PCI DSS(Payment Card Industry Data Security Standard)は,情報セキュリティの向上を目的としたクレジットカード産業の業界基準である。米国では,多くの企業がSOX法の対応に追われる中,特に小売業を中心にPCI DSSへの準拠が強く求められるようになったことから,非常に関心の高いコンプライアンス上の課題の一つとされている。

 PCI DSSには,SOX法のように絶対の順守を求めるだけの法的拘束力はない。だが,カード発行を行っている金融機関やそのカード決済を利用している加盟店,それらのコンピュータ処理を請け負うプロセサ(決済代行事業者)にとっては,カード会員情報の漏えい事件・事故が発生した際の数十億,数百億円の損害賠償責任がどこまで問われるかを決定する重要な基準である。

 米国のいくつかの州では,カード情報の漏えいにともなう損害が発生した場合,PCI DSSへの準拠が確認されれば金融機関からの損害賠償請求に対して免責されるとされている。企業のリスク管理としては,絶対順守すべき基準であることは疑う余地がない。

 一方,PCI DSSは,技術的なセキュリティ要件が具体的に決められている。準拠しようとすると運用している情報システムへの影響が大きく,米国では対応に苦慮した企業が多く出た。日本の状況を鑑みると,このPCI DSSの波を受ける直前の状況にあるように思われる。

 情報セキュリティ対策に対する説明責任を果たすため,ISMS(Information Security Management System)やプライバシーマークの認証取得に取り組んだ企業は多い。しかし,それらの認証制度は技術的なセキュリティ対策の達成水準を保証するものでない。それが認識されるにつれ,実装レベルのセキュリティ対策基準を求める声が大きくなっている。米国では,PCI DSSは,クレジットカード産業に限らず,客観的なセキュリティ対策の達成水準を保証する一つの手段としても注目されている。国内でもISMS認証の次の到達目標として「PCI DSSへの準拠」が新たな波となりつつある。今回は,PCI DSSの策定の経緯と,その内容について解説する。

VISAとMasterCardが作った

 PCI DSSとは,国際ペイメントカード・ブランドであるVISAとMasterCardの2社が中心となって2004年12月に策定した基準である。もともとはカードビジネス関連事業者向けに,機密として扱うべきカード会員情報や取引情報を保護するために,情報セキュリティの「最低基準」を確立したものだ。現在は,国際ペイメントカード・ブランド5社によって設立されたPCI SSC(PCI Security Standards Counsil)が,運営している(図1)。

図1●PCI DSSに関係する企業,組織
図1●PCI DSSに関係する企業,組織

 PCI DSSへの対応が求められる組織には,カード会社や加盟店,プロセサがすべて含まれる。PCI SSCが認定した認定セキュリティ審査機関(QSA)と,認定スキャニング・ベンダー(ASV)が順守状況を検証する。

実体は「6個の目的」と「12個の要件」

 2001年以降,米国のカード業界では,各カード・ブランドが個々にセキュリティ対策基準を策定し,適合性の検証(バリデーション)を行う流れとなっていた。しかし,対策を実施する側である加盟店,プロセサのほとんどがVISA,MasterCardの両ブランドを取り扱っていたため,それぞれのプログラムの対策基準の違いに対応するための対策の実施や運用の非効率性が問題となった。そのため,加盟店,プロセサ側からセキュリティ対策基準の統一を望む強い要求が出され,それを受けてVISAとMasterCardがPCI DSSという共通の基準を策定することになったのである。

 PCI DSSは,クレジットカードのカード情報および取引情報を保護するために,次に示す六つの目的と,それに関する12のデータ・セキュリティ要件を定めている。

■安全なネットワークの構築・維持(要件1,要件2)

要件1:カード会員データを保護するためにファイアウォールを導入し,最適な設定を維持すること

 ファイアウォール設定基準を確立し,この基準に基づいてファイアウォールを導入することが求められている。また,DMZ(非武装地帯)を導入し,インターネットを含む外部ネットワークと内部ネットワークとの接続を制限することが求められている。

要件2:システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと

 システムをネットワークに導入する前に,初期設定値を変更することが求められている。また,すべてのシステム・コンポーネントについて設定基準を作成し,この基準に基づいてシステムのセキュリティを強化することが求められている。

■カード会員データの保護(要件3,要件4)

要件3:保存されたカード会員データを安全に保護すること

 データの保管と廃棄に関するポリシーを作成することが求められている。また,保存されたカード会員データを安全に保護するために実施すべき要件が規定されている。特に暗号は重要な要素であるとし,カード会員データの暗号化に使用されている鍵管理について文書化することを求めている。

