会員限定
2009/01/07 掲載

PCI DSSから学ぶグローバルセキュリティ標準（4）QSA監査基準からPCI DSSの原則を見る

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

セキュリティ総論

|

タグをもっとみる

クレジットカード会員情報を保護するための事実上の国際標準規格で、2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている「PCI DSS：Payment Card Industry Data Security Standard」。第4回はPCI DSSへの準拠性について監査し、証明するためのQSA（Qualified Security Assessor：認定監査機関）で求められる監査基準から、PCI DSSの原則を読み解く。（執筆：山崎文明）

執筆：山崎文明

山崎文明

ビジネスアシュアランス代表取締役社長
ネットワンシステムズセキュリティ事業推進本部本部長
工学院大学技術者能力開発センター客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
　大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。（以下、委員などの就任実績）内閣官房安全保障危機管理室　情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員（経済産業省）、サイバーテロ演習評価委員会委員（経済産業省）、不正プログラム調査研究委員会委員（警察庁）、サイバーセキュリティ調査研究委員会委員（警察庁）
　主な著書に「PCIデータセキュリティ基準　完全対策」（日経BP社監修）「すべてわかる個人情報保護」（日経BP社）、「情報セキュリティと個人情報保護　完全対策」（日経BP社）、「情報セキュリティハンドブック」（オーム社共著）、「システム監査の方法」（中央経済社共著）、「コンティンジェンシー・プランニング」（日経BP社共著）、セキュリティマネジメント・ハンドブック（日刊工業新聞社　共著）などがある。

連載一覧

▲ 閉じる ▼ すべて表示

QSA監査基準からPCI DSSの原則を見る

　PCI DSSには、PCI DSSへの準拠性について監査し、証明するためのQSA（Qualified Security Assessor：認定監査機関）という仕組みが用意されている。QSAとは、企業とその企業に従業員の双方が、PCI DSSに準拠していることを認定された機関となる。

　PCI DSSがセキュリティに関する実装基準であり、要求事項が具体的に示されていることは何度か述べたが、実は、PCI DSSをより正確に理解しようとするならQSA監査基準を理解する必要がある。なぜならば監査基準には、より具体的な例が記述されているからだ。

　たとえばPCI DSSの要求事項9.1では、「9.10.1 カード会員データを再現できないよう、ハードコピー資料を裁断、焼却、またはパルプ化する。」と定められており、不要になったカード会員データを含む媒体を破棄することを求めている。

　この要求事項に対してQSA監査として実施すべきテスト手順には「9.10.1.a ハードコピー資料が、再現できないことを合理的に保証するように、クロスカット裁断、焼却、またはパルプ化されていることを確認する」と記述されており、「裁断」が「クロスカット裁断」でなければならないことがわかる。一見非常に細かいようだが、クロスカットではなく、いわゆるスパゲティカットで裁断してしまった場合、裁断片をイメージリーダーで読み取り、自動的に裁断片を元通りに配列して修復してしまうツールが出回っていることに配慮した結果である。

　こうしたテスト手順の理解が要求事項の正確な理解につながるとの判断から、2008年10月1日から適用が開始されたPCI DSSの新バージョン1.2からは、要求事項とテスト手順が並列に記載されている。

　このように、PCI DSSをQSA監査の視点で捉えるとセキュリティに対する「原則」がさらに見えてくるのである。

この続きは
会員限定（完全無料）です

ここから先は「ビジネス+IT」会員に登録された方のみ、ご覧いただけます。

今すぐ登録(無料)

今すぐビジネス＋IT会員に
ご登録ください。

すべて無料！今日から使える、
仕事に役立つ情報満載！