開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2009/01/07

PCI DSSから学ぶグローバルセキュリティ標準(4)QSA監査基準からPCI DSSの原則を見る

クレジットカード会員情報を保護するための事実上の国際標準規格で、2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている「PCI DSS:Payment Card Industry Data Security Standard」。第4回はPCI DSSへの準拠性について監査し、証明するためのQSA(Qualified Security Assessor:認定監査機関)で求められる監査基準から、PCI DSSの原則を読み解く。(執筆:山崎文明)

山崎文明

山崎文明

ビジネスアシュアランス 代表取締役社長
ネットワンシステムズ セキュリティ事業推進本部本部長
工学院大学 技術者能力開発センター 客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
 大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。(以下、委員などの就任実績)内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
 主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。

QSA監査基準からPCI DSSの原則を見る

 PCI DSSには、PCI DSSへの準拠性について監査し、証明するためのQSA(Qualified Security Assessor:認定監査機関)という仕組みが用意されている。QSAとは、企業とその企業に従業員の双方が、PCI DSSに準拠していることを認定された機関となる。

 PCI DSSがセキュリティに関する実装基準であり、要求事項が具体的に示されていることは何度か述べたが、実は、PCI DSSをより正確に理解しようとするならQSA監査基準を理解する必要がある。なぜならば監査基準には、より具体的な例が記述されているからだ。

 たとえばPCI DSSの要求事項9.1では、「9.10.1 カード会員データを再現できないよう、ハードコピー資料を裁断、焼却、またはパルプ化する。」と定められており、不要になったカード会員データを含む媒体を破棄することを求めている。

 この要求事項に対してQSA監査として実施すべきテスト手順には「9.10.1.a ハードコピー資料が、再現できないことを合理的に保証するように、クロスカット裁断、焼却、またはパルプ化されていることを確認する」と記述されており、「裁断」が「クロスカット裁断」でなければならないことがわかる。一見非常に細かいようだが、クロスカットではなく、いわゆるスパゲティカットで裁断してしまった場合、裁断片をイメージリーダーで読み取り、自動的に裁断片を元通りに配列して修復してしまうツールが出回っていることに配慮した結果である。

 こうしたテスト手順の理解が要求事項の正確な理解につながるとの判断から、2008年10月1日から適用が開始されたPCI DSSの新バージョン1.2からは、要求事項とテスト手順が並列に記載されている。

 このように、PCI DSSをQSA監査の視点で捉えるとセキュリティに対する「原則」がさらに見えてくるのである。

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!