2020年オリンピック・パラリンピック東京大会開催に向けての 「Prioritized Approach for PCI DSS」活用のすすめ

2016年2月、経済産業省は、2020年のオリンピック・パラリンピック東京大会開催などをふまえ、国際水準のクレジット取引のセキュリティ環境を整備するため、カード会社を始めとしたクレジットカード取引に関係する事業者などから構成される「クレジット取引セキュリティ対策協議会」にて「実行計画」を策定したことを公表しました。

実行計画におけるPCI DSS準拠の目標期限

「実行計画」では大きく「カード情報の保護」「カード偽造防止対策」「ECにおける不正利用対策」への取り組みを推進することが述べられています。
その内、「カード情報の保護」について、加盟店のカード情報を非保持化する取組みを進めるとともに、保持する事業者等にはPCI DSSへの準拠を進めることが明記されており、具体的には以下の目標が掲げられています。

対象目標
(1)加盟店
  • EC加盟店及びEC以外の非対面加盟店は2018年3月末までにカード情報の非保持化又はPCI DSS準拠完了を目指す。
  • 対面加盟店は2020年3月末までにカード情報の非保持化又はPCI DSS準拠完了を目指す。
(2)カード会社(アクワイアラー)、PSP
  • カード会社(アクワイアラー)及びPSP(ペイメント・サービス・プロバイダー。実行計画では、EC店舗に決済スキームを提供しカード情報を処理する事業者を指す)は、2018年3月末までにPCI DSS準拠完了を目指す。
  • カード会社(アクワイアラー)は、契約等を有するPSPに対し、包括加盟店契約等を有するEC加盟店に非保持化を要請し、さらにPSPがPCI DSSに準拠していない場合は可及的速やかに準拠するよう必要な指導を行う。また、2018年4月を目処に、PCI DSSに準拠していないPSPとの取引の見直しについて検討を進める。
(3)カード会社(イシュアー)
  • カード会社(イシュアー)は2018年3月末までにPCI DSS準拠完了を目指す。

出所:クレジット取引セキュリティ対策協議会
「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画‐2016‐【公表版】」

PCI DSS準拠に向けた段階的なアプローチの採用

上記のような状況から、「実行計画」に基づいてPCI DSS準拠に向けた取組みを検討中のカード会社や加盟店が増加傾向にありますが、一方で、PCI DSSへの準拠はハードルが高く、コストやリソース、業務上の制約など、さまざまな要因により、PCI DSSへの取組みが難航している企業も多いのではないかと推察されます。

そこで、PCI DSS準拠に向けた取組みの考え方の1つとして、一足飛びにPCI DSS準拠を目指すのではなく、実行性のある計画となるよう、PCI DSSに段階的に取り組んでいくことが考えられます。

具体的な方法としては、リスク評価に基づく優先度設定など、さまざまな手法が考えられますが、PCI DSSの各要件の優先度の考え方についてはPCI DSSの運営団体であるPCI SSC(PCI Security Standards Council)が「Prioritized Approach for PCI DSS 3.2」というツールを公開していますので、本ツールのような既存リソースを積極的に活用してはいかがでしょうか。

  • (1) Prioritized Approach for PCI DSS (PDFファイル、英語)
  • (2) Prioritized Approach Tool (XLSファイル、英語)

「Prioritized Approach for PCI DSS 3.2」では、PCI DSSの各要件について優先順位付けを行い、6つのマイルストーンを設けることで段階的な取組みをサポートしています。
以下、「Prioritized Approach」の優先順位付けの考え方や各マイルストーンで求められる要件の概要を紹介いたします。
「Prioritized Approach」を活用した段階的な取組みプロセスのイメージを持っていただけるのではないかと思います。

※「Prioritized Approach」ツールの使い方のイメージは、以前のPCI DSS徹底解説(Prioritized Approachの活用)の記事にて紹介しております。 ただし、PCI DSS V1.2の時のものであるため、上記を参考としていただきつつ、具体的な使用手順は、最新の「Prioritized Approach Tool」を直接ご参照ください。

マイル
ストーン
目標概要
1センシティブ認証データの削除、データ保持の制限必要ない限り、センシティブ認証データやカード会員データを持たないことで、危険にさらされる可能性を大幅に低減する。
2システムやネットワークの保護、システム侵害への対応危険にさらされる可能性の高いアクセスポイントをコントロールし、システム侵害に対応する。
3決済アプリケーションのセキュア化システム侵害やカード会員データへのアクセス権奪取につながり得る弱点を提供しない様、アプリケーションやプロセス、サーバをコントロールする。
4システムの監視、アクセス制御誰が、何を、いつ、どのような方法で、ネットワークやカード会員データ環境にアクセスしているかを検出できる様にする。
5保存されるカード会員データの保護暗号化や鍵管理メカニズム等により、カード会員データを保護する。
6残り準拠要件への取組みカード会員データ環境の保護に必要とされる、ポリシー、手続き、プロセスに関連した残要件に対処する。

