小売業者と決済処理業者のコンプライアンスを簡素化するために共同で開発された、PCI DSS (Payment Card Industry Data Security Standard) について学習します。
2004 年に初めて発行された PCI DSS は、支払いデータを盗難や悪用から保護するために 5 つの主要な支払いカード ブランドによって開発された一連のセキュリティ標準です。 支払いカード データを扱う企業や組織は、データの処理、送信、保存のいずれの場合でも、PCI DSS 標準に準拠する必要があります。準拠しない場合、金銭的罰則、法的措置、または加盟店アカウントの解約などの重大な結果を招くリスクがあります。
PCI DSS は、支払いアカウント データのセキュリティを促進および強化し、世界規模で一貫したデータ セキュリティ対策を幅広く導入できるようにするために開発されました。 PCI DSS は、支払いアカウント データを保護し、消費者と企業の両方を金融詐欺や評判の失墜から守るために設計された技術要件と運用要件のベースラインを提供します。
PCI DSS の主な目的の 1 つは、カード所有者のデータを不正アクセスや潜在的な悪用から保護することです。 これには、主要なアカウント番号、カード所有者名、有効期限、その他の機密情報が含まれます。 この規格は、不正アクセスや決済カード情報の盗難につながる可能性のあるデータ侵害のリスクを最小限に抑えるように設計されています。 PCI DSS コントロールを実装することで、組織は支払いカード取引に関連する不正行為を防止および検出することにも役立ちます。
PCI DSS 要件は、新たなセキュリティの脅威、技術の進歩、規制環境の変化に対応するために、時間の経過とともに進化することに注意することが重要です。 最新の要件については、 PCI Security Standard Council のWeb サイトをご覧ください。
PCI DSS 準拠には、カード所有者データのセキュリティを確保するために、組織がさまざまな潜在的な脆弱性に対処することが求められます。 以下は、PCI DSS コンプライアンスを維持するために組織が対処しなければならない 4 つの一般的な脆弱性領域です。
PCI DSS は、支払いアカウント データを保護するために設計された技術要件と運用要件のベースラインを規定します。 これらの要件は、次の 6 つの PCI DSS 原則に詳しく記載されています。
カード所有者データの保護は、安全なネットワーク インフラストラクチャを確立することから始まります。 これには、ファイアウォールを使用してネットワーク間のトラフィックを制御および監視し、不正アクセスを制限することが含まれます。 マイクロセグメンテーションは、ネットワークを小さな個別のセグメントに分割し、ネットワーク内およびアプリケーションまたはワークロード レベルで「東西」の横方向トラフィックを制御して潜在的な攻撃対象領域を減らすことでセキュリティを強化する、もう 1 つの推奨セキュリティ戦略です。 脆弱性管理のベスト プラクティスを確立することは、システムがパッチを適用され、最新の状態であることを保証するためにも重要です。
この原則は、機密情報への不正アクセスを防ぐために、送信中および保管中のカード所有者データの暗号化と保護に重点を置いています。 この要件では、公共ネットワーク経由での送信中にカード所有者データを保護するために強力な暗号化を使用し、承認後に機密認証データを保存しないようにするデータ保持ポリシーを策定することが規定されています。 データ保護ポリシーでは、不正アクセスや機密性の高いカード所有者情報の漏洩のリスクを最小限に抑えるために、主要アカウント番号 (PAN) のマスキングまたは切り捨ても義務付けられています。 PCI DSS 要件によれば、PAN が表示されるときに表示される桁の最大数は、PAN の最初の 6 桁と最後の 4 桁です。
