Written by Aimee
大手日系企業でのマーケティング職を経て、2022年にフリーランスに転身。
要件定義〜保守まで行うウェブデザイナー、ライターとして活動しています。タイ、チェンマイを拠点に旅暮らし中。
目 次
PCI DSSとは
2022年に最新「PCI DSS v4.0」がリリース
PCI DSS設立の背景
PCI DSS準拠が必要な企業・業種とは
PCI DSSに準拠するメリット
PCI DSSの目標と要件
PCI DSS認定を取得に必要な2つの方法
PCI DSS認定を取得するまでの流れ
PCI DSS認定取得ならLANSCOPEプロフェッショナルサービスにお任せ
まとめ
PCI DSSとは、クレジット会員情報の安全な管理とセキュリティ対策を規定した国際規格です。
クレジットカード情報の不正利用や情報漏洩を防ぐ目的で定められ、クレジットカードの「保存、処理、伝送」を行う事業者(カード加盟店、銀行、決済代行サービス企業など)は、PCI DSSで定められたセキュリティ基準に準拠する必要があります。
PCI DSSに準拠することで、セキュリティレベルの向上につながるだけでなく、国際的なセキュリティ基準に則ってクレジットカード情報を取り扱っていることをアピールできるのです。
ただ、PCI DSSに準拠するためには、以下の12の要件をすべて満たす必要があります。
目標 | 要件 |
---|---|
安全なネットワークとシステムの構築と維持 |
1.ネットワークのセキュリティコントロールを導入し、維持する 2.すべてのシステムコンポーネントに安全な設定を適用する |
アカウントデータの保護 |
3.保存されたアカウントデータを保護する 4.オープンな公共ネットワークでカード会員データを伝送する場合、強力な暗号化技術でカード会員データを保護する |
脆弱性管理プログラムの維持 |
5.すべてのシステムとネットワークを悪意のあるソフトウェアから保護する 6.安全性の高いシステムおよびソフトウェアを開発し、保守する |
強力なアクセス制御手法の導入 |
7.システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲に制限する 8.ユーザを識別し、システムコンポーネントへのアクセスを認定する 9.カード会員データへの物理的なアクセスを制限する |
ネットワークの定期的な監視およびテスト |
10.システムコンポーネントおよびカード会員データへのすべてのアクセスを記録し、監視する 11.システムおよびネットワークのセキュリティを定期的にテストする |
情報セキュリティポリシーの維持 | 12.事業体のポリシーとプログラムにより、情報セキュリティを維持する |
※「PCI DSS v4.0」を基に掲載。
PCI DSSに準拠しなくても罰則はありませんが
- セキュリティインシデントの発生リスクが高まる
- セキュリティ対策を怠っているとみなされ、ビジネスチャンスを失う
などが想定されるため、認定取得を検討したほうが良いでしょう。
この記事では、PCI DSSとは何か、準拠のメリットや認定を取得するための方法について解説いたします。
▼この記事でわかること
- PCI DSSとはクレジット会員情報保護を目的に、情報システムにおける管理方法やセキュリティ対策などを取り決めた国際的な規格
- 2004年に国際的なカードブランド5社(American Express、Discover、JCB、MasterCard、VISA)によって共同で策定
- 「PCI DSS v3.2.1」は2024年3月31日にサポートが終了予定なので、クレジットカード情報を扱う組織は、最新版「PCI DSS v4.0」に準拠する必要がある
- PCI DSSが設立された背景として「加盟店の負担軽減」「カード情報に関するセキュリティの底上げ」などがある
- PCI DSSでは6つの目的と、紐づく12の要件が定められている
- PCI DSS認定を取得するための方法は「訪問審査」「自己問診」があり、それらをクリアするには、「ASVスキャン」や「ペネトレーションテスト」などの診断サービスを受ける必要がある
またエムオーテックス(MOTEX)では、PCI DSS準拠に求められる、脆弱性診断関連のサービス(要件6、11に該当)を、全てご提供しています。
▼該当する脆弱性診断/テストと頻度
- 内部ペネトレーションテスト/年に1回
- 外部ペネトレーションテスト/年に1回
- Webアプリケーション診断/年に1回
