新型コロナウイルス(COVID-19)と PCI DSS リモート評価

サマリ

新型コロナウイルス(COVID-19)の状況をふまえたPCI DSS のリモート評価について、PCI SSC からアナウンスされている内容は以下の通り[1][2]

  • 新型コロナウイルスによる例外的な状況において、適切な追加措置を伴うことでリモートでの評価を可能とするが、すべての評価がリモートで実施可能とは考えられない。
  • 物理セキュリティコントロールの評価は、リモートでの実施は困難と思われる。その他の評価は、適切な追加措置を行うことで、リモートでの実施が可能。
  • 評価者(Assessor)は、リモート評価の方法が適切であることを保証し、リモート評価についてコンプライアンスレポート(ROC)に記載する必要がある。
  • 期限内に審査が完了できない等のPCI DSS準拠に関する問題については、事業体が準拠状況を報告するアクワイアラーまたはペイメントブランドと協議すること。

また、PTS v3 認定POIデバイスの失効日、およびP2PEの再検証・再評価について、期限延長を含む特別措置がアナウンスされている[3][4]

はじめに

世界的な新型コロナウイルスの流行に対して、PCI SSC も3月の初め頃からさまざまな情報発信をしています[5]。国内の移動にも制限がかかっているこの状況において、PCI DSS の年次訪問審査を受ける事業体(以下、本稿では「被審査事業体」と記載)や当社を含む QSA 会社など、次回の審査をどのように実施したら良いのか、そもそも実施できるのかどうか、心配している方々が多くいらっしゃると思います。そこで本コラムでは PCI SSC が発信している情報の中から、主にリモート評価に関する公式ブログ2本[1][2]の内容についてまとめて紹介したいと思います。この2本のブログについて、本稿では「公式ブログ1」、「公式ブログ2」と呼称します。
また、PCI SSC Web サイトへのリスト掲載を含むPCIプログラムの内、PTS 認定POIデバイスとP2PEについては特例措置がアナウンスされているので[3][4]、あわせて紹介します。
なお、本稿における訳文は当社独自のものです。正確な内容については必ず原文を参照いただくようお願いいたします。

通常の状況におけるリモート評価について

まず、公式ブログ1 “Remote Assessment and the Coronavirus”(「リモート評価と新型コロナウイルス」)[1]で紹介されている FAQ #1445 “Does a QSA need to be onsite at the client’s premises for all aspects of a PCI DSS assessment?”(QSA は PCI DSS 評価のすべてをクライアントの拠点に訪問して実施しなくてはならないか?)[6]の内容を紹介しましょう。このFAQは2017年12月付けで、新型コロナウイルスの状況とは関係なく作成されたものなので、通常の状況におけるリモート評価の可否の判断基準になると考えられます。FAQの内容を箇条書きでまとめると以下の通りです。

  • QSA Qualification Requirement とProgram Guide において、オンサイトで評価を実施することがQSAの責務であると記載されており、PCI SSC はオンサイトを標準的な(Norm)評価方法とみなす。
  • すべての評価をオンサイトで行う必要はないが、例えば、テスト手順の検証方法が「観察(Observe)」のものについては、リモートで実施するのは困難と考えられる。
  • リモートで評価する場合は、その評価方法が要件に対して適切であることを保証する責務が QSA にある。
  • 別の方法として、プライマリQSAが現地のQSAに評価を依頼する、再委託(sub-contracting)による評価方法がある*i
  • ほぼすべてのインタビューは、例外的なケースはあるとしても、原則オンサイトでの実施が必要である。
  • PCI SSC は例外的に、個々の要件の評価をリモートで実施することが合理的であるケースがあることを認識しているが、その場合 QSA は、リモート評価を実施した理由について、十分に文書化し正当化する必要がある。

ということで基本的には、インタビューを含めて、原則オンサイトで実施することが求められており、再委託契約を結んだ現地QSAによる評価を除くと、リモート評価が認められるのは例外的なケースのみであることが分かります。 逆に言えば、合理的な理由がある例外的な状況であれば、リモート評価が認められると考えられます。

  • *i: この方法を用いる場合、プライマリQSAは、再委託先QSAおよびPCI SSCの三者間で事前に契約を結ぶ必要があります。詳しくは審査を依頼しているQSA会社にご相談ください。

現在の状況におけるリモート評価について

さて以上をふまえて、公式ブログ1の内容から見ていきましょう。このブログの位置づけとしては、

  • PCI SSC は、新型コロナウイルスによる移動制限・勧告のため、オンサイト評価が難しい例外的な状況にあると認識している
  • この状況において、評価者が従うべきガイダンスを示す

ものとなっています。
つまり、現在の新型コロナウイルスによる移動に制限のかかった状況は、リモート評価を実施できる、合理的な理由のある例外的な状況とみなされている、と考えられます。
この前提の下で、実際にリモート評価を実施するにあたり、2本のブログ記事にさまざまなガイダンスが記載されているので、これらを紹介したいと思います。