安全な環境を維持するには、定期的に脆弱性を特定して対処する必要があります。 これには、コードに存在する欠陥を企業に警告する定期的な脆弱性スキャンと、不正アクセスやその他の悪意のある活動が可能かどうかを判断する侵入テストの実施が含まれます。 現実世界の攻撃をシミュレートして、既存のセキュリティ対策の有効性をテストします。 スキャンやテストを通じて発見された弱点に速やかに対処することは、システムやそこに保存されているカード所有者のデータが侵害される可能性を防ぐために重要です。 さらに、組織は、ソフトウェア開発ライフサイクル中に脆弱性が導入されるのを防ぐために、 OWASPなどの組織によって概説されているような安全なコーディングガイドラインを策定し、実施する必要があります。
システム コンポーネントとカード所有者データへのアクセスを制限すると、権限のない個人やシステムによる侵入を防ぐことができます。 PCI DSS では、ビジネス上の必要性に応じてアクセスを制限することが規定されており、これは最小権限の原則とも呼ばれ、ユーザーまたはシステムは、必要なタスクを完了するために必要な特定のデータ、リソース、およびアプリケーションにのみアクセスできる必要があると規定されています。 同様に、ロールベースのアクセス制御 (RBAC) は、組織内での役割に基づいて、承認されたユーザーへのシステム アクセスを制限します。 これらのポリシーでは、人員や役割の変更を反映するために、アクセス制御を頻繁に確認して更新する必要があります。 また、システムやカード所有者データへのアクセスに MFA を実装し、パスワード ポリシーとベスト プラクティスを改善することも求めています。
セキュリティ インシデントを迅速に検出して対応するには、継続的な監視とテストが不可欠です。 これには、ログ記録メカニズムの実装、定期的なセキュリティ テストの実施、ネットワーク アクティビティの継続的なレビューが含まれます。 ネットワーク監視ツールには、ネットワーク トラフィックの整合性を分析および評価して、攻撃パターン、異常なアクティビティ、不正使用を識別する侵入検知システム (IDS) と侵入防止システム (IPS) も含まれます。 組織は、インシデント対応計画と緊急手順を確立し、これらのプロセスが定期的にテストされるようにする必要もあります。
PCI DSS では、組織がカード所有者データを保護し、組織内のセキュリティ慣行をガイドするためのフレームワークを設定する包括的なセキュリティ ポリシーを確立して維持することも要求しています。 ポリシーは文書化され、定期的にレビューされ、テクノロジーとビジネス プロセスの変更を反映するように更新される必要があります。 組織は、従業員がセキュリティ ポリシーと手順を認識し、トレーニングを受けていることも確認する必要があります。
組織が堅牢なセキュリティ体制を構築し、カード所有者データを保護し、データ侵害のリスクを最小限に抑えるには、次の 12 の PCI DSS 要件に準拠することが不可欠です。
PCI コンプライアンス レベルは、12 か月間のクレジットカード、デビット カード、プリペイド カードの取引の合計量に基づいて 4 つのレベルに分けられます。 組織は、PCI DSS コンプライアンスを確保し維持するために、トランザクション量を正確に判断し、対応するレベルの要件に準拠する必要があります。 適切なレベルのコンプライアンスを維持することは、電子商取引の取引を保護し、カード所有者データの安全な環境を維持し、潜在的な違反を防ぐために重要です。
PCI コンプライアンス レベル 1 は、最高かつ最も厳格な PCI DSS レベルであり、クレジットカード データを保存、送信、または処理する企業に最高レベルのセキュリティを保証するように設計されています。 さらに、クレジットカードやカード所有者のデータが漏洩する結果となる侵害やサイバー攻撃にさらされたあらゆる規模の販売業者やサービス プロバイダーは、PCI レベル 1 の要件を満たす必要があります。 PCI レベル 1 の検証では、認定セキュリティ評価機関 (QSA) または社内セキュリティ評価機関によるコンプライアンスに関する年次レポート (ROC) が必須であり、通常は侵入テストも義務付けられています。侵入テストでは、コンピュータ システムやアプリケーションに対する実際のサイバー攻撃をシミュレートして脆弱性を特定します。 PCI レベル 1 の検証では、認定スキャン ベンダー (ASV) による四半期ごとのネットワーク スキャンも必要です。
