セキュリティの新基準でクレジットカードを不正アクセスから守る

　PCI Security Standards Council（PCI SSC）のトップであるジェネラル マネージャのボブ・ルッソ氏が初来日、インタビューに応じた。PCI SSCは、クレジットカードデータの取り扱いについてのセキュリティ基準を管理するグローバルな業界標準団体。5月12日に最新のセキュリティ基準をリリースした。PCI SSCの取り組みについて聞いた。

PCI SSC ジェネラル マネージャのボブ・ルッソ氏

来日の目的は。

　PCI SSCはクレジットカードのセキュリティ基準をグローバルに管理する組織だ。セキュリティ基準を管理して、クレジットカード・データを不正アクセスから守ることを目的とする。ビザやマスターカードなどクレジットカード関連企業5社が、2006年に設立した。現在はセキュリティ関連企業なども参加しており、メンバー企業は500社に達する。

　日本を訪問したのは、クレジットカードの利用率が高まっている重要な市場と認識しているからだ。我々のWebサイトにある資料も、日本語訳のものをそろえている。例えば「クイック・レファレンス・ガイド」という資料は、英語以外には日本語にしか翻訳されていない。我々が日本市場を重要視している表れだ。

　ただし、クレジットカードの利用率が高まる一方で、カード情報を不正に取得されるのではないかという、不正アクセスに対する不安も高まっている。この不正アクセスはグローバルな不安だ。

　来日中はクレジットカードにかかわる金融機関や官公庁、PCI SSCのメンバーである日本企業などと、こうした点について話し合った。日本のクレジットカード市場が抱えている問題点や、日本市場が進んでいる点などを学ぶことができた。

PCI SSCの日本支部はあるか。

　日本に支部は置いていない。PCI SSCのメンバーのうちアジアパシフィック地域には28社ある。日本企業はそのうち13社で、日本IBMやNTTデータ・セキュリティ、BSIグループジャパンなどだ。メンバー各社や、各社が組織化した日本カード情報セキュリティ協議会（JCDSC）と情報を共有している。

カードの読み取り機でIPを使うためのガイドラインを提示

5月12日に、クレジットカード読み取り用端末装置のセキュリティ要件である「PCI PTS（PINトランザクションセキュリティ）」の新バージョン3.0を公開した。

　PCI PTSはPCI SSCが設けているガイドラインだ。クレジットカードを読み取る小型の端末や、無人の券売機などを対象にセキュリティ要件を規定している。どのメーカーの機器がPCI PTSに準拠しているかは、PCI SSCのWebサイトにリスト化して公表しており、加盟店や金融機関は機器を検討する際に参照できる。

　新バージョンでは既存の要件を強化、再構成し、評価要件に関して三つの新規モジュールを追加した。まず「Open Protocol」（オープンプロトコル）。今までPCI PTSの要件では、IPやWi-Fi、RFIDなどオープンなプロトコルを利用するPIN認識装置に関するガイドラインを設けていなかった。新バージョンではこれらについてのガイダンスを設けた。IPとしてIPv4だけでなく、IPv6もカバーする。

　二つ目は「Secure Reading and Exchange of Data」（SRED）。クレジットカードをPIN認識装置に通してデータを読み取った瞬間に、そのデータを暗号化してセキュアに転送するなどといったセキュリティ要件のことだ。

　三つ目は「Integration」（統合）。PIN認識装置はスマートカードリーダー、PINパッド、全体を覆うボックス部分などで構成される。これらの構成要素を対象にしたガイドラインをいう。

　PCI PTS 3.0は即時発行し、旧バージョンの2.0は2011年5月12日で廃止する。

Open ProtocolのIPのガイドラインについてもう少し教えてほしい。

　IPは今や様々なネットワークのプロトコルとして使われている。IPそれ自体がセキュアかどうかという問題はあるにしても、これだけ普及している以上、クレジットカード情報を取り扱う際に安全な方法で利用できるようにすることが必要になる。

　PCI PTS 3.0のガイドラインに入れたのはそのためだ。PCI PTS 3.0に準拠している機器であれば、IPを利用しながらもセキュアであることが担保されるので、加盟店に購入してもらう機会を増やすことにつながる。

PCI DSSの新バージョンは10月

PCI SSCが管理している基準は、PCI PTSのほかに「PCI DSS（データセキュリティスタンダード）」と「PCI PA（ペイメントアプリケーション）-DSS」がある。

　PCI DSSは、カード読み取り機器やアプリを使ってクレジットカード加盟店などが実行する決済処理のセキュリティに関するガイドラインだ。機器やアプリの開発から運用までにかかわっている。PCI PA-DSSは、クレジットカード情報を扱うアプリケーションソフトウエアの開発者に提示するガイドラインだ。

両基準を今年後半にバージョンアップすると聞いているが。

　PCI DSS、PCI PA-DSSとも今年の10月に新バージョンにアップグレードする予定だ。バージョンナンバーは未定だが、1.3か2.0になる。三つの基準でバージョン番号を統一する話も出ているが、明確なことは決まっていない。

　半年をかけて、メンバー企業500社から現バージョンについてのフィードバックを受けている。それらをまとめたうえで、夏には新バージョンでアップグレードする個所のサマリーを発表する。それを受けて10月に正式発表するという流れだ。

新バージョンではどの部分が変わるのか。

　最終的な決定はまだだが、新技術に関する部分で変化があるだろう。内蔵しているチップ関連、トークン化、エンド・ツー・エンドの暗号化などの技術だ。Bluetoothなど無線通信技術の利用に関する部分も変わる見込みだ。

　旧バージョンに対して、最も手を入れているのは「要件の明瞭化」だ。例えば運用について「定期的にバックアップを取る」と記述しているが、「定期的」とはどのくらいの頻度なのがかが分かりにくかった。これを、「30日に1回」「120日に1回」などと明確にする作業を進めている。