お問い合わせ
何をお探しですか?

PCI DSS徹底解説

お問い合わせ
SHARE

はじめに

PCI DSSとは?

クレジットカードの会員情報保護を目的として策定されたカード情報セキュリティの国際統一基準です。

クレジットカードのシステム以外には関係無いの?

ISMSやPマークなどの規格で求められている管理策よりもはるかに具体的であることから、個人情報保護や営業秘密保護のためのベースラインとして参考になります。
さらに、世の中の流れに追従して改訂され、関連基準・参考情報が追加されてきていますので

  • 脆弱性スキャンや脆弱性診断、ペネトレーションテストの実施観点、頻度
  • 二要素認証、多要素認証が求められるポイント
  • クラウド利用時において考慮すべきセキュリティ、責任分界点
  • SaaSとして提供されるソフトウェアのセキュリティ
  • スマートフォンやタブレットのアプリケーションのセキュリティ
  • 機密情報、機微情報の無価値化
  • サプライチェーンにおけるセキュリティ管理

などを考慮するうえでも、PCI DSSや他の関連基準、およびそれらの追加情報を参考とすることはとても有効です。

「PCI DSS徹底解説」の目的は?

より安全なカード社会の実現を目指し、PCI DSSおよびその関連基準、追加情報を解説しています。クレジットカード情報の保護にとどまらず、セキュリティ対策を考慮するうえでも参考としていただければ幸いです。

2023年

PCI DSS Version 4.0における変更点のポイント 第二回 ~ 未来日付の新規要件について~

前回記事(PCI DSS Version 4.0における変更点のポイント 第一回)では、PCI DSS Version 4.0の移行スケジュールと主な変更点の概要を紹介しましたが、新バージョンへの移行状況はいかがでしょうか。今回は「Summary of Changes from PCI DSS Version 3.2.1 to 4.0」で紹介されているVersion 4.0の変更点のうち、2025年3月31日より後に要件化…
続きを読む
2023年9月5日

2022年

「PCI DSS Version 4.0における変更点のポイント 第一回 ~移行スケジュールと主な変更点の概要~

2022年3月31日(日本時間では4月1日)、PCI SSCよりPCI DSS Version 4.0がリリースされました[1]。2022年4月29日には、PCI DSS Version 4.0 のSAQ[2]が、また、2022年5月13日には、PCI DSS Version 4.0の日本語版[3]も公開され、PCI DSS Version 4.0への対応準備を進めやすい状態となってきました。すでに自社への影響の確認を進められている組織も多いと思います…
続きを読む
2022年6月16日

2020年

PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その5:SSFの認定プログラムとまとめ

PCI SSCの新しいソフトウェアセキュリティ基準であるPCI Software Security Framework (SSF)を紹介する本コラム、今回のその5で最後となります。本稿ではSSFを構成する2つの基準であるPCI Secure Software StandardとPCI Secure Software Lifecycle (Secure SLC) Standard、それぞれの認定プログラムについて紹介します…
続きを読む
2020年8月24日

PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その4:Secure Software Lifecycle Standardの概要

PCI SSCの新しいソフトウェアセキュリティ基準であるPCI Software Security Framework (SSF)を紹介している本コラム、今回はSSFを構成する2つの基準であるPCI Secure Software StandardとPCI Secure Software Lifecycle (Secure SLC) Standardの内、後者のSecure SLC Standard [1]について紹介します…
続きを読む
2020年8月5日

PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その3:Secure Software Standardのコントロール目標

前回のコラムその2は、PCI SSCの新しいソフトウェアセキュリティ基準であるPCI Software Security Framework (SSF)を構成する二つの基準の内、PA-DSS(Payment Application Data Security Standard: 決済アプリケーションデータセキュリティ基準)の直接の後継基準となるPCI Secure Software Standardについて…
続きを読む
2020年7月21日

PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その2:Secure Software Standardの概要

前回のコラムその1では、PCI SSCの新しいソフトウェアセキュリティ基準であるPCI Software Security Framework (SSF)の概要を紹介しました。本稿ではSSFを構成する2つの基準であるPCI Secure Software StandardとPCI Secure Software Lifecycle (Secure SLC) Standardの内、前者のSecure Software Standard[1]について…
続きを読む
2020年7月16日

新型コロナウイルス(COVID-19)と PCI DSS リモート評価

新型コロナウイルス(COVID-19)の状況をふまえたPCI DSS のリモート評価について、PCI SSC からアナウンスされている内容は以下の通り…
続きを読む
2020年5月26日

