技術的要件と運用上の要件のベースラインを定めています。これらの要件は、以下の6つのPCI DSSの原則で詳しく説明されています。
カード所有者データの保護の取り組みは、セキュアなネットワーク インフラストラクチャを確立するところから始まります。これには、ファイアウォールを使用してネットワーク間のトラフィックを制御およびモニタリングし、不正アクセスを制限することも含まれます。マイクロセグメンテーションも推奨されるセキュリティ戦略の一つです。マイクロセグメンテーションでは、ネットワークを小さな個別のセグメントに分割して、ネットワーク内を「東西」に移動する横方向のトラフィックを制御し、アプリケーションまたはワークロード レベルで潜在的な攻撃対象領域を縮小することによってセキュリティを強化します。脆弱性管理のベスト プラクティスを確立することも、システムにパッチを適用して最新の状態に維持するうえで非常に重要です。
この原則で焦点としているのは、カード所有者データを暗号化して保護し、データの送信中や保存中に機密情報への不正アクセスを防ぐことです。この要件では、強力な暗号化を使用して公共ネットワークで送信されるカード所有者データを保護すること、機密性の高い認証データが認可後に保存されないようにするためのデータ保持ポリシーを策定することを定めています。データ保護ポリシーにより、カード所有者に関する機密情報への不正アクセスと情報漏洩のリスクを最小限に抑えるために、会員番号(PAN)をマスクするか切り捨てることも要件とされます。PCI DSS要件では、PANの表示時に可視にする部分は、最大でも最初の6桁と最後の4桁だけとなっています。
安全な環境を維持するためには、定期的に脆弱性を識別して対処しなければなりません。その一環として、脆弱性スキャンと侵入テストを定期的に実施することも必要になります。脆弱性スキャンの目的は、コード内に存在する欠陥を企業に警告することです。侵入テストでは、既存のセキュリティ対策の有効性をテストするために、実際の攻撃をシミュレーションして不正アクセスやその他の悪質なアクティビティが可能であるかどうかを判別します。スキャンやテストによって検出されたあらゆる弱点に迅速に対処することが、起こり得るシステムの侵害とシステムに保存されたカード所有者データの侵害を防止するうえで不可欠となります。さらに、ソフトウェア開発サイクルを進める中で脆弱性がもたらされないよう、組織には安全なコーディング手法のガイドラインを作成して適用することも求められています。その一例としては、OWASPが概説しているガイドラインをご覧ください。
システム コンポーネントとカード所有者データへのアクセスを制限すると、権限のない個人やシステムによる侵入を防ぐのに役立ちます。PCI DSSでは、ビジネス上知っておく必要がある人だけにアクセスを制限するように定めています。「最小権限の原則」とも呼ばれるこの原則は、ユーザーやシステムが、要求されたタスクを完了するために必要となる特定のデータ、リソース、アプリケーションにしかアクセスできないようにするためのものです。同様に、役割ベースのアクセス制御(RBAC)は、組織内の役割に基づいて許可されたユーザーだけにシステムへのアクセスを制限します。これらのポリシーの要件として、アクセス制御を頻繁にレビューし、担当者や役割の変更が反映されるように更新する必要があります。これらのポリシーでは、システムおよびカード所有者データへのアクセスに対してMFAを実施すること、パスワード ポリシーとベスト プラクティスを改善することも求めています。
セキュリティ インシデントを検出して迅速に対応するためには、継続的なモニタリングとテストが欠かせません。それには、ロギング メカニズムを導入し、定期的にセキュリティ テストを実施して、ネットワーク アクティビティを継続的にレビューする必要もあります。ネットワーク モニタリング ツールには、侵入検知システム(IDS)と侵入防止システム(IPS)も含まれます。これらのシステムを使用して、攻撃パターン、異常なアクティビティ、不正使用を特定するためにネットワーク トラフィックの整合性を分析して評価します。また、組織はインシデント レスポンス計画と緊急時の手順を確立し、これらのプロセスが定期的にテストされるようにする必要もあります。
PCI DSSは組織に対し、カード所有者データを保護するとともに組織内のセキュリティ プラクティスの指針となるフレームワークを設定する包括的なセキュリティ ポリシーを確立して維持することも要件としています。セキュリティ ポリシーは文書化して定期的にレビューし、技術やビジネス プロセスの変更が反映されるように更新する必要があります。さらに、組織は従業員がセキュリティ ポリシーとセキュリティ手順を認識するよう、従業員向けトレーニングを実施する必要もあります。
組織が堅牢なセキュリティ体制を確立し、カード所有者データを保護してデータ漏洩のリスクを最小限に抑えるには、以下の12のPCI DSS要件を満たすことが非常に重要となります。
