【PCI DSS v4.0対応】消費者ブラウザに対する改ざん検知とは？要件11.6.1について解説

1．PCI DSS v4.0で追加された要件11.6.1

2022年4月にリリースされたPCI DSS v4.0では、高いセキュリティを技術的に求める要件が追加されました。
その追加された要件のうち、11.6.1は「消費者ブラウザが受信した HTTP ヘッダーと決済ページのコンテンツに対する不正な変更の改ざん検知」を事業者側に要求する内容です。

要件11.6.1では、決済ページのようなPANや機密認証データが流れるWebページに対して、消費者のブラウザが受信したHTTPヘッダ、コンテンツに対する改ざん検知を求めています。

「消費者ブラウザで受信するHTTPヘッダやコンテンツに対する改ざん検知」は具体的に何を行えばよいのか、改ざん検知の頻度はどのように設定すべきなのかに焦点を当てて解説していきます。

2．「消費者ブラウザで受信するHTTPヘッダやコンテンツ」とは？

要項11.6.1の内容はけっしてわかりやすいものではありません。
消費者からのリクエストを受けてレスポンスしたものが改ざん検知対象になるところまでは想像がついても、「"消費者ブラウザで受信する"とはどういう意味なのか」「消費者が選択したブラウザに対しても責任を持たなくてはならないのか」などの疑問を持たれる方もいらっしゃるでしょう。
Webサーバーから送信されるHTMLデータには、以下のような記載があるケースがあります。

Webブラウザ上でのJavaScript実行を命令するHTML要素は、画像ファイルを表示する際によく記載されるものです。
上記のように記載した場合、JavaScriptなどのデータは自社Webサーバからは送信せず、このHTMLを受信したWebブラウザが記載された外部URLから直接データを取得します。

たとえ外部URL先のファイルが不正に改ざんされていたとしても、それは自社Webサーバからの送信データが改ざんされていることにはあたりません。
しかし、HTMLを読み込んだ消費者ブラウザは、外部URL先から不正なデータをダウンロードし、それをブラウザ上で実行してしまいます。

実際に、自社のWebサーバ上で管理しているコンテンツは改ざんされていませんが、外部URL先のファイルが改ざんされていたために、PANが漏えいしてしまった事例は存在します。

PCI DSS v4.0へのアップデートにおける要件11.6.1の追加は、この大きなセキュリティリスクを防ぐためのものです。
今回のアップデート以降、外部URLからデータを取得するようHTMLに記載している場合は、リンク先のファイルが自社で想定しているものと合致しているか、つまり" 消費者ブラウザで受信した場合にリンク先も含めて想定した通りのデータとなるか "の検証が求められます。

HTTPヘッダに不正な値が挿入されていないかだけでなく、HTMLコンテンツやブラウザ上でダウンロードする外部ファイルが不正なものに置き換わっていないかも、これからは検証ポイントとしてチェックしなくてはなりません。

3．要件11.6.1に対応するための改ざん検知の手法とは？

消費者ブラウザで受信するHTTPヘッダやコンテンツの改ざんを検知する手法はいくつか存在します。
それぞれメリットが異なるので、事業の状況や内容などに応じて選びましょう。

4．PCI DSSへの対応は要件への理解が重要

今回は、PCI DSS v4.0へのアップデートで追加された要項11.6.1の「消費者ブラウザが受信したHTTPヘッダーと決済ページのコンテンツに対する不正な変更の改ざん検知」について説明しました。

要項11.6.1に限らず適切な対応方針を策定するためには、要件内容を踏まえるだけでなく、どういったリスクを想定した上での要求かを理解しなくてはなりません。
TISでは、PCI DSSへの豊富な準拠支援実績やSIerとしての技術力、TISインテックグループのサービスやソリューションによって、各要件の解説および様々な業務や運用にあわせての適切な対応方針のご提案を行っております。

今回のPCI DSS v4.0へのアップデートに際して「どう対応すればよいかわからない」「対応コストをなるべく減らしたい」「運用負荷を軽くしたい」などのお悩みをお持ちの方は、ぜひ一度TISまでお問い合わせください。