PCI SSC年次総会で配布された資料に興味深いものがあった。PCI DSSに関する誤解を解くために作成された「PCI DSSに関する10の神話(Ten Common Myths of PCI DSS)」と題する冊子だ。
「とりわけセキュリティ対策が行われていない,あるいは『何が必要で,何が必要でないか』を指導してくれるITの専門家がいない小規模な加盟店にとっては,PCI DSSの要求は包括的で,敷居が高いように見えるかもしれません」との書き出しで始まる「10の神話」は,PCI DSSをより正確に理解することに役立つので,紹介する。
神話1:単一ベンダー・単一製品で準拠を実現できる
Myth 1 -- One vendor and product will make us compliant
多くのベンダーがPCI準拠のための多くのソフトウエアやサービスを提供しているが,1社あるいは1製品だけで完全に PCI DSSの12の要件すべてに対応できるものは存在しない。時にベンダーの広告宣伝は,PCIDSS準拠を満たす“特効薬”のように感じられることがあるかもしれないが,実際には一部の要件を満たすのみである。
神話2:カード決済をアウトソースすれば準拠できる
Myth 2 - Outsourcing card processing makes us compliant
アウトソーシングはカード支払い処理を簡素化することには役立つが,PCI DSSへの準拠が自動的に実現するわけではない。カード会員データの受け取りや伝送されるカード会員データを保護する必要がある。さらにプロバイダのアプリケーションとカード支払い端末が,それぞれPCI DSSに従って重要なカード会員データを保存していないことを確認しなければならないし,PCI DSSへの適合証明を,毎年プロバイダーに要求する必要があり,決してアウトソーシングしたからといって,PCI DSSを無視してよいということにはならない。
神話3:PCI準拠はITプロジェクトである
Myth 3 - PCI compliance is an IT project
PCI DSSへの準拠は,終わりのない継続的なプロセスであり,一過性のプロジェクトではないことを知っておく必要がある。さらにPCI DSSへの準拠は,複数の組織で取り組まなければならないビジネス上の課題だ。PCI DSSはIT部門だけの問題ではなく全社的な問題であり,全社でのカード支払い承認と処理のワークフローに対するポリシーと手順として取り組む必要がある。
神話その4:PCIがあればセキュリティは万全である
Myth 4 - PCI will make us secure
システムの脆弱性スキャンやQSA審査を無事に終えることは,一時的なものであり,無事に終えたからといってセキュリティが保証されるものではない。セキュリティの脅威は日々変化していることを認識することが重用だ。そのためには,カード会員データを保護するための継続的評価と改善を行う必要がある。
神話5:PCIは実情に合わない~要求があまりに多すぎる
Myth 5 - PCI is unreasonable; it requires too much
PCI DSSそのものは,セキュリティ対策に関する一般的なベストプラクティスである。PCI DSSには,要求事項を満たすために,オプションとして代替コントロールが用意されており,柔軟な対応が可能だ。PCI DSSは,セキュリティ対策に関する重要で有益な事項を提供している。PCI DSSはセキュリティ・モデルとしてどこまでセキュリティ対策を行えばよいかという疑問に応えることができる。従ってすべての重要情報を守る上での効果的な基準として,いずれ見なされるはずだ。
神話6:PCIはQSA(Qualified Security Assessor)を雇うことが必要である
Myth 6 - PCI requires us to hire a Qualified Security Assessor
PCI DSSは,アクワイアラ(加盟店獲得代理店)とイシュアー(カード発行会社)の双方もしくはどちらかが同意すれば,内部審査でもよいという選択枝があり,必ずしもQSAによる指導や外部監査を必須とするものではない。中堅規模や小規模の加盟店は,自分たちで審査するためにPCI DSSのWebサイトにある自己問診を利用することも可能である。
