写真●ミッキーマウス姿で登場したPCI SSCのゼネラルマネジャー ボブ・ロッソ氏
写真●ミッキーマウス姿で登場したPCI SSCのゼネラルマネジャー ボブ・ロッソ氏
[画像のクリックで拡大表示]

 PCI DSS(PCIデータセキュリティ基準)の策定と普及を担っているPCI SSC(PCI Security Council)の年次総会(Community Meeting)が,2008年9月23日から25日にかけて米フロリダ州オーランドで開催された。今回の年次総会の主な目的は,PCI DSSのバージョン改定に関する説明とその承認にある。

 この年次総会の様子についてお伝えする。セキュリティ基準に対する国際的な関心の高さと,現場の声を通じた情報セキュリティの動向を感じてもらえるだろう。

 23日の夕刻に開催されたレセプション・パーティは,私の想像をはるかに超える参加者でにぎわっていた。パーティのホスト役は,PCI SSCのゼネラルマネジャー ボブ・ロッソ氏。「600名を越える参加者だ」と告げるボブは,終始上機嫌だった。ボブはPCI SSCの実質的な総責任者であり,PCI SSCが短期間で世界的な規模の団体に成長した背景には彼の活躍がある。

 翌朝,ボブのWelcome RemarksとPCI SSCの現状説明からミーティングが始まった。写真は,ディズニーランドの地,オーランドにちなんでミッキーマウス姿で登場したボブの勇姿である。

 ボブのスピーチで,PCI SSCの全体像がはっきりした。

 PCI SSCに加盟している企業は,500社を超えており,さらに増加している。PCI DSSへの準拠を監査する監査会社QSA(Qualified Security Assessor)は164社に上り,監査有資格者は既に1000人を超えた。そのうちペイメント・アプリケーションの審査が行えるPA-QSAの有資格者が100人以上いる。PCI DSSの要求に従って脆弱性検査を行う検査会社ASV(Approved Scanning Vender)は147社ある。クレジットカードのオーソリ端末を認証審査するPED Lab(Pin Entry Device Lab)が8社あり,93メーカーの249製品が認証された――。

 このようなことが報告された。2006年9月のPCI SSC設立からわずか2年でこれだけの規模に拡大したことは,PCI DSSが非常な勢いで世界的に普及していることの証だろう。

 セキュリティ基準「PCI DSS」で7回にわたって解説をしてきたPCI DSSは,バージョン1.1だ。今回公表されたバージョンは,1.2で,この10月1日から適用が開始されている。バージョン1.1が公表されて以来,1.1に対して2000件以上の意見が寄せられた。それらの意見を踏まえての改定である。さらに,今後は2年ごとの改定をポリシーとすることが確認された。

 現行バージョンの1.1は,2008年12月末をもって無効となる。従って,10月1日から12月31日までに実施されるQSA監査は,いずれのバージョンでも可能だが,2009年1月以降にQSA監査を受ける企業は,新バージョンへの対応が求められている。

 改訂の目的は,以下の通りである。

・要求事項の明確化
・より柔軟な対応方法の提供
・進化する脅威とリスクへの対応
・ベストプラクティスの取り込み
・適用範囲と報告の明確化
・冗長なサブの要求事項の排除
・文書類の整理統合

 改定の目的からも明らかなように,バージョン1.2はリビジョンアップ版で,文言の修正レベルのものが大半である。新しい大項目レベルの要件の追加はない。筆者の目から見て影響がありそうな改定項目は,次の五つの項目である。

■ファイアウォールの設定レビュー周期が四半期ごとから6カ月ごとに
■IEEE802.11iの実装要求
■WEPの使用が,2009年3月31日以降の新規導入禁止とされ,2010年6月30日以降は全面的に使用禁止
■外部との接点を持つ装置が生成するログの内部サーバーへの複製
■無線アナライザもしくは無線IDS/IPSの導入

 このほか,年次総会ではQSA監査の品質向上に向けての施策が公表された。QSAの監査人ごとに判断がぶれる問題に対する対策である。監査人の意見にばらつきがある現状は,PCI DSSの普及を妨げる深刻な問題だとPCI SSCも受け止めている。新たな制度が必要と判断しているのだ。

 今回,公表されたプログラムは,QSA監査を受けた被監査会社からQSA監査に関する評価報告書をQSA監査終了ごとにPCI SSCに提出することと,PCI SSCからQSA監査会社に対して監査を実施することである。被監査会社からの評価とPCI SSCによる監査結果をスコアリングして,不適切な監査を行ったQSAを排除すること,さらに,いい加減な監査を行った場合は,制裁金が課せられることが発表された。今後,QSAの選別を厳しく行っていくとのPCI SSCの姿勢を強く感じた。

PCI DSS ver1.2の日本語訳はこちら

山崎 文明(やまさき ふみあき)
ネットワンシステムズ株式会社 セキュリティ事業推進本部本部長
 大手外資系会計監査法人でシステム監査に永年従事。システム監査,情報セキュリティ,個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社監修)「すべてわかる個人情報保護」(日経BP社),「情報セキュリティと個人情報保護 完全対策」(日経BP社),「情報セキュリティハンドブック」(オーム社 共著),「システム監査の方法」(中央経済社 共著),「コンティンジェンシー・プランニング」(日経BP社 共著),セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。
[委員等就任実績]
内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員,警察大学校不正アクセス犯罪等対策専科講師,学校セキュリティ検討委員会委員(経済産業省),サイバーテロ演習評価委員会委員(経済産業省),不正プログラム調査研究委員会委員(警察庁),サイバーセキュリティ調査研究委員会委員(警察庁)