リモート評価を実施する際に従うべきガイダンス

1. リモート評価を実施する際に従うべきガイダンス
リモートで実施される評価では、評価対象のセキュリティコントロールが適切に実装され、要件を満たしていることに関して、必要なレベルの保証(オンサイトと同等レベルの保証)を与えることを、評価者が保証すること。
2. 評価の完全性の維持
リモートでのテストによって、評価の完全性が損なわれてはならない。ここでいう完全性は、例えば、インタビュー担当者やシステムコンポーネントが、正しい評価対象であることを指す。この意味での完全性を保証する特別な予防措置が必要になるかもしれない。またリモート評価の手法は、オンサイトと同等以上のレベルの保証を与える必要がある。
3. リモート評価の文書化
評価者は、コンプライアンスレポート(ROC)において、以下の事項を明確に文書化する必要がある。
  • リモートで評価した要件とテスト手順の特定
  • オンサイト評価が実施できなかった理由
  • リモート評価がどのようにオンサイト評価と同等レベルの保証を与えるか
また評価者は、リモート評価に関する証跡をSSCからの監査などに備えて、ワークペーパーの一部として保持する必要がある。
なお、オンサイトでもリモートでも評価の実施ができない場合、当該要件は Not Tested(未テスト)と評価されることになる。この場合、被審査事業体は PCI DSS 準拠について、アクワイアラーまたはペイメントブランドと協議する必要がある。

これらのガイダンスの内、1、2については、評価者が責務を持つべき内容ですが、被審査事業体はガイダンスの内容が満たせるよう、リモート評価の実施方法などについて、評価者に協力することが求められると考えられます。3 についても、ROCにおける文書化自体は評価者の責務ですが、次で述べる通り、リモートで評価する要件・テスト手順の特定は、被審査事業体と評価者が協力して進める必要があるでしょう。また特定の結果、Not Testedと評価される可能性がある要件・テスト手順がある場合などにアクワイアラーまたはペイメントブランドに相談することは、被審査事業体の責務となります。

リモートで実行できる評価活動の識別

実際にリモート評価の実施を検討する場合、テスト項目ごとにリモートでの実施可否について判断をする必要があります。公式ブログ2では、被審査事業体と評価者が協力して、どのテストがリモートで実行できるかを識別すべきとあります。また状況や環境に依存しますが、比較的リモート評価に適したテスト方法として、以下の項目が挙げられています。

  • ポリシー文書や手順書などの文書レビュー
  • 運用記録などのエビデンスのレビュー
  • インタビュー

一方、物理的なセキュリティコントロールや、実行されているプロセスの観察が求められるテストについては、リモートで実施することが困難であることが述べられています。

リモートでの文書・証跡レビューにおける考慮事項

リモートでの文書や証跡のレビューを実施する際に考慮すべき事項として、以下の項目が挙げられています。

  • セキュアな方法を使用して資料を共有・アクセスすること
  • レビューが、セキュアなシステム・環境内で実施されること

また先に述べた通り、評価者はレビュー対象の情報の完全性について検証する必要があります。被審査事業体としては、セキュアな方法で資料を共有する方法について評価者と相談する必要があるかもしれませんが、従来の審査でも何らかのセキュアな方法で文書・証跡類を評価者に提示することはあったと思われますので、その方法が十分セキュアであれば特に問題はないでしょう(例えば暗号化を用いるのであれば、PCI DSS要件で求められる強力な暗号化を利用するなど)。

リモートでのインタビューにおける考慮事項

リモートでのインタビューを実施する際に考慮すべき事項として、以下の項目が挙げられています。

  • 効果的なコミュニケーション方法が利用可能であること
  • インタビューが参加者にとって都合のよい時間にスケジュールされること
  • ビデオを使用してすべての参加者を可視化して、インタビューに関与させ続けること

被審査事業体は、インタビューをリモートで実施する具体的な方法の決定やツール・環境の提供などについて、評価者と協議する必要があるでしょう。

リモート評価の可否を検討する際の注意事項

リモートでの評価が可能かどうかを検討する際には、評価対象の環境のセキュリティを低下させたり、悪影響を与えたりすることがないよう、以下の原則に従うことが求められています。

  • リモート評価を容易にするため、セキュリティコントロールを無効化したり、回避する方法を提供したりしないこと。
  • PCI基準に対する評価をするために、PCI基準の要件を破らないこと。
  • リモート評価によって、被審査事業体の運用に混乱を招くようなリスクが追加されることを回避すること。

例えば、データセンターの物理セキュリティコントロールをリモートで評価するためにカメラを持ち込んでもらうような方法は、(データセンターであれば当然、許可はされないでしょうが)本末転倒ということかと思われます。被審査事業体と評価者がリモート評価の実施方法について議論をする際は、これらの原則を心にとどめて置き、意見の相違などが起きた場合は、これらの原則に立ち戻って考えることが重要だと思います。