要件4:公衆ネットワーク上でカード会員データを送信する場合,暗号化すること

 公衆ネットワークを通じてカード会員データを伝送する場合に,暗号化することが求められている。特に無線ネットワークを用いる場合には,暗号化技術のみに頼ることなく,鍵の管理を強化する等の追加の管理策を実施することが求められている。

■脆弱性を管理するプログラムの整備(要件5,要件6)

要件5:アンチウイルス・ソフトウェアまたはプログラムを利用し,定期的に更新すること

 ウイルスの影響を受けやすいシステム(特にPCとサーバー)について,対策を実施することが求められている。さらに,ウイルス対策の実施において,監査ログを取得することが求められている。

要件6:安全性の高いシステムとアプリケーションを開発し,保守すること

 すべてのシステム・コンポーネントとソフトウエアに,最新のセキュリティ・パッチを適用することが求められている。また,新しい脆弱性の問題に対処するための基準を作成することが求められている。さらに,開発環境と本番環境を分離することなど,開発段階における脆弱性を回避する手段について規定するとともに,適切なコーディング・ガイドラインに基づいてソフトウエアやアプリケーションを開発することが求められている。

■強固なアクセス制御手法の導入(要件7,要件8,要件9)

要件7:カード会員データへのアクセスを業務上の必要範囲内に制限すること

 業務権限に基づいて,アクセス制御を実施することが求められている。システムへのアクセス権限は,これを必要とする者のみに付与することを原則とし,特別に許可しない限り「すべてを拒否」する設定とすることが求められている。

要件8:コンピュータにアクセスする利用者毎に個別のIDを割り当てること

 重要なデータアクセスは一意なユーザー名で識別され,さらにリモート・アクセスは二つの認証手段を組み合わせることが求められている。また,すべてのパスワード情報は暗号化されること,ユーザー認証とパスワード管理の徹底が求められている。

要件9:カード会員データへの物理的アクセスを制限すること

 カード会員データまたはそれを保管するシステムを保護するために,物理的なアクセス制限を実施することが求められている。また,カード会員データが記録された媒体は,保管,配送および廃棄等の全ライフサイクルにおいて厳格に管理することが求められている。

■定期的なネットワークの監視およびテスト(要件10,要件11)

要件10:ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し,監視すること

 システム・コンポーネントに対する全てのアクセスを,個々のユーザーと関連付けて追跡し,監視できることが求められている。さらに,この監査証跡が改変できないように保護することが求められている。

要件11:セキュリティ・システムおよび管理手順を定期的にテストすること

 不正アクセスへの対応が十分であることを確認するために,テストを実施することが求められている。特に四半期ごとの外部のネットワーク脆弱性スキャンテストについては,認定スキャニング・ベンダー(ASV)による実施が義務付けられている。

■情報セキュリティ・ポリシーの整備(要件12)

要件12:従業員と契約社員のための情報セキュリティに関するポリシーを整備すること

 情報セキュリティ・ポリシーを整備することが求められている。また,インシデント対応計画を作成し,システム侵害に対して即座に対応できるよう準備することが求められている。

罰金や損害賠償に発展する可能性も

 米国では,既に400社以上のサービス・プロバイダなどがPCI DSSの順守確認を受けている。国際ペイメントカード・ブランド各社は,インセンティブ,教育/啓蒙などの制度を通してPCI DSS のカード業界への浸透を図っている。今後,日本でもPCI DSSの普及が進むものと思われる。

 具体的な例としては,2006年にVISA USAが開始した「PCIコンプライアンス・アクセラレーション・プログラム(PCICAP)」が挙げられる。このプログラムは,加盟店をPCI DSSの順守に導くために,インセンティブと罰金を組み合わせた制度である。

 米国でのPCI DSSの普及は,SOX法への対応が一巡した2006年ころからである。大手小売企業の準拠が普及のきっかけになったと言われている。日本でも,いわゆる日本版SOX法対応への準備期間が終了しつつあり,また大手企業のPCI DSS準拠の報道発表が続いている。2006年当時の米国と似たような状況になりつつある。

 さらに,米国では2007年2月のマサチューセッツ州を皮切りに,複数の州でPCI DSSに関連した法案が提出されている。各法案に共通する特徴として,PCI DSSへの適合を条件に,カード情報漏えい事故発生時の損害賠償責任を免れることが挙げられる。日本でも,PCI DSSの内容に準じた安全管理基準が法律に裏付けられた形で設けられる可能性がある。

豊田 祥一
ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部 コンサルティング部 部長
2005年11月,ネットワンシステムズ株式会社入社。前職において,iDCにおけるECシステムの運用業務に携わる。主にPKIを導入したインターネット・サービスの運用業務設計を担当。現職においては,ネットワーク・ベンダーの視点に基づくコンサルティング・ビジネスを推進。2006年より,PCI DSSに関するセミナー講師を実施。前宮内庁CIO補佐官。