PCI DSS レベル 2 加盟店は、自己評価質問票 (SAQ) を使用して年に 1 回コンプライアンス評価を実施し、ASV による四半期ごとのネットワーク スキャンを実行する必要があります。また、コンプライアンス証明書 (AOC) フォームも記入する必要があります。 レベル 1 と同様に、レベル 2 の一部の販売業者は侵入テストの実施を要求される場合があります。 レベル 2 の加盟店は、クレジットカードまたはカード所有者のデータが侵害されるデータ侵害またはサイバー攻撃を経験していない限り、オンサイト PCI DSS 監査は必要ありません。
PCI DSS レベル 3 加盟店は、適切な年次 SAQ を完了し、ASV による四半期ごとのネットワーク スキャンを実行する必要があります。また、加盟店は AOC フォームを記入して提出する必要があります。
PCI レベル 4 加盟店は、適切な年次 SAQ を完了する必要があり、四半期ごとの ASV 外部ネットワーク セキュリティ スキャンが必要になる場合があります。 販売者は AOC フォームも記入して提出する必要があります。 すべてのカードプロバイダーがレベル 4 の指定を受けているわけではありません。
12 の PCI DSS 要件を遵守することは、データ セキュリティを強化し、全体的なコンプライアンスに貢献するために不可欠です。 これらの要件は連携して、カード所有者のデータを保護し、セキュリティ侵害を防止するための包括的なフレームワークを作成します。
PCI DSS 準拠は、機密性の高いカード所有者データを保護し、顧客のクレジットカード情報が最高水準のセキュリティで取り扱われることを保証し、企業が顧客の個人情報を保護する能力に対する信頼を育むという取り組みを示すものです。 さらに、PCI DSS に準拠する企業は、不十分なデータ セキュリティに関連する法的措置や規制上の罰則に対してより有利な立場に立つことができます。
PCI DSS コンプライアンスを維持することで、テクノロジーとセキュリティ環境が進化するにつれて、他の長期的な利点も得られます。 PCI DSS 要件を遵守することは、組織が警戒を怠らず、高度で巧妙な攻撃を防ぐための備えを強化し、進化するサイバー脅威に迅速に対応できることを意味します。 PCI DSS の遵守は、コンプライアンスを超えて組織内にセキュリティ中心の文化を育み、データ セキュリティ慣行を強化するための継続的な取り組みを促進します。
PCI DSS が顧客の信頼の構築 (および再構築) にどのように役立つかを示す例として、2012 年に大手決済処理会社Global Payments がデータ侵害を経験し、機密性の高い決済カード情報への不正アクセスが発生しました。 この侵害は約150万枚のクレジットカードとデビットカードに影響を及ぼし、決済取引の安全性に対する懸念が高まった。 Global Payments は、侵害を封じ込めるために直ちに行動を起こし、侵害の範囲を判断するための調査を開始しました。 米国を含む法執行機関 シークレットサービスも捜査に関わった。
Global Payments は、この侵害を受けて、セキュリティ インフラストラクチャを強化し、将来同様の事件を防ぐための追加対策を実施することを約束しました。 同社はまた、PCI DSS 要件への準拠を達成し維持することを優先することを約束し、これにより、Global Payments が支払いデータを保護するために具体的な措置を講じていることを顧客と関係者に保証することができました。
Global Payments は、セキュリティの脆弱性に積極的に対処し、強化されたセキュリティ対策に投資し、PCI DSS 準拠を達成することで、信頼を再構築するという取り組みを示しました。 同社の透明性、セキュリティへの投資、PCI DSS 準拠の達成への取り組みは、顧客の信頼を取り戻し、決済処理業界における評判を再構築する上で極めて重要な役割を果たしました。
