Version 3.0 Change Highlightsが公開

今年は3年ぶりのPCI DSS改訂の年となりますが、8月、PCI Standars Council(PCI SSC)のサイトに変更の方針を示すドキュメントが先行して掲載されました。

PCI DSS and PA-DSS Version3.0 Change Highlights
https://www.pcisecuritystandards.org/document_library


本ドキュメントの公開には、今年9月開催予定のPCIコミュニティミーティングの参加者に向けた事前情報提供という目的の他に、カード加盟店やサービスプロバイダ、審査会社といったステークホルダーが、(心の)準備ができるようにとの配慮もあるようです。
最終的には11月7日にVersion3.0がリリースされますので、あくまでも参考資料としての位置づけとなります。

今回はこのハイライトについて内容を読み解いてみたいと思います。

全体について

今回の改訂では前回より長い3年間という期間が設定されたせいか、フィードバックも多かったようです(半分以上はアメリカ国外のステークホルダーから寄せられたとのこと)。変更点もVersion2.0の時より多いとあります。

変更点はVersion2.0の時と同様、「明確化」「追加のガイダンス」「要件の改良」と3つに分類されます。

  • 「明確化」要件の意図を明確にするため、表現を改めたもの。
  • 「追加のガイダンス」解釈や定義等について理解を深めるための追加説明。
  • 「要件の改良」新たな脅威や市場の変化に合わせて変更された要件。

今後公開されるであろうサマリーオブチェンジでは、変更点に上記の分類が付与されるはずです。まずは「要件の改良」に注目すべきでしょう。
また、新しく追加される要件のいくつかは実装までに猶予(2015年7月1日まではベストプラクティス)が与えられるとあります。対応に手間のかかるものが該当すると思われますので、どの要件にこの「猶予」が現れるのか、大変気になるところです。

本ドキュメントでは新しいバージョンを策定するにあたっての重要なテーマとして以下の3点があげられています。

  1. 教育及び啓発
  2. 柔軟性の向上
  3. セキュリティの責任共有化

1.教育及び啓発

PCI DSSは米国などで先行して普及していますが、依然としてカード会員データを狙った事故が発生しています。この原因の1つにPCI DSSの不十分な理解と実装があると考えているようです。そこで要件の補足やガイダンスの追加、文言の見直し等でこれらの解決を図るとあります。

2.柔軟性の向上

今回の変更では、漏洩事故に繋がる様々なリスクの内、高頻度で見られるものにフォーカスするとあります。これは一部要件については内容が強化されると考えて良いでしょう。しかし単純に厳しくするということではなく、状況に合わせて判断できるような配慮もなされるようです。
審査の現場では対策の有効性について議論がなされることが日常的に見られますので、要件を満たす方法に柔軟性を加え、審査員も適切な判断がしやすい基準となっていることが望まれます。

3.セキュリティの責任共有化

カード会員データを取り巻く環境の複雑化に伴い、業務を委託する場合の情報管理について見直しがされるようです。
サービスプロバイダ等とカード会員データを共有する際は、それを保護する責任も共有し、協力して対策にあたるよう、要件が強化されると考えられます。


以上はこれまでも課題として認識されていた点でもありますので、正当な進化を期待して良いのではないでしょうか。

新しい技術への対応

カード会員データを取り扱う環境では、クラウドやモバイルペイメント等、新しい技術が次々に採用されてきました。PCI SSCはこれまでもインフォメーションサプリメントや、個別のガイダンスでPCI DSS準拠の考え方を示してきましたが、今後もPCI DSSそのものへ反映するのではなく、同様の方法でガイダンスを提供し続けるようです。

各要件の変更点

本ドキュメントには各要件の変更点について簡単な一覧が記載されています。別表参照
いくつか気になる点をご紹介します。

要件6
OWASP Top10の2013年版がリリースされていますので、関連して要件が追加されていると思われます。


要件9
スマートフォンやタブレットを決済端末として活用する事例が出てきていますので、これらの端末の物理的セキュリティについて言及がされると思われます。


要件10
毎日のログレビューについては、これまでイベントの危険度の基準や対象が明確とはいえませんでしたが、改善されるようです。


要件11
ペネトレーションテストは外部からの攻撃を想定したものと位置づけられがちでしたが、セグメンテーションの有効性判断にも用いられることになりそうです。これによってセグメンテーションやスコーピングについて見直しが必要となる可能性もあります。


要件12
サービスプロバイダを利用する場合、PCI DSSの各要件について、委託元とサービスプロバイダの間で、どちらが責任を持って対応しているか明文化する必要があるようです。


その他
PANが存在しない場合でも、センシティブ認証データが承認後に保存されていないことの確認がなされるようです。サービスプロバイダにPANの管理を一切任せている場合でも改めて確認が必要でしょう。

最新版への移行措置について

Version3.0は2013年11月7日にリリースされた後、年明け2014年1月1日に有効となります。対象となる事業者はできるだけ早く新バージョンでの実装を推奨されていますが、現在のVerison2.0も2014年中は有効となっています。

Version3.0は各要件に期待される検証のレベルを明確にするためテスト手順が追加されるとありますので、審査の場面では影響があると思われます。しかし一方でリーズナブルな内容になっているのであれば、早めに移行したほうが運用コストの削減に繋がる可能性もあります。
いずれにせよリリース後は一度内容の精査をお勧めします。

さいごに

以上の通り、今回のハイライトは非常に簡単な内容で、現在の対策にどの程度影響が出てくるか判然としません。今後コミュニティミーティングと連動して徐々に情報が提供されると思われますので、またご紹介させていただきます。

また今年はアジア地域で初めて、アジアパシフィック コミュニティミーティングがマレーシア クアラルンプールで11月20日に開催されます。
Version3.0リリース後にはなりますが、策定に関わったPCI SSCメンバーと直接交流の機会となりますし、今回は特別にP.O.メンバーや審査会社以外も参加可能となります。なるべく早く内容を把握されたい方は、参加をご検討されてはいかがでしょうか。当社からもQSA資格者が参加予定です。

この記事に関するお問い合わせ

NTTデータ先端技術株式会社
セキュリティ事業部
セキュリティコンサルティングBU
PCI推進室
pci@intellilink.co.jp

Writer Profile

セキュリティ事業部
セキュリティコンサルティングBU
シニアコンサルタント
鍋島聡臣(PCI推進室長、CISSP、QSA)

2004年よりPCI DSS(当時VISA AIS)関連サービスの立上げを担当。以来、国内へのPCI DSS普及推進活動と、対象企業のPCI DSS導入支援を行う。
日本カード情報セキュリティ協議会(JCDSC) 事務局長。

 

Version 3.0 Change Highlightsが公開