2019年

クラウドサービス利用時のPCI DSS準拠のポイント② ~PCI DSS Implementation Considerationsの概要~

前回の「クラウドサービス利用時のPCI DSS準拠のポイント」では、PCI DSS要件の維持責任がクラウドサービス利用者とプロバイダー間でどのように共有されるかを把握するためのツールとしてPCI DSS Responsibility Matrixを紹介しました。PCI DSS Responsibility Matrixにより、利用者・プロバイダー間のPCI DSSの維持責任範囲について…
続きを読む
2019年6月21日

「非保持化」対応後の加盟店に求められるセキュリティ対策

2018年6月の改正割賦販売法施行に伴い、クレジット加盟店にもクレジットカード情報(以下、カード情報)を適切に管理し、不正利用を防止することが義務化されました。カード情報をいかに管理し、不正利用を防止するかについての実務指針として「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」[1](以下、「実行計画」)が…
続きを読む
2019年6月10日

PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その1:Framework の概要

2019年1月、PCI SSCより新たなソフトウェアセキュリティ基準、PCI Secure Software StandardとPCI Secure Software Lifecycle (Secure SLC) Standardがリリースされました[1]。これら二つの基準はPCI Software Security Frameworkを構成する基準群と位置づけられており、Frameworkはこれら二つの基準に加えて…
続きを読む
2019年5月31日

2018年

当社が翻訳協力した「PCI DSS v3.2.1 日本語版」が公開されました

PCI SSC (PCI Security Standards Council)より、当社が翻訳協力した「PCI DSS v3.2.1 日本語版」が公開されました。当社は、前バージョンのPCI DSS v3.2より、JCDSC(日本カード情報セキュリティ協議会)のQSA部会有志によるワーキングにおいて、翻訳品質向上を目的に、翻訳、レビューを協働で行い、PCI SSCとの連携を行っています…
続きを読む
2018年8月16日

クラウドサービス利用時のPCI DSS準拠のポイント ~PCI DSS Responsibility Matrixとは~

クラウドサービスは、インターネットなどのネットワークを介して、必要な時に必要なだけのITリソース(ネットワーク、サーバー、ストレージ、アプリケーション、サービスなど)の提供を可能とするクラウドコンピューティングという技術に基づいた柔軟性、拡張性に優れたサービスです。一方で、クラウドサービス利用時の設定ミスにより…
続きを読む
2018年6月18日

求められる業界の連携情報の非保持化とPCI DSS準拠が要件に

近年、セキュリティ対策が不十分な加盟店を狙った攻撃により、クレジットカード情報の漏えいが多発している。
これに伴い、偽造カードの使用や本人になりすましたカードの不正使用が後を絶たない状況だ。セキュリティ事業部 セキュリティコンサルティング担当 担当課長 シニアコンサルタントの羽生千亜紀は…
続きを読む
2018年4月16日

カード情報非保持化のための「PCI DSS Tokenization Guidelines」

2018年6月の「割賦販売法の一部を改正する法律」の施行期日に向け、「クレジット取引セキュリティ対策協議会」が取りまとめた実行計画のもと、多くの企業がクレジットカード情報の非保持化やPCI DSS準拠に取り組んでいることと推察されます。
実行計画では、加盟店におけるクレジットカード情報保護のため…
続きを読む
2018年1月29日

2017年

OWASP Top 10 2017 のリリースとPCI DSS要件の影響について

2017年11月20日に、OWASP(Open Web Application Security Project)から、「OWASP Top 10 2017年版(OWASP Top 10 2017)」が公開されました。
OWASP Top 10は、PCI DSS要件の中のアプリケーション開発(要件6)やペネトレーションテスト(要件11)などで参照されていることが多く…
続きを読む
2017年11月14日

PCI DSS維持活動のポイント~「Best Practices for Maintaining PCI DSS Compliance」の概要~

2020年オリンピック・パラリンピック東京大会の開催や2018年6月までに予定される「割賦販売法の一部を改正する法律」の施行に向け、「クレジット取引セキュリティ対策協議会」が取りまとめた実行計画の下、多くの企業がクレジットカード情報の非保持化やPCI DSS準拠に取り組んでいますが…
続きを読む
2017年11月6日

当社が翻訳協力した「PCI DSS SAQ v3.2 Rev. 1.0日本語版」が公開されました

先日お知らせしました「PCI DSS v3.2 日本語版」に引き続き、PCI SSC (PCI Security Standards Council)より、当社が翻訳協力した「PCI DSS SAQ v3.2 Rev. 1.0 日本語版」が公開されました。
「PCI DSS v3.2」と同様、JCDSC(日本カード情報セキュリティ協議会)のQSA部会有志によるワーキングにおいて…
続きを読む
2017年5月19日

