対面/POS加盟店が考慮すべき5つのポイント(前編)

はじめに

これまで国内のPCI DSSは、決済代行業者や非対面/ネット加盟店を中心に普及してきましたが、この1年で対面/POS加盟店におけるカード情報セキュリティ向上を推進する動きが活発化しています。経済産業省は、2020年の東京オリンピック・パラリンピックの開催を踏まえてクレジットカードのIC化やPOS端末のセキュリティ仕様標準化の取り組みを始め、国際ペイメントブランドは大手加盟店の準拠推進を強化し、国内小売大手ではPA-DSS準拠アプリケーションの導入事例が複数ありました。また、日本クレジット協会と経済産業省が策定した2018年3月のPCI DSS対応期限に向けて準備を進めている対面/POS加盟店やベンダーからの問い合わせも多くなっています。
今回は、こうした対面/POS加盟店がカード情報流出リスクを確実に低減し、PCI DSS準拠を達成するにあたり考慮すべき5つのポイントを2回に分けて解説します。

1. PA-DSSに準拠した決済アプリケーションの使用

PA-DSSは、ソフトウェアベンダー向けのセキュリティ基準で、POS端末や決済処理を行うサーバーなどに導入される決済アプリケーションが適用対象になります。PA-DSS準拠製品の使用はPCI DSSの要件ではありませんが、準拠製品を使用することで、PCI準拠をスムーズに進めることができます。
たとえば、加盟店がどんなにPCI準拠対応を進めても、POSアプリケーションがトラックデータをディスクに保存していたり、データの暗号化強度が不十分であったり、安全でない通信プロトコルやリモート保守ツールを使用していたりすれば、加盟店のコントロールが及ばないところで準拠の道が閉ざされてしまいます。特にトラックデータなどの機密認証データの保存は代替コントロールが認められないため致命的です。
PA-DSSは、そもそもこのような課題を念頭に作られた基準であるため、PA-DSS準拠アプリケーションを製品同梱の「実装ガイド」に従って適切に実装・運用することで、決済アプリケーションが関わるPCI DSS要件を満たすことが保証できます。POSの更改等で、PCI DSS準拠がRFPに明記されることが増えているようですが、ベンダーがどの要件まで対応すべきか判断に迷うこともあるかと思います。ベンダーの責任分担明確化や知的財産保護の観点からもPA-DSSを採用した方がよい場合もあるでしょう。

2. PCI DSSに準拠したサービスプロバイダーの使用

PCI DSSでは、他の事業体の委託でカード会員データ(CHD)の処理、保管、伝送に直接関わる、ペイメントブランドでない事業体のことをサービスプロバイダーと定義しています。
サービスプロバイダーがPCI DSSを満たさない方法で、加盟店のCHDを処理、保管、伝送していると加盟店の準拠が困難になるのは、前述のPOSアプリケーションの場合と同様です。サービスプロバイダーが自らPCI DSS審査を行い、その準拠証明を加盟店に示している場合(図1)は、加盟店の審査でサービスプロバイダーを含める必要はありませんが、そうでない場合(図2)はサービスプロバイダーも含めた審査が必要になります。この場合、加盟店の審査範囲が広がるだけでなく、監査権や審査コストの問題も出てきます。
PCI DSSの要件で、サービスプロバイダーの準拠状況のモニタリング(要件12.8.4)が要求されていることもあり、PCI準拠のサービスプロバイダーを使用するのは必然といえます。また、サービスプロバイダーにとっても、加盟店ごとに審査対応を行うよりは、自社で一度に済ませて準拠証明を示す方が効率的でしょう。

図1・図2

3. PCI PTSに準拠したピンパッドの使用

PCI PTS準拠製品の使用はPCI DSSの要件ではありませんが、PCI PIN Securityの要件となっています。PCI PIN Securityは、ATMやPOS端末で処理するPINデータを保護するためのセキュリティ基準で、今後ICクレジット対応や海外発行カードの対応が進むにつれ、ますます重要になってくるでしょう。
PCI PTSに準拠したピンパッドは、PINの強力な暗号化だけでなく、タンパー検出・タンパー応答の機能を備えており、装置の開封を検知すると自動的に機密データを消去する機構になっています。また、プライバシースクリーン(目隠し)などにより、カード所有者が入力するPINを周囲の目視から遮る手段を備えます。これらの機能は、改ざんされた装置への不正交換や、不正に設置された小型ビデオカメラによるPINの隠し撮りなどから保護すると同時に、PINを入力する消費者に安心感を与えることができるでしょう。

まとめ

前編では、加盟店のPCI DSS準拠を進めるにあたり阻害要因となりうる、決済アプリケーション、サービスプロバイダー、ならびにICカード取引で扱われるPINデータを保護するピンパッドについて解説しました。それぞれ準拠した製品や事業者のリストは、参考リソースを参照してください。なお、サービスプロバイダーのリストに関しては、国際ペイメントブランドの登録事業者のみが掲載されていますが、これ以外にもPCI DSS準拠している事業者は多数存在しますので、個別に確認するとよいでしょう。
次回後編では、対面/POS加盟店が直面する脅威であるPOSマルウェアとスキミングについて取り上げます。

参考リソース

Writer Profile

セキュリティ事業部
セキュリティコンサルティングBU チーフコンサルタント
池谷 陽(CISSP、CFE、QSA、PA-QSA)

セキュリティ診断部門において、ネットワーク診断、システム基盤構築 ソリューションの研究開発に従事後、2009年よりPA-DSS、PCI DSSの準拠支援および審査を担当。POSベンダーや決済サービス事業者向けの支援・審査実績を多く有する。


対面/POS加盟店が考慮すべき5つのポイント(前編)