- 内部脆弱性スキャン/4半期に1回
- 外部ASVスキャン/4半期に1回
- セグメンテーションテスト/年に1回
- 無線LAN調査/4半期に1回
PCI DSSの訪問審査・自己問診をご検討中のお客様は、ぜひご相談ください。
PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード情報の盗難や不正利用を防ぐことを目的とする、クレジットカード情報の取り扱いを安全に行うための、国際的なセキュリティ基準です。
「カード会員データの保護」や「強力なアクセス制御手法の導入」など、12の要件に基づいた、400以上の要求事項から構成されます。
PCI DSSへの準拠は、カード会社をはじめ加盟店など、クレジットカードデータを扱うすべての組織が対象となります。よってカード情報の収集や処理、転送をおこなう、小売業者やサービスプロバイダーといった事業者も該当します。
PCI DSSは、2004年に国際的なカードブランド5社(American Express、Discover、JCB、MasterCard、VISA)によって共同で策定されました。また、これらのブランドが共同で設立した「PCI SSC(PCIセキュリティ基準協議会)」によって、現在も運営・管理されています。
PCI SSCは、PCI DSSの制定、更新、および運用に責任を持ち、クレジットカード情報に関するセキュリティ標準を維持する役割を果たしています。なお2020年以降、中国の銀聯(ぎんれん)が加わり、現在はAmerican Express、Discover、JCB、MasterCard、VISA、銀聯の6社によって管理されています。
PCI DSSは顧客のクレジットカード情報を保護し、不正利用や情報漏洩を防ぐために、事業者に対して一定のセキュリティ基準を準拠させることを目的としています。
この規格に適合することで、カード加盟店、銀行、決済代行サービス企業などが信頼性の高いセキュリティ対策を実施し、クレジットカード情報の取り扱いにおいて安全性を確保できるようになります。
PCI DSSでは、保護対象となるカード情報を「アカウントデータ」と呼び、アカウントデータは「カード会員データ」と「機密(センシティブ)認定データ」の2種類に分かれます。
▼「カード会員データ」と「機密認定データ」の内訳
また、PCI DSSは6つの主要な項目と12の要件に基づいており、これらの要求事項に全て対応できていることを「準拠」と呼びます。クレジットカード情報のセキュリティ対策が、適切に実施されていることを意味します。
2022年に最新「PCI DSS v4.0」がリリース
PCI DSSは定期的にアップデートされ、最新の「PCI DSS v4.0」が2022年3月に最新版としてリリースされました。
これは2013年にリリースされた前バージョン「PCI DSS v3.0」から約8年ぶりの大きな改定で、セキュリティの最新の課題に対処し、より強力な保護を提供するため改良されています。
出典:日本カード情報セキュリティ協議会|PCI DSS v4.0 タイムラインの更新
「PCI DSS v3.2.1」は2024年3月31日にサポートが終了予定なので、クレジットカード情報を扱う組織は期限以降、新たなバージョンである「PCI DSS v4.0」に準拠する必要があります。
よって各組織は「PCI DSS v4.0」と現行の「PCI DSS v3.2.1」との変更点を整理し、計画的に移行作業を進める必要があるでしょう。
「PCI DSS v4.0」と現行の「PCI DSS v3.2.1」との違いについては、以下の資料にて詳しくまとめられています。
関連資料
Payment Card Industry データセキュリティ基準 |変更点のまとめ PCI DSSのバージョン 3.2.1から4.0 (2022年5月)
PCI DSS設立の背景
PCI DSSが設立された背景として、以下のことが挙げられます。
- 加盟店の負担を軽減するため
- クレジットカード情報に関するセキュリティの底上げを図るため
1.加盟店の負担を軽減するため
従来、国際カードブランドごとに異なるセキュリティ基準が設けられていましたが、昨今では一つの加盟店にて複数のカードを扱うことが一般的となっています。
この状況下でカードブランドごとに異なるセキュリティ基準を満たすことは、加盟店にとって大きな負担となっていました。
そこでPCI DSSはこれらの異なる基準を統一し、加盟店が基準を一括で遵守できる体制を整えました。
