開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2015/04/28

PCI DSSとは何か?カード会社や加盟店らがスムーズに準拠するための3つのポイント

クレジットカード会社や決済代行会社、一部加盟店に対してPCI DSS(Payment Card Industry Data Security Standard)への準拠が求められている。そもそもクレジットカード情報の盗難や不正利用は依然として相次いでおり、業界が一丸となって取り組むべきテーマでもある。そこで本稿では、PCI DSSが策定された背景、そしてPCI DSS準拠に向けた取り組みをスムーズに進めるための3つポイントを概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。

デロイト トーマツ サイバーセキュリティ先端研究所 須田 芳功

デロイト トーマツ サイバーセキュリティ先端研究所 須田 芳功

デロイト トーマツ サイバーセキュリティ先端研究所 研究員。情報セキュリティ会社に入社後、情報セキュリティポリシーの策定や改定の支援、管理的セキュリティにおけるリスクアセスメント、セキュリティ監査、セキュリティ診断業務等に従事。DTRS入社後はPCI DSS準拠支援を担当。CISSP(公認情報システムセキュリティ専門家)、Comptia Security+、情報セキュリティアドミニストレータ、情報セキュリティスペシャリスト等の資格を有する。


PCI DSSとは何か

photo
 PCI DSSとは、クレジットカードの会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準である。

 クレジットカードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(PCI Security Standards Council:PCI DSSの開発、管理、教育、および認知を担当する組織)によって運用、管理されている。

 PCI DSSの準拠対象には、クレジットカード会社、決済代行会社などのクレジットカード情報を取り扱う事業者が該当するが、加盟店についても年間クレジットカード売上件数および取引形態によっては対象となる。

 PCI DSSはクレジットカード業界における民間基準として策定されたものだが、日本では2011年3月にJCA(Japan Consumer Credit Association:一般社団法人日本クレジット協会)が発行した「日本におけるクレジットカード情報管理強化に向けた実行計画」において、クレジットカードの情報保護基準をPCI DSSに置くことが公式に発表された。

 その中では、クレジットカードによる年間売上件数や年間発行枚数に応じてレベルごとにPCI DSS準拠の対応期限(取引形態に応じて2012年9月から2018年3月にかけて年月が設定されている)が示されている。

 また、経済産業省の「クレジットカード決済の健全な発展に向けた研究会」が2014年7月に発表した中間報告書では、2020年の東京オリンピックに向けて『世界で最もクレジットカード利用が安心・安全な国 日本』というキーワードのもと、PCI DSSへの準拠は効果的な取り組みであると記載されている。

 直近では、2015年3月に経済産業省が設立した「クレジット取引セキュリティ対策協議会」の活動方針の中に『カード情報の保護について』としてPCI DSS準拠に関する内容が含まれている。

PCI DSS準拠の概要と課題

関連記事
 上記のとおり、JCAの実行計画において対応期限が示されており、経済産業省からは研究会や協議会を通じてPCI DSSへの準拠について言及されているが、実際にはクレジットカード業界のすべての企業が適切にPCI DSSに準拠できているわけではないのが現状だ。

 そもそもJCAの実行計画に従わなかった場合の具体的なペナルティが不明確なため、切迫感がなく、PCI DSSへの準拠に向けて取り組まないまま時間が過ぎてしまった企業もあるのではないだろうか。

 PCI DSSに準拠するためには、12の要件(表1)があり、その要件に合致するようにルールを変え、システムを改修し、運用すれば良い。言葉で言うとそれだけではあるが、実際に取り組みを開始すると容易には進まない。

表1 PCI データセキュリティ基準の概要
分類要件番号要件
安全なネットワークとシステムの構築と維持1カード会員データを保護するために、ファイアウォールをインストールして維持する
2システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護3保存されるカード会員データを保護する
4オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持5すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
6安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入7カード会員データへのアクセスを、業務上必要な範囲内に制限する
8システムコンポーネントへのアクセスを識別・認証する
9カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト10ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持12すべての担当者の情報セキュリティに対応するポリシーを維持する

 要件を1つ取っても全社的に対応する必要があるのか、個々のシステムで対応すればよいのかを読み解く必要がある。そして、対応する箇所を決定しても、複数部署の思惑の違いや、リソースなどの事情が入り交じるため、部署間でコンフリクトが発生し、対応の具体的な内容を定めることも一筋縄ではいかない。

 たとえば、PCI DSSの要件10に記載されているログの取得であれば、PCI DSS対応を推進する企画部と、ログ収集システムを運用する運用部では、システムの仕様などの事情もあり、取得対象のコンポーネントや、イベントおよびエントリの内容について、認識にギャップが生じることが考えられる。

 また一般的にはログの収集側と、取得および提出側の両システムにおいて改修が必要になるため、金銭的、および人員的なリソースについても認識にギャップが生じることが多い。

 JCAの実行計画において、クレジットカード会社や一部加盟店の対応期限は2018年3月であり、期限までまだ3年弱あるが、システムの現状を調査し改修内容を定め、設計して実際に改修する期間を考慮すると、決して十分な時間があるわけではない。また、冒頭で述べた2020年の東京オリンピックに向けても残り5年となっている。

PCI DSS準拠をスムーズにするための3つのポイント

 このような状況の中、PCI DSS準拠をスムーズに対応するためのポイントとして、「体制作り」「自社の状況に合う対策」「関係部署との対話」の3つについて解説しよう。

ポイント1:体制作り

 PCI DSS準拠に限らず、企業において取り組みがスムーズに進まない理由の1つに、体制が整っていないことが挙げられる。

 企画部が先頭に立ってPCI DSS準拠対応を進めようとしても、開発部や運用部のように実際にシステムを取り扱う現場の部署と、PCI DSSの要件に対する認識や、準拠に向けた意欲にギャップがあり、中々対応が進まないケースや、部署ごとの予算が縦割りで定められるため、複数部署で共同実施する対策に充てる予算を確保することができず、暗礁に乗り上げてしまうケースがある。

 このような状態に陥らないためには、部署横断的なステアリングコミッティを立ち上げ、座長には取締役や執行役員のような上級管理職に就いてもらうことで、対策の推進力、強制力を働かせることができる。また、PCI DSS準拠対応を実施する現場側においても、PMO(Project Management Office:プロジェクト推進組織)を設置することで、各部署の状況を考慮した部署間での横串の連携が期待できる。

【次ページ】外部コンサルタントを評価する3つのポイント

金融業IT ジャンルのトピックス

金融業IT ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!