PCI DSS の 12 の要件を実行するには、PCI DSS コンプライアンスの実装と維持に人材とテクノロジーの両方の面で十分なリソースが必要であるため、組織にとってさまざまな課題が生じる可能性があります。 あらゆる規模の組織は、実装の範囲を正確に定義して制限することに苦労する可能性がありますが、予算と専門知識が限られている中小企業や、現在の PCI DSS 標準を満たすために更新する必要があるレガシー システムを持つ企業にとっては特に困難です。 企業は実装のさまざまな要素についてサードパーティベンダーに依存することがよくありますが、これらのベンダーが PCI DSS 要件に準拠していること、およびサプライチェーンのセキュリティを確保していることを保証することも大きな責任です。
PCI DSS への準拠を維持することは継続的なプロセスであり、定期的な監視、テスト、評価が必要です。 そのため、組織は警戒を怠らず、セキュリティ対策とパッチ管理ポリシーを定期的に更新する必要があります。 コンプライアンスを維持するには、徹底的な侵入テストや脆弱性評価の実施など、セキュリティ システムとプロセスの定期的なテストを継続的に実施する必要があります。これらのテストには多くのリソースが必要となり、ロジスティックスの課題が生じ、時間の経過とともにリソースに負担がかかる可能性があります。
サイバーセキュリティの状況は常に進化しており、新しい高度な脅威が定期的に出現しています。 PCI DSS コンプライアンスでは、企業は脅威の状況を継続的に監視および分析し、これらのリスクを理解して先手を打つ必要があります。 ゼロデイ脆弱性を特定して軽減することは、PCI DSS コンプライアンスを維持する上でも大きな課題となります。これらの脆弱性は、ベンダーがパッチをリリースする前に脅威の攻撃者が悪用する未知のセキュリティ上の欠陥だからです。 継続的な改善と、最新のセキュリティ トレンドに関する情報を常に把握するという取り組みは、PCI DSS コンプライアンスがサイバー脅威の動的な性質に適応できるようにしながら、新たな脅威に先手を打つという課題をうまく乗り切るための鍵となります。
サイバーセキュリティの状況は常に進化しており、新しい高度な脅威が定期的に出現しています。 PCI DSS コンプライアンスでは、企業は脅威の状況を継続的に監視および分析し、これらのリスクを理解して先手を打つ必要があります。 ゼロデイ脆弱性を特定して軽減することは、PCI DSS コンプライアンスを維持する上でも大きな課題となります。これらの脆弱性は、ベンダーがパッチをリリースする前に脅威の攻撃者が悪用する未知のセキュリティ上の欠陥だからです。 継続的な改善と、最新のセキュリティ トレンドに関する情報を常に把握するという取り組みは、PCI DSS コンプライアンスがサイバー脅威の動的な性質に適応できるようにしながら、新たな脅威に先手を打つという課題をうまく乗り切るための鍵となります。
PCI DSS コンプライアンス要件、トレーニングおよび資格情報、PCI 認定プロフェッショナルへのアクセスに関する最新情報については、PCI Security Standard Council のWeb サイトをご覧ください。 このサイトでは、FAQ、用語集、便利なPCI DSS クイック リファレンス ガイドを含む広範なリソース ライブラリも提供しています。
PCI DSS コンプライアンスは、クレジットカード取引を扱う組織にとって不可欠です。その要件は、カード所有者データのセキュリティ、取引ネットワークの保護、セキュリティ システムの必須の監視とテストの確保に役立ちます。 F5 は、組織が PCI DSS コンプライアンスを達成し維持できるよう支援するアプリケーション セキュリティ製品、サービス、ソリューションのスイートを提供します。 さらに、 F5 Distributed Cloud Services はレベル 1 サービス プロバイダーとしてPCI DSS に準拠しています。
F5 は、F5 Labs の調査、分析、ブログ、レポートを通じて、アプリケーションのセキュリティと保護の戦略と洞察に関する思想的リーダーシップも提供しています。