PCIコンプライアンス レベルは、12か月間にわたるクレジット カード、デビット カード、プリペイド カードの取引量の合計に基づく4つのレベルに分かれています。組織は自分たちの取引量を正確に判断し、対応するレベルの要件を満たし、PCI DSSコンプライアンスを確保して維持する必要があります。適切なコンプライアンス レベルを維持することは、eコマース取引のセキュリティを確保し、カード所有者データの安全を確保する環境を維持して、潜在的なデータ漏洩を防止するうえで不可欠です。
PCIコンプライアンス レベル1は、最も高度で最も厳格なPCI DSSレベルであり、クレジット カード データを保存、送信、または処理する企業が最高レベルのセキュリティを確保できるように設計されています。さらに、データ漏洩やサイバー攻撃の標的となってクレジット カードやカード所有者データが侵害されたことがある、あらゆる規模の加盟店およびサービス プロバイダは、PCIレベル1の要件を満たす必要があります。PCIレベル1の認定を受けるには、公認セキュリティ評価担当者(QSA)または社内のセキュリティ評価担当者による年次コンプライアンス レポート(ROC)が必要です。また、通常は侵入テストを実施して、脆弱性を特定するためにコンピューター システムおよびアプリケーションに対する実際のサイバー攻撃をシミュレーションする必要もあります。PCIレベル1認定には、さらに認定スキャン ベンダー(ASV)による四半期ごとのネットワーク スキャンも必要になります。
PCI DSSレベル2の加盟店は、自己評価質問票(SAQ)を使用したコンプライアンス評価を年に1回実施し、ASVによるネットワーク スキャンを四半期ごとに1回行う必要があります。さらに、コンプライアンス証明(AOC)フォームへの記入も必要です。レベル1と同様に、一部のレベル2加盟店には侵入テストの実施が求められることがあります。データ漏洩やサイバー攻撃によってクレジット カード データまたはカード所有者データが侵害された事例がない限り、レベル2加盟店に対してオンサイトのPCI DSS監査の要件は適用されません。
PCI DSSレベル3の加盟店は、該当する年次SAQに記入し、ASVによるネットワーク スキャンを四半期ごとに1回行う必要があります。また、AOCフォームに記入して提出することも要件となります。
PCIレベル4の加盟店は、該当する年次SAQに記入する必要があります。また、ASVによるネットワーク スキャンを四半期ごとに1回行わなければならない場合もあります。レベル4加盟店は、AOCフォームに記入して提出する必要もあります。すべてのカード プロバイダがレベル4の指定を受けるわけではありません。
12のPCI DSS要件に従うことは、データ セキュリティを強化し、全体的なコンプライアンスに貢献するうえで非常に重要です。これらの要件が一体となって、カード所有者データを保護し、セキュリティ侵害を防ぐための包括的なフレームワークを作り上げます。
PCI DSSコンプライアンスは、カード所有者に関する機密データを保護する取り組みを実証するものであり、最高水準のセキュリティ対策が講じられた中で顧客のクレジット カードの詳細が取り扱われることを顧客に保証し、個人情報を保護する企業の能力への顧客の信頼を促進します。さらに、PCI DSSに準拠している企業は、不適切なデータ セキュリティに対する法的措置や規制上の罰則の対象となるのを防ぐうえで優位な立場にあります。
技術環境もセキュリティ環境も進化する中、PCI DSSコンプライアンスを維持することで他にも長期的なメリットがもたらされます。PCI DSSの要件に従うということは、組織がセキュリティ上の脅威に常に警戒し、先進的で高度な攻撃を防ぐ体制を整え、進化するサイバー脅威に迅速に適応できることを意味します。PCI DSSの遵守は、組織内にコンプライアンスの枠を超えたセキュリティ中心の文化を育て、データ セキュリティ対策の強化に向けた継続的な取り組みを促すことになります。
顧客の信頼を築く(取り戻す)うえでPCI DSSが役立つ例として、大手支払処理会社であるGlobal Paymentsが、2012年にデータ漏洩が発生し、機密性の高いペイメント カード情報への不正アクセスという結果を招いたときのことがあげられます。このデータ漏洩は約150万のクレジット カードとデビット カードに影響し、決済取引のセキュリティに関する懸念が高まる中、Global Paymentsは直ちに侵害を封じ込める措置を取るとともに、侵害の範囲を判断するための調査を開始しました。この調査には、米国シークレット サービスを含む法執行機関も関与しました。
侵害への対応として、Global Paymentsは自社のセキュリティ インフラストラクチャの強化と、同様のインシデントを今後防ぐための追加対策の導入に取り組みました。また、同社はPCI DSS要件へのコンプライアンスの達成と維持を優先することも確約しました。これらのことが、Global Paymentsが決済データをセキュリティで保護するための具体的な手順を取っていることを、顧客と関係者に確信させる結果につながりました。
