クレジットカード業界における,国際的なセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)が,注目されている。米国では,PCI DSSの認定を取得する企業が年々増加し続けており,最近では日本国内でも注目が高まっている。クレジットカード情報・取引情報を安全に守るための規定だが,セキュリティ・リスクのとらえ方と対策指針が明確であるため,一般企業のセキュリティ対策を向上させるのにも有効なものとなっている。では,そのPCI DSSとは具体的にどのようなものなのか。この特集では,PCI DSSの概要から具体的な要件,求められるIT対策,準拠に必要な製品・サービス,ソリューションの特長などをご紹介したい。
PCI DSS(Payment Card Industry Data Security Standard)は,2004年12月に策定された。本来は,クレジットカードの会員情報や取引情報を保護するために,関連する事業者に対して求める情報セキュリティの最低基準を示したものだ。当初は,国際的なクレジットカードであるVISAとMasterCardの2社が中心となって策定したが,2006年からJCB,American Express,Discoverが加わって5社で設立したPCI SSC(PCI Security Standards Council,PCIセキュリティ標準協議会)が運営している。
策定された背景には,続発するクレジットカード犯罪がある。会員情報が漏えいすれば,ブランドとしての信用低下はもちろん,カード再発行コストや損害賠償金などが増え続け,カード会社の経営に大きな影響を与えかねない。そこで国際的に有名なカード会社が集まって,クレジットカード会員情報を扱う企業にある一定以上のセキュリティ水準を求めた――それがPCI DSSである。
対象となるのは,カード会社や加盟店,決済代行事業者。PCI SSCが認定した認定セキュリティ審査機関(QSA:Qualified Security Assessor)と認定スキャニング・ベンダー(ASV:Approved Scanning Vendor)が,各社の状況を検証する。PCI DSSは法律ではないので,必ず守らなければいけないわけではない。しかし米国では,企業側にもPCI DSSに準拠するメリットが出てきている。例えばミネソタ州ではPCI DSS準拠が法律で義務付けられた。また,マサチューセッツ州などいくつかの州では,カード情報の漏えいが原因で損害が発生しても,PCI DSSに準拠していた場合,損害賠償請求の一部に対して免責措置が取られる制度があるという。
実はPCI DSSは,カード関連企業のみならず,一般企業に対するセキュリティ基準としても注目を集め始めている。技術的な要件が具体的に定められていることから,一般企業にとっても“わかりやすいセキュリティ対策のスタンダード”になり得るからだ。「カード会社と同じレベルのセキュリティ基準を満たしている」というアピールもできることから,米国ではPCI DSSに準拠する一般企業が登場しているという。
それでは,具体的に内容を見てみよう。PCI DSSは,6つの目的と12の要件から成り立っている。まず6つの目的とは,(1)安全なネットワークの構築と維持,(2)カード会員データの保護,(3)脆弱性管理プログラムの整備,(4)強固なアクセス制御手法の導入,(5)ネットワークの定期的な監視およびテスト,(6)情報セキュリティポリシーの整備,である。12の要件になるとさらに具体的になる。下記の図を参照して頂きたい。
続いて要件の細かい内容について,技術的な面から主なものを取り上げてみたい。たとえば,PCI DSSに準拠した企業は,悪意あるソフトウエアによる影響を受けるすべてのシステムにアンチウイルスソフトウエアを導入しなければならない。しかも危険度に応じてシステムやデータベースに優先順位を付けて,セキュリティパッチを優先順位が高いシステムとデバイスは1か月以内に,低いものは3か月以内にインストールしなければならないと定められている。
また,外部と内部の間にDMZ(DeMilitarized Zone,非武装地帯)を設けることに加えて,Webアプリケーション・ファイアウォール(WAF:Web Application Firewall)の導入も求められる。WAFは,要求をWebアプリケーションが受け取る前にチェックして,安全な要求だけを渡すことで,データベースから情報を盗み出す「SQLインジェクション」などを防ぐ機能を持つ。さらに,ネットワーク侵入検知システム(IDS)を使用してすべてのネットワーク・トラフィックを監視し,セキュリティ侵害の疑いがある場合は担当者に警告させなければならない。このほか,権限を持たない人にファイルの内容が修正された場合は警告を上げるなどして,ファイルの完全性を監視しなければならない,四半期に1回以上脆弱性スキャンをしなければならない,関連するログをすべて監視しなければならない(どんなログを監視すべきかについても細かく定めている),などのルールもある。
このほか技術面以外でも,情報セキュリティ・ポリシーの整備,リスク評価の実施,マシンルームへの入退室管理,保存すべきデータと保存すべきでないデータの峻別,すべての重要なシステムクロックと実際の時刻を同期させるなど,実に様々な項目が定められている。
ちなみに,ISMS(情報セキュリティマネジメントシステム)やプライバシーマークとPCI DSSはどう違うのだろうか。3つともセキュリティに関する指標だが,ISMSは情報セキュリティのマネジメント・レベル,プライバシーマークは情報資産を保護する法令の順守度合い,PCI DSSは主に技術面での達成目標を示している。つまり,この3つは互いに補完する関係にあると言える。
さて日本では,現在まだ米国ほど進んだ状況にはなっていない。しかし今後は,どんどん普及が進むと思われる。というのは,クレジットカード加盟店や事業者にPCI DSSを順守するように推奨する動きが活発化しているからだ。2008年11月には,PCI DSSに準拠するように,日本国内でも大手小売業者に対して呼びかけが行われた。ある専門家は「今後は,クレジットカード加盟店契約の際に重要視される事項になるのは確実で,将来は基準準拠が義務づけられることも予想される」と語る。
日本でも,PCI DSS準拠に必要な製品やサービス,ソリューションが続々登場している。導入コンサルティングから導入後の検証まで,トータルで提供するソリューションもあるようだ。クレジットカードを取り扱う事業者はもちろん,セキュリティ対策をどこまでやっていいのか分からないという一般企業にも,PCI DSSの導入は大きなメリットがあると言える。