当社が翻訳協力した「PCI DSS v3.2 日本語版」が公開されました

PCI SSC (PCI Security Standards Council)より、当社が翻訳協力した「PCI DSS v3.2 日本語版」が公開されました。
当社は、2016年5月より、JCDSC(日本カード情報セキュリティ協議会)のQSA部会有志によるワーキングにおいて、翻訳品質向上を目的に、翻訳、レビューを協働で行い、公開に向けてPCI SSCとの調整を進めてきました…
続きを読む
2017年5月16日

2020年オリンピック・パラリンピック東京大会開催に向けての SAQによるPCI DSSへの取組み

前回のPCI DSS徹底解説(2020年オリンピック・パラリンピック東京大会開催に向けての「Prioritized Approach for PCI DSS」活用のすすめ)にて、クレジットカード取引のセキュリティ対策強化に向けた「実行計画」が公表されたことを紹介しましたが、さらに2016年12月「割賦販売法の一部を改正する法律」が公布され…
続きを読む
2017年1月20日

2016年

2020年オリンピック・パラリンピック東京大会開催に向けての 「Prioritized Approach for PCI DSS」活用のすすめ

2016年2月、経済産業省は、2020年のオリンピック・パラリンピック東京大会開催などをふまえ、国際水準のクレジット取引のセキュリティ環境を整備するため、カード会社を始めとしたクレジットカード取引に関係する事業者などから構成される「クレジット取引セキュリティ対策協議会」にて「実行計画」を策定したことを公表しました。
続きを読む
2016年6月15日

PCI DSS v3.2主な変更点の解説

2016年4月28日、PCI SSCよりPCI DSS v3.2がリリースされました。PCI DSS v3.1からv3.2への変更点一覧については、前回の速報[1]でSummary of Changesを日本語化したものを紹介いたしました。今回は、変更点の中から、ポイントとなる箇所を解説したいと思います。
続きを読む
2016年6月1日

PCI DSS v3.2の公開と変更点一覧

PCI SSCは、2016年4月28日付でPCI DSS v3.2を公開しました。旧バージョン3.1は、2016年10月31日に終息となります。今回のリリースでは、PCI DSSの基準書に加えて以下の文書のアップデートが公開されています…
続きを読む
2016年5月2日

PCI DSS v3.2 まもなくリリース

2016年2月17日、PCI SSCの公式ブログページ“PCI PERSPECTIVES”において、PCI DSS v3.2 の準備に関する記事[1]が掲載されました。
PCI SSCは2015年12月に公開されたSSLおよび初期のTLSからの移行期限の延長に関する通知[2][3]で、2016年にPCI DSS v3.1が更新される予定であるとしていましたが…
続きを読む
2016年2月19日

SSL/TLS 1.0 はいつまでに無効化しなければならないか?

前回のコラムでは、PCI SSC が2015年12月18日に公開した、SSLおよび初期のTLSから安全なTLSへの移行期限の延長に関するプレスリリース[1]について、速報として概要を解説しました。今回は、プレスリリースと併せて公開された改訂内容について、より掘り下げて解説します。
続きを読む
2016年1月25日

2015年

脆弱なSSLおよびTLSからの移行期限の変更について

PCI SSCは、2015年12月18日、SSLおよび初期のTLSから、安全なTLSへの移行期限の延長に関するプレスリリース[1]を公開しました。
PCI SSC は、2015年4月に公開した PCI DSS 3.1 で、移行期限を2016年6月30日としていましたが、その後、ビジネス的制約および技術的制約に関するフィードバックを受け…
続きを読む
2015年12月22日

PCI DSS v3.1の公開と変更点の概要

PCI SSCは、2015年4月15日付でPCI DSS v3.1を公開しました。本コラムでは、その変更点の概要について解説します。
続きを読む
2015年4月16日

対面/POS加盟店が考慮すべき5つのポイント(後編)

前編に引き続き、対面/POS加盟店がカード情報流出リスクを確実に低減し、PCI DSS準拠を達成するにあたり考慮すべきポイントを解説します。
続きを読む
2015年4月13日

対面/POS加盟店が考慮すべき5つのポイント(前編)

これまで国内のPCI DSSは、決済代行業者や非対面/ネット加盟店を中心に普及してきましたが、この1年で対面/POS加盟店におけるカード情報セキュリティ向上を推進する動きが活発化しています。経済産業省は、2020年の東京オリンピック・パラリンピックの開催を踏まえてクレジットカードのIC化やPOS端末のセキュリティ仕様標準化の取り組みを始め…
続きを読む
2015年3月18日

SSL v3.0 の脆弱性とPCI DSSおよびPA-DSSの改訂について

PCI SSC は、2015年2月13日付で"PCI SSC bulletin on impending revisions to PCI DSS, PA-DSS" という報告を行った。本コラムでは、この報告の内容について解説する。
続きを読む
2015年2月20日

