開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/11/19

PCI DSSから学ぶグローバルセキュリティ標準(特別編)PCI DSS1.2の概要--フロリダで開催の総会レポート

クレジットカード会員情報を保護するための事実上の国際標準規格で、2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている「PCI DSS:Payment Card Industry Data Security Standard」。本連載では、ビジネスアシュアランス 代表取締役社長で、ネットワンシステムズ セキュリティ事業推進本部本部長をつとめる山崎文明氏に、PCI DSSについて解説いただくとともに、そこから学べる情報セキュリティ対策についての戦略をご紹介いただく。今回は特別編として、PCI DSSの策定と普及を担っている団体PCI SSCの模様をお伝えする。

山崎文明

山崎文明

ビジネスアシュアランス 代表取締役社長
ネットワンシステムズ セキュリティ事業推進本部本部長
工学院大学 技術者能力開発センター 客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
 大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。(以下、委員などの就任実績)内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
 主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。


壇上でミッキーマウスの帽子をかぶりPCI DSSの非常にシンプルな大原則「不必要なデータは、持たない」、「重要なデータは、保護する。」について強調するPCI SSCのゼネラルマネジャー、ボブ(Bob Russo)氏。

 2008年9月23日から25日にかけて、PCI DSSの策定と普及を担っている団体PCI SSC(PCI Security Council)の年次総会(Community Meeting)が、フロリダ州オーランドで開催されました。SSC会員として出席しましたので、第4回は特別編ということでPCI DSSに関する最新情報をお届けすることにいたします。

 今回の年次総会は、主に次期のPCI DSSのバージョン1.2(現行のバージョンは1.1)に関する説明と最終承認を目的に開催されました。新規バージョン1.2は、今回の総会で承認されたので、10月1日からすでに適用が開始されています。旧バージョン1.1は、今年(2008年)12月末を持って無効とすることが決定しています。移行期間である10月1日から12月31日の間に実施されるPCI DSSへの適合性審査は、新旧いずれのバージョンでも可能ですが、来年1月以降にQSA監査を受ける企業は、新バージョンへの対応が求められるので注意が必要でしょう。

v1.2は、現在PCI SSCのWebサイトにて英語版が公開されています。
また、筆者の所属するネットワンシステムズのホームページで日本語版を公開していますので参照してください。
PCI SSCとはどういう団体か


ボーダレスかつ国際的規模で見ず知らずの犯罪者が手を組んでクレジットカード犯罪が行われている現状について語る米国司法省のキンバリー女史(Kimberly Kiefer Peretti )。

 ここで改めてPCI SSCという組織がどういうものであるかを説明しておきましょう。PCI SSCは、PCI DSSの普及を目的に2006年9月に国際クレジットカード・ブランド大手5社が中心となって設立された団体です。PCI SSC会員は、ビザ・インターナショナルやマスターカードといった「国際カードブランド会社」をはじめ、国際カードブランド会社からライセンスの供与を受けてクレジットカードを発行する「イシュア(Issure)」、加盟店開拓をビジネスとする「アクアイアラ(Acquirer)」、カード決済を利用する「加盟店」(小売店など)やPCI DSSへの準拠性を監査する監査会社「QSA(Qualified Security Assessor)」、PCI DSSの要求にしたがって脆弱性検査を行う検査会社「ASV(Approved Scanning Vender)」、クレジットカードのオーソリ端末を認証審査する「PED Lab(Pin Entry Device Lab)」、さらにPCI DSSへの準拠を指導するコンサルティング会社やPCI DSSの要求事項を実現するためのセキュリティ製品ベンダーなど多種多様な企業で構成されています。

 こうした企業のうち、参加された企業の中から日本人にも馴染み深い企業を一部ご紹介しておきましょう。インテルやAT&T、マイクロソフトといったIT系、L.L.Beanやウォルマートといった流通系、そのほかノースウエスト航空やウォルトディズニー、ニューヨークタイムズ、エクソンモービルなど名だたる企業が名を連ねています。PCI SSCは設立からわずか2年ですが、総会前夜に開催されたレセプション・パーティは、数百人の参加者で賑わっていました。

 今回の総会で発表されたPCI SSCの現時点での規模は、次の通りです。

項目規模
PCI SSCに加盟している企業数500社
QSA(Qualified Security Assessor)164社
QSA監査有資格者1,000名
QSA監査有資格者のうちペイメント・アプリケーション・システムの審査が行えるPA-QSAの有資格者100人
ASV(Approved Scanning Vender)147社
PED Lab(Pin Entry Device Lab)8社
PED認証製品93メーカー、249製品


 PCI SSCは、委員会方式の運営が行われていますが、実質的にマネジメントしているのはゼネラルマネジャーのボブ・ロッソ(Bob Russo)氏です。米国でもPCI DSSの普及の妨げになっている最大の要因がQSAの絶対的な不足にあるといわれる中、短期間に世界的な規模の団体に成長したことは、ボブの功労であるとともに、PCI DSSの仕組みが社会的に求められている1つの証拠ではないでしょうか。600名を越える年次総会の参加者にボブは、終始上機嫌だったのが印象的でした。

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!