アクワイアラーまたはペイメントブランドとのコミュニケーション

物理的なセキュリティコントロールの評価などの、リモートでの評価が困難なテスト項目のために、審査が完了できないケースが考えられます。被審査事業体のPCI DSS準拠状況を管理する責務はアクワイアラーまたはペイメントブランドにあるので、そのような場合、被審査事業体はアクワイアラーまたはペイメントブランドに相談して、部分評価の実施や年次評価の期限延期について検討することが求められています。

PCI DSS 以外の基準に関する特例措置

PCI DSS 以外のPA-DSS や P2PE, PTS などの基準では、認定されたアプリケーションやソリューション、デバイスなどが PCI SSC Web サイトのリストに掲載されます。これらのプログラムでは、SSCに対して審査レポートを提出してレビューを受ける必要がありますが、Not Tested の要件が含まれる提出については受け付けないことが、公式ブログ2で改めて述べられています。
これらのプログラムでは、再検証日や失効日(再評価の期限)などがプログラムごとに定められていますが、新型コロナウイルスによる状況により、定められた期日までに通常の再検証や再評価が完了できない可能性が考えられます。このような状況に対して、プログラムによってはPCI SSCから猶予期間の設定などを含めた特例措置がアナウンスされています。ここでは、本稿執筆時点(2020/5/18)でアナウンスされている2つの措置(PTS POI デバイス、およびP2PEに関するもの)について紹介します。

PTS POI v3 認定デバイス[3]

PTS POI v3 認定デバイスについて、失効期限が2020/4/30から一年延長されて、2021/4/30 とすることがアナウンスされています。あわせて、新型コロナウイルスの影響を受けていない国や事業体に対しては、v4以降の認定デバイスに移行することが強く推奨されています。

P2PEソリューション/コンポーネント/アプリケーション[4]

P2PEの復号環境は PCI DSS 準拠が前提となっており、ソリューション、コンポーネント用 P-AOV の Part 4b. には、過去12カ月以内に復号環境の PCI DSS 準拠が検証されたことを確認するチェックボックスがあります。しかしながら本稿で紹介した通り、復号環境のPCI DSS年次審査が期日内に完了しない可能性があります。これを受けて、次のような措置がアナウンスされています。

1. 2020/6/31 までに年次検証が必要な場合
年次再検証日自体の変更はなし。
ただし、復号環境の PCI DSS 年次審査が期限までに完了せず、準拠が示せない場合、PCI DSS assessment box の check が無いAOVでも受け付ける。ただし、復号環境が PCI DSS に従っていることをベンダーが保証する vendor attestation の提示が必要。
2. 2020/10/30 までに3年毎の再評価(フル評価)が必要な場合
期限までの再評価の実施が難しい場合、6カ月の猶予期間が与えられる。
その場合、復号環境のPCI DSSを含め、P2PEに従っていることをベンダーが保証する vendor attestation の提示が必要。

なおP2PEアプリケーションの認定については、復号環境のPCI DSS準拠を前提とするものでなく、P-AOVにも該当するチェックボックスは無いので、年次再検証に関する措置は、アプリケーションには該当しないものと考えられます。

まとめ

新型コロナウイルスの状況におけるPCI DSSのリモート評価について、PCI SSCからアナウンスされている情報を基にまとめて紹介しました。
原則としては、オンサイトによる評価が求められますが、現在の状況を合理的な理由のある例外的な状況として、リモート評価が実施可能な項目については、それが認められることを紹介しました。しかし同時に、物理セキュリティコントロールの評価のようなリモートでの実施が困難な項目があることも注意されており、そのような項目の評価がどうしても完了できない場合は、被審査事業体の準拠状況の報告先となるアクワイアラーまたはペイメントブランドと協議して、Not Tested を含む部分評価の実施や、準拠期日の延長を検討することがオプションとして提示されています。
なお、最終的にどのような方法を取るにしても、まずはリモートで実施できる項目とそうでない項目の洗い出しをすることが最初の一歩になると思われますので、年次訪問審査を控えている加盟店やサービスプロバイダーは、審査会社やコンサルティング会社とも相談しながら、早めの準備をすることをお勧めします。
公式ブログ2の最後に、”Maintaining security is critical.”(「重要なのはセキュリティを維持すること」)とありました。これを忘れてしまうと、リモートでの評価を実施するために、別のリスクを持ち込んでしまうということをやってしまいそうです。PCI DSSに限らず、この状況におけるセキュリティを考える際に迷った時は、この言葉に立ち戻って考えると良いのではないかと思います。

Writer Profile

セキュリティ事業本部 セキュリティコンサルティング事業部
コンサルティングサービス担当 チーフコンサルタント
佐藤 功視(CISSP、CISA、QSA、PA-QSA、QSA(P2PE)、PA-QSA(P2PE)、博士(理学))

参考文献