【今さら聞けない】誰でもわかる PCI DSSの要件と対応方法

PCI DSS策定の背景

PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準です。2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されました。現在はその5社が共同設立した組織であるPCI SSC（PCI Security Standards Council）によって運営／管理されています。

PCI DSSが策定されるまでは、カードブランドなどが独自にセキュリティ基準を定めていたため、明確な統一ルールが存在せず、クレジットカード会員データの流出・悪用される事故が多発していました。またインターネットの普及によりECサイトなど新たな決裁手段が登場した一方で、サイバー攻撃は巧妙化かつ多様化し、その結果、カード会員データの流出事故は大規模になってきました。

このような状況を鑑みカードブランド5社は共同で、セキュリティリスクの効果的な低減とセキュリティ管理の効率的な運用を目的として、クレジットカード情報保護のための統一的なセキュリティ基準を策定しました。それがPCI DSSです。

2004年の策定当初はなかなか必要性が認知されませんでしたが、2012年に日本クレジット協会が準拠の実行計画（ナショナルプラン）を公表し、PCI DSS準拠を意識した行動計画の作成が始まりました。また実行計画には「準拠の期限」が設定されており、この期限が近づくに従い、これまで様子見していたクレジットカード会社でも準拠対応の機運が高まりつつあります。更に先行して対応しているクレジットカード会社では、取り組み範囲を拡張しようとする動きがあります。

そして2014年に経済産業省が発表した「クレジットカード決済の健全な発展に向けた研究会」の中間報告書で「2020年の東京オリンピックに向けて『世界で最もクレジットカード利用が安心・安全な国　日本』というキーワードのもと、PCI DSSへの準拠は効果的な取り組みである」と報告され、さらに経産省および日本クレジット協会はクレジットカード会社に対して2018年3月までに準拠するように働きかけを行っています。これにより各社のPCI DSS準拠対応がさらに本格化しています。

PCI DSS認証取得の方法

PCI DSSは次のような方法で認証を得ることができます。

• 訪問審査
  PCI SSCによって認定された審査機関（QSA=Qualified Security Assessor）による訪問審査です。カード発行会社や多量の情報を取り扱っている事業者などに求められる認証方法です。年1回の定期審査が必要です。

• ネットワークスキャン（外部ネットワークシステムの脆弱性スキャン）
  外部に接しているサーバ機器やネットワーク機器、アプリケーションに対して、PCI SSC認定のスキャニングベンダー（ASV=Approved Scanning Vendor）が、PCI DSSで要求されているセキュリティ要件を満たしているかをチェックします。年4回のチェックが必要で、中規模事業者やインターネットを利用している事業者にとって必要な審査です。

PCI DSS準拠が必要な事業者

カード会社はもちろん、カード情報を「保存、処理、伝送」する事業者であるカード加盟店や銀行、決済代行サービス企業などが、年間のカード取引量に応じたレベルに従ってPCI DSSに準拠する必要があります。

具体的には百貨店やスーパー、量販店、ECサイトなどの流通業や保険会社などの金融業、また携帯電話会社や通信会社なども準拠の対象になります。

具体的にどのような基準が定められているのか概要を見てみましょう。PCI DSSでは6つの目標とそれに対応する12の要件が定められています。ただ、最も重要なのは「準拠する範囲を定める」事です。

なぜ「準拠する範囲を定めること」が重要なのか？
それは、セグメンテーションを行わなければネットワーク全体がPCI DSSの評価対象になり、PCI DSSに準拠する為のコスト（人件費・システム投資）が莫大になってしまうためです。セグメンテーションを行うことで、カード会員データを扱う範囲が特定され、かつ保護が必要な箇所が特定されることにより、効率的かつ現実的な準拠対応が可能になります。

PCI DSSで定められている6つの目標とそれに対応する12の要件は以下となります。

安全なネットワークとシステムの構築と維持

1.カード会員データを保護するために、ファイアウォールをインストールして維持する
2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護

3.保存されるカード会員データを保護する
4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの整備

5.マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6.安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入

7.カード会員データへのアクセスを、業務上必要な範囲内に制限する
8.システムコンポーネントへのアクセスを識別・認証する
9.カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト

10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの整備

12.すべての担当者の情報セキュリティに対応するポリシーを整備する

続いては、どのような手順で準拠対応を進めていけば良いのか、そのプロセスを簡単に見てみましょう。要件の項目だけ見ると意外と簡単そうにも思えるPCI DSS対応ですが、実際には想像以上の工数が掛かります。

PCI DSS対応のプロセス

続いては、どのような手順で準拠対応を進めていけば良いのか、そのプロセスを簡単に見てみましょう。要件の項目だけ見ると意外と簡単そうにも思えるPCI DSS対応ですが、実際には想像以上の工数が掛かります。

1. PCI DSS準拠対象範囲の確定
   まずはカード会員情報の取り扱い範囲特定し、それを元にPCI DSS準拠対応が必要な範囲を確定します。PCI DSS準拠対応においては、この最初の対象範囲（＝スコープ）を見極めて確定する作業が非常に重要な作業となります。
   
   
2. 改善計画の立案
   現在のシステムのセキュリティ対策状況を確認し、PCI DSSの要求事項とのギャップを分析します。分析結果に元に改善計画書を策定します。
   
   
3. 実装と確認
   改善計画に基づいて、設計書などの変更、システムへの実装および運用手順書などの作成／変更を行います。またそれぞれの確認作業も確実に実施します。
   
   
4. テスト実施と本審査
   内部スキャンや外部スキャン、ペネトレーションテストの実施や結果の確認／対応を行います。またASVが行うスキャンの実施や検出事項への対応、審査機関（QSA）の審査のためのエビデンスの準備やQSAとの調整なども必要になってきます。

自社対応か？アウトソースか？

すべて自社対応する場合のメリットはノウハウが自社内に蓄積されることでしょう。しかし上記の通り、対象範囲確定から計画立案、実行、テストまで一連のプロセスをすべて自社で対応するのは知識や経験面から困難なケースが多いのも現実です。さらに実際に対応を進める上では準拠対応範囲を十分に理解した上で、範囲内の業務やシステムに影響を極力与えないように各部署と調整を重ねつつ進めていくのは大変な苦労を伴います。

一方、一連の準拠対応作業のすべてまたは一部をアウトソースすれば、アウトソーサーが持つ専門知識と経験を利活用することができ、初めての対応であっても比較的スムーズに進めることができるでしょう。もちろんそのためのコストは掛かります。

どちらを選択するかは、社内リソースの状況やコストなどにより総合的に判断すべきですが、まったくの未経験（初回対応）ですべてを自社対応するのであれば、多くの工数と苦労が発生することを認識しておく必要があります。

社内のリソースやノウハウ、またパートナー企業の対応可能範囲や必要なコストなどによって最適な方法を選択しましょう。