開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/08/11

PCI DSSから学ぶグローバルセキュリティ標準(1)PCI DSSとは何か

クレジットカード会員情報を保護するための事実上の国際標準規格で、2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている「PCI DSS:Payment Card Industry Data Security Standard」。本連載では、ビジネスアシュアランス 代表取締役社長で、ネットワンシステムズ セキュリティ事業推進本部本部長をつとめる山崎文明氏に、PCI DSSについて解説いただくとともに、そこから学べる情報セキュリティ対策についての戦略をご紹介いただく。

山崎文明

山崎文明

ビジネスアシュアランス 代表取締役社長
ネットワンシステムズ セキュリティ事業推進本部本部長
工学院大学 技術者能力開発センター 客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
 大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。(以下、委員などの就任実績)内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
 主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。

 PCI DSSとは、「Payment Card Industry Data Security Standard」の略で、クレジットカード会員情報を保護するための事実上の国際標準規格である。2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている。一般には、「クレジットカード会社のセキュリティ基準」と理解されているが、PCI DSSは、直接クレジットカードの決済業務に関係しない一般企業でも応用できる実装レベルのセキュリティ対策基準であり、直面している情報セキュリティ対策上の課題解決に大いに役立つものとして、米国でも広く普及を促す動きがある。本稿でPCI DSSを理解するとともに、情報セキュリティ対策への戦略を見直す機会として頂ければ幸いである。

PCI DSSとは何か

 PCI DSSとは、クレジットカード・ブランドをカード会社に供与することをビジネスとする企業(国際カードブランドと呼ばれる)の大手5社(Visa Inc.、MasterCard Worldwide、American Express、Discover Financial Services、JCB International)が共同して作成したクレジットカード会員情報を保護するためのセキュリティ実装対策基準である。元々は、国際カードブランド各社がそれぞれ個別にクレジットカード会員情報を保護するための規格を策定し、運用していたものが、2004年12月に統合され、クレジットカード業界の統一規格としてPCI DSS バージョン1.0として公表されたのが最初である。

 現在は「PCIセキュリティ標準協議会(PCI Security Standards Council:PCI SSC)」が基準の策定、改良、普及、導入支援を実施している。PCI SSCは、2006年9月に設立された団体で、現在、全世界で446社が加盟している。筆者も協議会のメンバーであり、同基準の実効性を確保するための改善提案を行う役目を担っている。米国でもPCI DSSが注目を集めるようになったのは、PCI SSCが設立されてからである。

 筆者は、毎年、春と秋の最低2回は渡米し、CSI SX(旧名:NetSec)をはじめとする情報セキュリティに関するカンファレンスへ参加し、米国における情報セキュリティに関する動向を調査している。CSI SXは、CSI(Computer Security Institute)が主催する情報セキュリティに特化したカンファレンスで、講演者は、大手企業のCISO(Chief Information Security Officer)やセキュリティを専門とするコンサルタントなど、実務家が多いのが特徴である。

 CSI SXで取り上げられる講演テーマは、間違いなく米国における情報セキュリティに関する最新の関心事を示しており、そこで語られるテーマは、米国企業が直面する情報セキュリティ上の重要な問題である。ここでのテーマは、私たち日本人にとっても多少の時間差こそあれ、近い将来必ず対応を迫られる課題を暗示している。PCI DSSがCSI SXでテーマとして最初に取り上げられたのは、2006年6月12日から14日にかけて米国アリゾナ州スコッツデールで開催された時である。

 この年のPCI DSSに関する講演は、おそらくすべてのセッションの中で最も関心が高かったのではないだろうか。講演者は高級な音響機器で有名なBOSEのCISO、質問者はPCI DSSの認証審査を間近に控えたカジュアル衣料のGAPのCISOといった名だたる大手企業であり、その熱心さにただごとではない予感がしたことを記憶している。筆者は、いずれ日本でも対応が迫られるとの確信のもとにPCI DSSに関する情報収集やPCI SSCのゼネラルマネジャーBob Russo氏との意見交換を行ってきた。

PCI DSSは止むことのないカード情報の漏えいの切り札

 PCI DSSが策定された背景には、止むことのないクレジットカード会員情報の漏えいと漏えいしたクレジットカード会員情報が悪用されるクレジットカード犯罪の急増がある。2005年、米国で発覚したカードシステムズソリューション社(本社:アリゾナ州)における4000万件にものぼる大量のクレジットカード会員情報漏えい事件は記憶に新しいだろう。

 クレジットカード会員情報の漏えい事件が頻発すれば国際カードブランドとしての信用が低下するだけでなく、カード利用者のカード再発行コストや損害金の補填費用が増大し、カード会社そのもの死活問題にも発展しかねない。そこで国際カードブランドとしては、自らのブランドを守るためにクレジットカード会員情報を処理するすべての企業にセキュリティ上の要求事項を遵守することを求めているのである。

 クレジットカードの不正利用犯罪にまつわる被害金額は、クレジットカードのICカード化が偽造カードの作成を困難にしたことから、ここ数年ドラスティックに減少している(図1)。

図1 クレジットカード不正使用被害の発生状況
クレジットカード不正使用被害の発生状況
(※クリックで拡大)
出典:(財)日本クレジット産業協会


セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!