基準のライフサイクル変更でどうなるのか?

基準ライフサイクルの変更

2010年10月に予定されているPCI DSS、PA-DSSの改訂に合わせて、3つの基準(PCI DSS、PA-DSS、PTS)のライフサイクルを3年に変更することが、2010年6月22日付けでPCI SSCより発表されました。
今回は、ライフサイクルが変更された3つの基準のうち、PCI DSSとPA-DSSについて、ライフサイクルの主な変更点と今後の展開を説明したいと思います。

主な変更点

PCI SSCの公開資料" Lifecycle for Changes to the PCI DSS and PA-DSS "に記載されている変更点のうち、審査に直接影響するものを抜粋すると、以下の2点が挙げられます。

  • 3年のライフサイクルで基準を改訂
  • 旧バージョンからの移行期間を14ヶ月に拡大

従来は、2年ごとに基準が改訂され、改訂後3ヶ月弱で旧バージョンでの審査から新バージョンでの審査に移行する必要がありました。移行への猶予期間が短いことから、多くのPCI DSS準拠企業では、基準が改訂されると対応が間に合わず、たちまち非準拠となってしまう心配があったのではないでしょうか。



図1:従来のライフサイクル

従来のライフサイクル

引用元
https://www.pcisecuritystandards.org/security_standards/pdfs/OS_PCI_Lifecycle.pdf


今回の変更で、3年ごとの基準改訂となり、改訂後14ヶ月の移行期間が設けられたため、より現実的な準備期間を経て新バージョンでの審査に臨むことができるようになりました。
これは、PCI DSSに準拠する企業にとっては、改訂内容を十分に理解した上で、計画的に予算を確保して無理のないシステム改修や実装を行うための機会と捉えることができると思います。

図2:新しいライフサイクル

新しいライフサイクル


引用元
https://www.pcisecuritystandards.org/pdfs/pci_lifecycle_for_changes_to_dss_and_padss.pdf

PCI DSSバージョン移行のタイムライン

先述の図2をもとに、今後発行されるPCI DSS基準のバージョン番号を、順番にv2.0、v3.0、v4.0と仮定して、バージョン移行のタイムラインを表すと以下のようになります。



図3:PCI DSSバージョン移行のタイムライン

PCI DSSバージョン移行のタイムライン


現行バージョンの1.2は、2011年12月31日まで審査に使用可能なバージョンとなります。
次期バージョンの2.0は、2010年10月に発行後、2011年1月1日から有効となり、2014年12月31日まで審査に使用可能です。
PCI DSS準拠企業の対応としては、2011年はv1.2の審査を受けつつv2.0の対応を進め、2012年にv2.0の審査を受けるというのが典型例になるのではと予想しています。
あるいは、セキュリティ意識の高い企業では、2011年中にv2.0の審査を行い、いち早く新バージョンに対応したことを対外的にアピールするケースもあるかもしれません。


また、v1.2の審査を受ける場合でも、効果的にv2.0を活用することができると思います。
例えば、新バージョンには通常新たな脅威と技術が反映されて発行されますので、追加された要件を分析して、以下のPCI DSS要件で要求されているリスク評価プロセスのインプットとして利用することが考えられます。


  • 12.1.2 脅威、脆弱性、結果を識別する年に一度のプロセスを正式なリスク評価に含める。
  • 12.1.3 レビューを少なくとも年に一度含め、環境の変化に合わせて更新する。

このように部分的に新バージョンを取り入れることで、次年度審査への準備に着手することもでき、バージョン移行をスムーズに推進できるのではないでしょうか。

PA-DSSバージョン移行のタイムライン

今後発行されるPA-DSS基準のバージョン番号を、順番にv2.0、v3.0、v4.0と仮定して、バージョン移行のタイムラインを表すと以下のようになります。先述の図2にあるとおり、PA-DSSとPCI DSSのライフサイクルは共通なのですが、PA-DSSには有効期限(※)がありますので、以下の図にはバージョンの失効タイミングを追加しています。



図4:PA-DSSバージョン移行のタイムライン

PA-DSSバージョン移行のタイムライン



2011年中にPA-DSSの審査を計画しているソフトウェアベンダーとしては、審査を受けるPA-DSS基準はv1.2とv2.0の選択肢があります。v1.2で審査を受ける場合、2013年10月には有効期限を迎えてv2.0での再検証が必要になりますので、製品寿命によっては審査回数が増え、トータルコストの増加につながってしまうことが考えられます。 審査を受けるバージョンを検討する際には、基準移行のタイムラインと製品ライフサイクルを考慮することをお勧めします。


※有効期限とは
ソフトウェアベンダーがペイメントアプリケーションの承認を維持するために、現在のPA-DSS要件に対する再検証を受けなければならない期限のことです。 ベンダーが当該アプリケーションの販売を継続しない、つまり承認を維持しないことを選択した場合は、再検証が実施されずに有効期限を迎え、PCI SSCのリストに記載されているステータスが、"Acceptable only for Pre-Existing Deployments(既存の実装に対してのみ許容)"に変更されます。


参考リソース

PCI Security Standards Council Announces New Three Year Lifecycle For Standards Development
https://www.pcisecuritystandards.org/pdfs/pr_100622_lifecycle.pdf

Lifecycle for Changes to the PCI DSS and PA-DSS
https://www.pcisecuritystandards.org/pdfs/pci_lifecycle_for_changes_to_dss_and_padss.pdf

Lifecycle for Changes to PTS
https://www.pcisecuritystandards.org/pdfs/pci_lifecycle_for_changes_to_pts.pdf

※各規格名、会社名、団体名は、各社の商標または登録商標です。

次回予告

次回以降も、各部分について少しずつクローズアップしながら解説していく予定です。

Writer Profile

コンサルティング本部
PCI推進室
池谷 陽(CISSP、QSA)

セキュリティ診断部門において、ネットワーク診断、システム基盤構築 ソリューションの研究開発に従事した経験を持つ。 現在は、PA-DSS準拠支援業務に従事する一方で、QSAとしてPCI DSSの 訪問審査や準拠支援業務にも携わっている。

基準のライフサイクル変更でどうなるのか?