2.クレジットカード情報に関するセキュリティの底上げを図るため
2つ目の大きな理由として、クレジットカードの利用が普及する半面、クレジットカードに起因するセキュリティ被害が、国際的に増加したことがあげられます。
日本クレジット協会の調査によれば、2022年のクレジットカード不正利用被害額は436億7000万ほど。これは2021年の調査から100億円以上も激増し、統計を取り始めた1997年以降、過去最悪の結果となりました。
出典:一般社団法人日本クレジット協会|クレジットカード不正利用被害の発生状況(2023年12月)
さらに被害額の内訳をみると、不正に入手したカードの番号が使われる「番号の盗用」による被害が411億7000万円と、全体の94.3%を占めていることも明らかになりました。
PCI DSSはこうした不正利用被害に対処し、クレジットカード情報のセキュリティを強化することを目的として設立されました。加盟店と顧客の両者におけるリスクが低減され、信頼性の高い取引環境が構築されることが期待されています。
PCI DSS準拠が必要な企業・業種とは
PCI DSSは、クレジットカード情報の保護に関するセキュリティ基準であり、クレジットカード情報を取り扱う企業は、基本的にPCI DSSへの準拠が求められます。
以下はPCI DSSの準拠が特に重要な、企業や業種の一例となります。
業種・企業タイプ | 必要なPCI DSS 準拠 |
---|---|
イシュア (クレジットカードの審査や発行を行う会社) |
クレジットカード情報の厳重な保護が必要 |
アクワイアラ (加盟店契約会社) |
取引時のカードデータの安全な取り扱いが求められる |
決済代行会社 | 支払いプロセスにおいてセキュリティ基準を満たす必要がある |
クレジットカード加盟店 | 顧客の信頼を維持し、データ漏洩を防ぐためにPCI DSSを順守 |
これらの企業や業種は、顧客の信頼を維持し、クレジットカードデータの漏洩を防ぐために、PCI DSSの基準を順守することが不可欠となります。
PCI DSSに準拠するメリット
PCI DSSに準拠すると、以下のようなメリットがあります。
- 信用とブランド価値の向上
- 専門家の意見が反映された、包括的なセキュリティ基準の遵守
信用とブランド価値の向上
PCI DSSに準拠することで、企業が最新のセキュリティ基準に則ってクレジットカード情報を取り扱っていることを、対外向けにアピールすることができます。
企業の信用とブランド価値の向上につながります。
専門家の意見が反映された、包括的なセキュリティ基準の遵守
PCI DSSは、専門家の意見や業界のベストプラクティスが反映された、国際的なセキュリティ基準です。この基準を満たすことで不正アクセスからサイトを保護し、個人情報の漏洩といったセキュリティリスクを未然に防止することができます。
このようにPCI DSSに準拠することで、企業は単なる法的要件だけでなく、顧客からの信頼を獲得し企業として成長するための重要なステップを踏むこととなります。またセキュリティの確保は企業にとってだけでなく、顧客の情報資産を守る上でも欠かせません。
PCI DSSの目標と要件
PCI DSSでは「どのデータを保護すべきか」や「どのように保護すべきか」についての見解を、業界全体で統一したガイドラインとして提示しています。
以下の表では、PCI DSSの基本的な考え方となる「6つの目標」と、それに対応する「12の要件」についてまとめています。先述したカード情報を取り扱う企業・組織では、以下の掲載した12の要件をすべて満たす必要があります。
※「PCI DSS v4.0」を基に掲載。
目標 | 要件 |
---|---|
安全なネットワークとシステムの構築と維持 |
1.ネットワークのセキュリティコントロールを導入し、維持する 2.すべてのシステムコンポーネントに安全な設定を適用する |
アカウントデータの保護 |
3.保存されたアカウントデータを保護する 4.オープンな公共ネットワークでカード会員データを伝送する場合、強力な暗号化技術でカード会員データを保護する |
脆弱性管理プログラムの維持 |
5.すべてのシステムとネットワークを悪意のあるソフトウェアから保護する 6.安全性の高いシステムおよびソフトウェアを開発し、保守する |
強力なアクセス制御手法の導入 |
7.システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲に制限する 8.ユーザを識別し、システムコンポーネントへのアクセスを認定する 9.カード会員データへの物理的なアクセスを制限する |