出所:PCI SSC「PCI DSS Prioritized Approach for PCI DSS 3.2」を元に意訳

1. センシティブ認証データの削除、データ保持の制限

カード会員データのフロー、所在を把握し、センシティブ認証データ(磁気ストライプ、セキュリティコード、PIN/PINブロック 等)や業務上不要なカード会員データ(PAN,有効期限など)を持たないようにすることが求められます。
情報を持たないことで、情報漏えいなどの危険性は大幅に低減されますし、この取組みにより保護すべきカード会員データの所在も明確になりますので、最優先での取組みが求められています。

2. システムやネットワークの保護、システム侵害への対応

信頼できないネットワークからの通信や不正なアクセスを制限するため、システムアクセスが可能となる境界を把握し、ファイアウォールによる通信制御、ワイヤレスアクセスやリモートアクセスの制限、暗号化通信などのネットワークセキュリティ対策、ユーザー認証やパスワードポリシーの強化、定期的な脆弱性診断実施による侵入経路となり得る脆弱性の解消などが求められます。

セキュリティの基本は多層防御であり、侵入後のリスクを低減するための二重、三重のセキュリティ対策を講じることが重要といわれていますが、とはいえ侵入を防ぐための対策がなされていない状態では攻撃者に狙われやすい環境となってしまいますので、まずはシステムに侵入されるリスクの低減策を優先しているものと考えられます。

3. 決済アプリケーションのセキュア化

セキュリティの業界標準に基づいたシステム開発プロセスを策定し、セキュアにシステムを構築することが求められます。

侵入を防ぐための対策がなされていたとしても、機器増設や機能追加等が行われるなかで、新たな脆弱性を生み出してしまう危険性がありますので、マイルストーン2の対策に続いて優先的に取組むことが求められています。

4. システムの監視、アクセス制御

カード会員データの漏えいにつながり得る不正な行為や、攻撃者による侵入後の影響を低減するため、システムにフルアクセス可能となる特権アクセスや、カード会員データが保存されるデータベースへのアクセス権等を、業務上必要とされる正当な理由がある人に限定することが求められます。

また、アクセス権を制限するだけでなく、誰が、何を、いつ、どのような方法でアクセスしたかをログに記録し、レビューする仕組みを構築することも求められており、これにより不正な行為や侵入の兆候を検出することができ、甚大な被害が生じる前に迅速に対処することが期待されています。

5. 保存されるカード会員データの保護

これまでのマイルストーンでは侵入されないこと、侵入されたとしても迅速に対処することが優先されていましたが、前述の通り、セキュリティの基本は多層防御であり、攻撃者が他のセキュリティコントロールを回避し、カード会員データにアクセスできてしまったとしても、その影響を最小限にとどめることが必要です。
本マイルストーンでは、強力な暗号化テクノロジ等により保存されるカード会員データを読取不能とすることで、攻撃者によるカード会員データの入手を困難にすることが求められています。

6. 残りの準拠要件への取組み

最後のマイルストーンでは、PCI DSSの残りのすべての要件に対応することが求められており、具体的には、PCI DSSで求められる各種コントロールについて、ポリシー、手続き、プロセスを文書化し、教育や訓練、監視、改善を行っていくことで、適切に維持することが求められます。
PCI DSSに無事準拠できたとしても、各種コントロールを実現するのが組織の人である以上、マネジメントの仕組みは欠かせない要素であり、準拠状態を維持できるかどうかは本要件にかかっているといえます。

まとめ

「実行計画」に基づいたPCI DSS準拠を目指すにあたっての段階的な取組みのためのツールとして「Prioritized Approach」を紹介させていただきました。
なお、優先順位を付けて段階的に対策を講じていくことは、直面するセキュリティリスクを早い段階で排除していくことにもつながります。 PCI DSS準拠を検討中の組織はもちろん、セキュリティ対策にどこから取り組めば良いか模索しているような組織も含め、是非、本ツールの採用を検討してみてはいかがでしょうか。

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
堀 茂人(CISSP、QSA)


2020年オリンピック・パラリンピック東京大会開催に向けての 「Prioritized Approach for PCI DSS」活用のすすめ