PCI DSSの特徴として「ネットワーク上のセキュリティを重要視していること」「セキュリティ強化の範囲をカード会員データ環境と定めていること」「それぞれの要件が具体的であること」が挙げられる。今回は,守るべきデータの直接的な保護を目的とした要件3と要件4について,構成,基本戦略,外部基準との関係について解説する。
PCI DSSの要件3「保存されたカード会員データを安全に保護すること」と要件4「公衆ネットワーク上でカード会員データを送信する場合,暗号化すること」は,カード会員データ環境の中核である守るべきデータ(カード会員データ,センシティブ認証データ)に直接関わる要件である。そのためPCI DSSのほかの要件と関係する部分も多い。ここでは他の要件との関係を説明する。
PCI DSSは「序文」「本文」「付録」「用語解説(Glossary)」で構成される。「序文」では守るべきデータの概要を示している。また,カード会員データの暗号化要件(要件3.4,後述)を適用する必要があるかどうかの判断基準も示している。この判断基準はデータの取り扱いを基にしているのが特徴である。以下に守るべきデータの判断基準を表に示す(表1)。
| データ要素 | 保管可能 | 保護必須 | PCI DSS要件3.4 | |
|---|---|---|---|---|
| カード会員データ | カード番号(PAN) | YES | YES | YES |
| カード会員名* | YES | YES | NO | |
| サービスコード* | YES | YES | NO | |
| 有効期限* | YES | YES | NO | |
| センシティブ認証 データ** |
全磁気ストライプ情報 | NO | N/A | N/A |
| CVC2/CVV2/CID | NO | N/A | N/A | |
| 暗証番号(PIN)/PINブロック | NO | N/A | N/A |
** センシティブ認証データはオーソリ(承認)処理の後,(たとえ暗号化していても)保管してはいけません。
データを保護する方法はいろいろある。要件3.4では,カード会員データの暗号化を指示している。
| 3.4 少なくともカード番号は判読不可能な状態にしなければならない。理由があってカード会員データを暗号化できない企業は,付録B「保存データ暗号化の代替コントロール」を参照。 |
カード会員データを暗号化できない場合の代替策
理由があってカード会員データを暗号化できない企業向けに,付録B「保存データ暗号化の代替コントロール」を代替策として提示している。「附録B 代替コントロール-3.4」に,次のように記載されている(表2)。
|
代替コントロール - 要件3.4 企業が技術的な制約で,もしくは業務上の制限で(例えば暗号化などによって)カード会員データを判読不能な状態にしておくことができない場合,代替コントロールが考えられうる。 (中略) 代替コントロールは,以下の条件をすべて満たす装置,もしくは装置,アプリケーション,ならびにコントロールの組合せから成る場合がある。 1. 追加的なセグメンテーション/アブストラクション(例:ネットワーク・レイヤーにおける)を提供。 2. 以下の基準に基づいて,カード会員データやデータベースへのアクセスを制限する機能を提供。 ・IPアドレス/Macアドレス ・アプリケーション/サービス ・ユーザー・アカウント/グループ ・データのタイプ(パケット・フィルタリング) 3.データベースへの論理的アクセスを制限。 ・Active Directory もしくはLightweight Directory Access Protocol(LDAP)から独立したデータベースへの論理的アクセスを制御 4. 代表的なアプリケーションやデータベースへの攻撃(例:SQL インジェクション)を防止/検知。 |
このように書かれてはいるが,この代替策にはできるだけ頼らないことが望ましい。この代替コントロールは標準の要件から外れるため,新たなリスク分析が必要であり,将来的に調整を行わなければならない可能性があるからである。
「序文」「本文」「付録」に記載のある用語は「用語解説(Glossary)」を参照し意味と推奨値を明確にすることができる。カード会員データ保護要件における,PCI DSS関連個所の相関は図1の通りである。
 |
| 図1●カード会員データ保護に関する記述の相関図 |