ネットワークの定期的な監視およびテスト |
10.システムコンポーネントおよびカード会員データへのすべてのアクセスを記録し、監視する 11.システムおよびネットワークのセキュリティを定期的にテストする |
情報セキュリティポリシーの維持 | 12.事業体のポリシーとプログラムにより、情報セキュリティを維持する |
PCI DSSはこれらの要件を通じて、クレジットカード情報の確実な保護を追求しています。これらの12要件を満たし、PCI DSSに準拠するためには、各要件に紐付けられた400を超える要求項目に対応しなければなりません。
PCI DSS認定を取得に必要な2つの方法
PCI DSS認定を取得するためには、先述した全ての要件を満たした上で「訪問審査」または「自己問診」をおこない、いずれかの審査を通過する必要があります。
それぞれの内容を簡単に説明します。
1.訪問審査
PCISSCによって認定された審査機関(QSA|Qualified Security Assessor)に依頼し、訪問審査を受けることで認定を得る方法です。日本国内においてPCI DSSの訪問審査が可能なQSAは、PCI国際協議会のサイト内にて一覧が掲載されています。
訪問審査は年1回行われ、QSAの審査員がクレジットカード情報を取り扱うシステムや業務を調査し、報告を行います。
審査後は、審査機関から以下のレポートが引き渡されます。
- ROC(Report on Compliance):報告書
- AOC(Attestation of Compliance):準拠証明書
カード発行会社など情報の取扱い規模が大きな事業者に、用いられる方法です。
2.自己問診
自己問診は、PCI DSSの要求事項に基づいたチェック項目に「はい」「いいえ」「該当なし」のいずれかで回答し、PCI DSS基準をどれだけ満たしているか確認するものです。
PCI DSS基準をすべて達成(すべて「はい」で回答)した場合、認定を得られます。
比較的カード情報の取扱い件数が少ない、事業者向けの方法です。
PCI DSS認定を取得するまでの流れ
PCI DSS認定を取得するまでの流れは次の通りです。ここでは「訪問審査を依頼する場合」を例に、流れをご確認します。
- PCI DSSに準拠する対象範囲の選定(スコープ調査)
- ギャップ分析と改善計画の策定・実施
- 審査を受ける
出典:日本カード情報セキュリティ協議会|PCI DSS準拠の方法とJCDSC によるサポート体制(2019年2月15日)
1.PCI DSSに準拠する対象範囲の選定(スコープ調査)
最初のステップとして、システム内でPCI DSSに準拠すべき範囲(スコープ)を選定します。
サーバやネットワーク機器のうち、カード会員データの伝送・処理・保管に関与しているものは、すべてPCI DSSへの準拠が必要となります。
2.ギャップ分析と改善計画の策定・実施
次に、組織はPCI DSSの要件に対する、現状の適合度を1項目ずつ再評価する「ギャップ分析」を行います。すべての要件を満たすため、どの部分に焦点を当てるべきか・何が不足しているかを明らかにすることが目的です。
ギャップ分析の結果をもとに、セキュリティポリシーの整備、技術的な対策の実施、スタッフのトレーニングなどの改善計画を策定し、実装していきます。
3.セキュリティ診断の実施~訪問審査
PCI DSSでは、システムの脆弱性に係る「要件6」「要件11」の基準を満たすため、認定スキャニングベンダーによるスキャン or 認定スキャニングベンダーによって提供されるスキャンツールを使用する必要があります。
▼該当する脆弱性診断/テストと頻度
- 内部ペネトレーションテスト/年に1回
- 外部ペネトレーションテスト/年に1回
- Webアプリケーション診断/年に1回
- 内部脆弱性スキャン/4半期に1回
- 外部ASVスキャン/4半期に1回
- セグメンテーションテスト/年に1回
- 無線LAN調査/4半期に1回
また、その他の要件(アクセス制御、ユーザーの棚卸し等)に関しても、自社で資料を作成したり、別途コンサル会社で監査を受けたりすることで、満たすことが可能です。
- 「ギャップ分析」に基づく改善策の実施
- 「セキュリティ診断」による脆弱性の解消
ここまで全て完了した上で、QSAによる訪問審査に臨むことができます。