セキュリティの脆弱性にプロアクティブに対処して、高度なセキュリティ対策に投資し、PCI DSSコンプライアンスを達成することで、Global Paymentsは信頼回復へのコミットメントを実証しました。同社の透明性、セキュリティへの投資、PCI DSSコンプライアンス達成に対する取り組みが、顧客の信頼と決済処理業界での評判を取り戻すうえで重要な役割を果たしたのです。
12のPCI DSS要件を達成するとなると、組織にさまざまな課題が突き付けられかねません。PCI DSSコンプライアンスを実装して維持するには、人員に関しても技術に関しても、十分なリソースが必要になるからです。実装範囲を正確に定義して制限することは、あらゆる規模の組織にとって難しい課題になる可能性がありますが、予算と専門知識が限られている小規模な企業や、現行のPCI DSS標準を満たすためにレガシー システムの更新が必要となる組織には、特に難題となります。企業がコンプライアンスの実装におけるさまざまな要素をサードパーティ ベンダーに依存することは珍しくありませんが、その場合、それらのベンダーがPCI DSS要件を満たしていることを確認して、サプライ チェーンをセキュリティで保護するという大きな責任も伴います。
PCI DSSコンプライアンスの維持は、継続的なプロセスであり、定期的なモニタリング、テスト、評価が必要になります。また、コンプライアンスを維持するには、組織が常に警戒し、定期的にセキュリティ対策を更新して、管理ポリシーにパッチを適用する必要もあります。さらに、セキュリティ システムおよびプロセスの定期的なテストにも継続的に取り組まなければなりません。この取り組みの一環として必要となる徹底的な侵入テストと脆弱性評価は、リソースを大量に消費する場合があり、実施するのが難しかったり、徐々にリソースを圧迫したりする可能性があります。
新しい高度な脅威が定期的に出現する中、サイバーセキュリティの状況は常に進化を続けています。企業がPCI DSSコンプライアンスを維持するには、継続的に脅威の状況をモニタリングして分析し、こうしたリスクを把握して常に一歩先を行かなければなりません。ゼロデイ脆弱性を特定し軽減することは、PCI DSSコンプライアンスを維持するうえでの大きな課題になっています。これらの脆弱性は、ベンダーがパッチをリリースする間もなく攻撃者が悪用する未知のセキュリティ欠陥であるためです。継続的に改善を重ね最新のセキュリティ トレンドに関する情報を常に入手するよう努めることが、新たな脅威の常に一歩先を行くという課題を克服しつつ、PCI DSSコンプライアンスをサイバー脅威の動的な性質に適応させる鍵となります。
新しい高度な脅威が定期的に出現する中、サイバーセキュリティの状況は常に進化を続けています。企業がPCI DSSコンプライアンスを維持するには、継続的に脅威の状況をモニタリングして分析し、こうしたリスクを把握して常に一歩先を行かなければなりません。ゼロデイ脆弱性を特定し軽減することは、PCI DSSコンプライアンスを維持するうえでの大きな課題になっています。これらの脆弱性は、ベンダーがパッチをリリースする間もなく攻撃者が悪用する未知のセキュリティ欠陥であるためです。継続的に改善を重ね最新のセキュリティ トレンドに関する情報を常に入手するよう努めることが、新たな脅威の常に一歩先を行くという課題を克服しつつ、PCI DSSコンプライアンスをサイバー脅威の動的な性質に適応させる鍵となります。
PCI Security Standard CouncilのWebサイトでは、PCI DSSコンプライアンスの要件、トレーニング、資格認定に関する最新情報を入手し、PCI公認プロフェッショナルにアクセスできます。このサイトには、FAQ、用語集、便利なPCI DSSクイック リファレンス ガイドを含む、幅広いリソース ライブラリも用意されています。
クレジット カード処理を扱う組織にとって、PCI DSSコンプライアンスを確保することは不可欠です。PCI DSSの要件は、カード所有者データのセキュリティ、取引ネットワークの保護、セキュリティ システムに必須のモニタリングとテストの実施を確実にするからです。F5では、組織がPCI DSSコンプライアンスを達成して維持できるよう、一連のアプリケーション セキュリティ製品、サービス、ソリューションを提供しています。さらに、レベル1のサービス プロバイダとして、F5 Distributed Cloud ServicesというPCI DSS準拠のサービスも提供しています。
また、F5はF5 Labsの調査、分析、ブログ、レポートを通じて、アプリケーションのセキュリティ戦略、保護戦略、インサイトに関する最新情報をお届けしています。