~2014年

第01回 PCI DSSの概要 -起源とその必要性-

PCI DSSとは、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立した…
続きを読む
2013年7月17日
PDF版

第02回 PCI DSSの概要 -PCI DSSの12要件を読み解く-

PCI DSSは、"Payment Card Industry Data Security Standard"の頭文字語となっており、単一のセキュリティ基準だけではなく、用語集や手順書、ASVやQSAなどの認定審査機関の認定の仕組みなど、様々な文書や制度を含めて、基準を取り巻く体系全体を指しています。
全ての文書は、PCI SSCのサイトからダウンロードすることができます…
続きを読む
2013年7月17日
PDF版

第03回 ネットワークセグメンテーションによるアプローチ

2008年10月、PCI DSSバージョン1.2が公開されました。以下ページより、情報文書を検索できます。
https://www.pcisecuritystandards.org/pci_security/
PCI DSSバージョン1.2では、様々な項目について明確化、説明の付与などが行われ、より分かりやすく、必要に応じて柔軟になっています…
続きを読む
2013年7月17日
PDF版

第04回 Prioritized Approachの活用

PCIセキュリティスタンダードカウンシル(以下、SSC)では、2009年3月31に"Prioritized Approach for PCI DSS 1.2"と称した文書とツールを公開しました。以下ページより、情報文書を検索できます…
続きを読む
2013年7月17日
PDF版

第05回 カード会員データを探せ

以前にもお伝えしている通り、PCI DSSの対象範囲は、カード会員データの処理、つまり以下がおこなわれているところです…
続きを読む
2013年7月17日
PDF版

第06回 無線環境におけるセキュリティ対策

PCI DSSは、現在(2010/03/10)バージョン1.2.1が最新です。PCI DSSの更改ライフサイクルは、以下のURLで示されている通り、24カ月、すなわち2年に1回バージョンアップが行われることになります。ちなみに、派生するセキュリティ基準"PA-DSS(Payment Application DSS)"、"PTS(PIN Transaction Security)"についても同様のライフサイクルプロセスになります…
続きを読む
2013年7月17日
PDF版

第07回 基準のライフサイクル変更でどうなるか?

2010年10月に予定されているPCI DSS、PA-DSSの改訂に合わせて、3つの基準(PCI DSS、PA-DSS、PTS)のライフサイクルを3年に変更することが、2010年6月22日付けでPCI SSCより発表されました。
今回は、ライフサイクルが変更された3つの基準のうち、PCI DSSとPA-DSSについて、ライフサイクルの主な変更点と今後の展開を説明したいと思います。
続きを読む
2013年7月17日
PDF版

第08回 PCI DSS v2.0公開

10月28日(木)、PCI DSSのバージョン2.0が公開されました。
現在PCI SSCからは、英語版のみ公開されており、日本語版の正式公開は後になる予定です。
日本国内ではPCI DSS対応企業が増えており、一日でも早い日本語での情報展開が期待されていることから、弊社では、株式会社日立ソリューションズと共同で"PCI DSSバージョン2.0 翻訳版"を作成、公開いたします…
続きを読む
2013年7月17日

第09回 ASVの役割と定期的なテスト

2011年3月10日、PCI SSCより脆弱性スキャンを行う認定スキャンベンダであるASVに対する新たな要件が追加されました。これはASVに対する要件であり、PCI DSS準拠を進める、もしくは維持する加盟店やサービスプロバイダに対する要件ではありません。告知の詳細は下記のリンクをご覧下さい…
続きを読む
2011年9月7日
PDF版

第10回 仮想環境に対するPCI DSSの視点…Part.1

2011年6月14日、PCI SSCより、仮想環境に関するガイドライン、「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。このガイドラインは、PCI SSC内の“SIG(Special Interest Group)"と呼ばれる、特定の分野に関する議論が行われるワーキンググループの中の、”Virtualization SIG“が長い議論の末まとめたものです…
続きを読む
2011年11月25日
PDF版

第11回 仮想環境に対するPCI DSSの視点…Part.2

前回、「仮想環境に対するPCI DSSの視点…part.1 」では、PCI SSCによって公開されたガイドライン“Information Supplement: PCI DSS Virtualization Guidelines”の前半を読み解きました。
前半では、まず使用される言葉や概念の定義を行っており、PCI DSSにあまり依存しない形で…
続きを読む
2011年12月28日
PDF版

第12回 Version 3.0 Change Highlights が公開

今年は3年ぶりのPCI DSS改訂の年となりますが、8月、PCI Standars Council(PCI SSC)のサイトに変更の方針を示すドキュメントが先行して掲載されました…
続きを読む
2013年9月2日