審査期間は2ケ月ほどで、「実機の設定内容の確認」「ASVスキャンレポート証明書の確認」「担当者へのヒアリング」等の方法により審査が行われます。
PCI DSS認定取得ならLANSCOPEプロフェッショナルサービスにお任せ
先述の通り、PCI DSSでは6つの目標とそれに対応する12の要件が定められており、これらすべてに準拠しなければなりません。
そのうち、システムの脆弱性に係る「要件6」「要件11」の基準を満たすため、ネットワークやアプリケーションにおける「脆弱性診断」「テスト」を行う必要があります。
MOTEX(エムオーテックス)では、これら診断関連の要件を満たす上で必要な、すべてのサービスを提供することが可能です。
▼該当する脆弱性診断/テストと頻度
- 内部ペネトレーションテスト/年に1回
- 外部ペネトレーションテスト/年に1回
- Webアプリケーション診断/年に1回
- 内部脆弱性スキャン/4半期に1回
- 外部ASVスキャン/4半期に1回
- セグメンテーションテスト/年に1回
- 無線LAN調査/4半期に1回
経験と知識の豊富なセキュリティエンジニアが、お客様の要件達成に向け、必要な診断サービスをご提供します。訪問審査への対策はもちろん、過去にはPCI DSS準拠のための「自己問診」を希望する企業様に、問診のサポートをさせていただいた実績もございます。
またPCI DSSでは四半期ごとの診断が必要となるため、お客様の要望に基づいて実施計画を策定し、監査に向けスムーズなサービス提供を行います。
- PCI DSSにて、どんな診断を行えばいいかわからない
- PCI DSSに準拠したいが対応が進んでいない
- 脆弱性診断にかかる予算・期間などを相談したい
こういったお悩みのお客様は、ぜひ「PCI DSSについて相談したい」との旨を記載の上、お問い合わせフォームよりご相談ください。
PCI DSSのコンプライアンス準拠を支援する「Tripwire Enterprise」
PCI DSSの要件11「システムおよびネットワークのセキュリティを定期的にテストする」へ準拠する上で活躍するのが、あらゆるサーバ・ネットワーク機器に加えられる変更をいち早く検知し、不正な改ざんやポリシー準拠を管理する「Tripwire Enterprise」です。
▼Tripwire Enterpriseで診断できる「PCI DSS」要件
■11.5 ネットワークへの侵入および予期しないファイルの変更が検出され、対応される
– 11.5.2 変更検出メカニズム(例えば、ファイル整合性監視ツール)は、以下のように展開される。
・ 重要なファイルの不正な変更(変更、追加、削除を含む)を担当者に警告すること。
・ 少なくとも週 1 回、重要ファイルの比較を行うこと。
Tripwire Enterpriseでは、PCI DSSなどのポリシーに対する準拠状況を自動的にレポートでき、復旧が必要なファイルや重要度別のポリシー違反状況などを簡単に把握することが可能です。
また、Web改ざんやOS/ミドルウェアのファイル改ざん、運用上のミスオペレーションによる変更を素早く検知できるため、インシデントへの早期対応や被害復旧に役立ちます。
まとめ
本記事では「PCI DSS」をテーマに、その概要や要件・準拠のための流れについて解説しました。
本記事のまとめ
- PCI DSSとはクレジット会員情報保護を目的に、情報システムにおける管理方法やセキュリティ対策などを取り決めた国際的な規格
- 2004年に国際的なカードブランド5社(American Express、Discover、JCB、MasterCard、VISA)によって共同で策定
- 「PCI DSS v3.2.1」は2024年3月31日にサポートが終了予定なので、クレジットカード情報を扱う組織は、最新版「PCI DSS v4.0」に準拠する必要がある
- PCI DSSが設立された背景として「加盟店の負担軽減」「カード情報に関するセキュリティの底上げ」などがある
- PCI DSSでは6つの目的と、紐づく12の要件が定められている
- PCI DSS認定を取得するための方法は「訪問審査」「自己問診」があり、それらをクリアするには、「ASVスキャン」や「ペネトレーションテスト」などの診断サービスを受ける必要がある
PCI DSSの厳格な基準を遵守することで、企業はサイバーセキュリティを強化し、信頼性のあるビジネス環境を確立できます。PCI DSSの要件を遵守することで経済活動の安定と個人情報の保護に取り組み、顧客や取引先との信頼を築きましょう。
関連する記事