クレジットカードのセキュリティ基準:PCI DSSについて
現在、クレジットカードに対するサイバー攻撃は年々増加しており、2014年には100億円程度だった被害総額が、23年は過去最大の541億円にまで上りました。経済産業省はカード会社や加盟店に対して、本人認証を強化するシステムの導入を求めているものの、その被害が増加することが見込まれています。こうした状況の中で、クレジットカードのセキュリティを担保し、より安全に利用するためにはクレジットカードに特化したセキュリティ基準が必要です。そこで今回はクレジットカードのセキュリティ基準であるPCI DSSについて説明します。
クレジットカードセキュリティ基準:PCI DSSとは
概要
PCI DSSとは、クレジットカード会員の情報を保護することを目的とした、クレジットカード業界のセキュリティ基準になります。
2000年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されました。
PCI DSS、ISO/IEC 27001、Pマークとの違い
セキュリティ基準を知るに当たってISO/IEC 27001、Pマークが一般的によく知られた用語である一方で、PCI DSSとの違いについて説明します。
ISO/IEC 27001はクレジットカード情報を含む組織が保有する情報全般のマネジメントシステムになります。一方で、プライバジーマーク(Pマーク)は個人情報に特化したセキュリティ基準であり、 PCI DSSはクレジットカード情報保護に特化したものになっています。
PCI DSS策定の背景
PCI DSSが策定されるまでは、カード会社が独自にセキュリティ基準を定めていたため、明確な統一ルールが存在せず、クレジットカード情報が流出・漏洩するインシデントが多発していました。またインターネットの普及によりECサイトなどの新たな決済手段が登場したことで、サイバー攻撃が巧妙化かつ多様化され、その結果、カード情報の流出事故は大規模になってきました。
このような状況を鑑みクレジットカード会社は共同で、セキュリティリスクの低減とセキュリティ管理の効率的な運用を目的とした、統一的なセキュリティ基準を策定しました。それがPCI DSSです。
策定当初は、なかなか必要性が認知されませんでしたが、2012年に日本クレジット協会が準拠の実行計画を公表したことで、PCI DSS準拠を意識した行動計画の作成が始まりました。
対象となる組織
カード情報を「保存・処理・伝送」する組織であるカード加盟店は、年間のカード取引量に応じて、PCI DSSに準拠する必要があります。
なお、カード取引量がPCI DSS準拠の基準に満たさなくとも、各カード会社が制定しているセキュリティ基準に準拠する必要があります。
※以下一例です。
金融業
クレジットカード会社、クレジットカード発行金融機関
流通業
大手百貨店、スーパー、鉄道、航空会社
通信 / メディア
携帯電話会社、通信会社、新聞
期待できる効果
このPCI DSSを取得することで、以下の効果が期待できます。
企業価値(信用、ブランド)の向上
不正アクセスから顧客サイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減
VISAでは、加盟店等からカードに関する情報が流出して不正利用された場合、その加盟店がPCI DSSに準拠していれば、その管理責任者のあるカード会社に求められる損害補償の義務が免除される
PCI DSSで求められる要件
PCI DSSでは、カード会員情報を適切に管理するために6つの目的を達成するために、ネットワークアーキテクチャ、セキュリティマネジメント、ポリシー、プロシジャなどに関する基準が12の要件として規定されています。
目的1:安全なネットワークとシステムの構築と維持
要件1:カード会員データを保護するために、ファイアーウォールをインストールして維持する
要件2:システムパスワード及び、セキュリティパラメータにベンダ提供のディフォルト値を使用しない
目的2:カード会員情報の保護
要件3:保存されるカード会員データを保護する
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合は、暗号化を行う。
目的3:脆弱性プログラムの維持
要件5:マルウェアにして全てのシステムを保護し、ウイルス対策ソフトを定期的に更新する
要件6:安全性の高いシステムとアプリケーションを開発し、保護する
目的4:強力なアクセス制御手法の導入
要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8:システムコンポーネントへのアクセスを識別・認証する
要件9:カード会員データへのアクセスを制限する
目的5:ネットワークの定期的な監視及びテスト
要件10:ネットワークリソース及び、カード会員データへのすべてのアクセスを追跡および監視する
要件11:セキュリティシステム及びプロセスを定期的にテストする
目的6:情報セキュリティポリシーの維持
要件12:全ての担当者の情報セキュリティに対応するポリシーを維持する
出典:Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順 バージョン3.0 2013年11月
これら12の要件は、さらに詳細な400項目ほどに細分化されて規定されています。
PCI DSS対応の進め方
では、PCI DSSを取得するにあたり、どのような手順で準拠対応を進めていけば良いのでしょうか。上記の要件項目だけを見れば、意外と簡単そうに見えるPCI DSSですが、実際には想像以上の工数がかかります。
PCI DSS対応のプロセス
PCI DSS準拠対象範囲の選定
まずはカード会員情報の取り扱い範囲を特定し、それを元にPCI DSS準拠対応が必要な範囲を特定します。PCI DSS準拠対応においては、この最初の対象範囲(スコープ)を見極めて確定する作業が非常に重要になります。
改善計画の立案
現在のシステムのセキュリティ対策状況を確認し、PCI DSSの要求事項とのギャップを分析します、分析結果を元に改善計画書を策定します。
実装と確認
改善計画に基づいて、設計書などの変更、システムの実装および運用手順書の作成・変更を行います。
テスト実施と本審査
内部スキャンや外部スキャン、ペネとレーションの実施や結果の確認・対応を行います。また、ASVが行うスキャンの実施や検出事項の対応等の調整も必要になってきます。
対応方法について(自社で対応すべき or アウトソーシング?)
PCI DSS取得するにあたり、全て自社対応する場合のメリットは、ノウハウが自社内に蓄積されることです。
しかし、上記の通り、対象範囲確定から計画立案、実行、テストまで一連のプロセスを全て自社で対応するのは知識や経験面から困難なケースが多いのも現実にあります。
一方、一連の準拠対応作業の全てまたは一部をアウトソースすれば、初めての対応であっても比較的スムーズに進めることができる一方で、コストがかかります。
どちらを選択するかは、社内のリソース状況やコストなどにより総合的に判断すべきですが、まったくの未経験で全てを自社対応する場合、多くの工数と苦労が発生することを認識しておく必要があります。
社内のリソースやノウハウ、またパートナー企業の対応可能範囲や必要なコストなどによって最適な方法を選択しましょう。
まとめ
本記事では、クレジットカードにおけるセキュリティ基準であるPCI DSSについて概説いたしました。以下に要点を箇条書きでまとめます。
PCI DSSとはクレジットカード会員の情報を保護することを目的とした、クレジットカード業界のセキュリティ基準であり、2000年に国際カードブランド会社よって策定されました。
PCI DSSとISO/IEC 27001、Pマークの違いは以下になります。
ISO/IEC 27001:クレジットカード情報を含む組織が保有する情報全般のマネジメントシステム
プライバジーマーク(Pマーク):個人情報に特化したセキュリティ基準
PCI DSS:クレジットカード情報保護に特化したセキュリティ基準
PCI DSS策定前はカード会社が独自にセキュリティ基準を定めていたため、クレジットカード情報が流出・漏洩するインシデントが多発していました。
PCI DSS策定することで、「企業価値(信用、ブランド)の向上」や「不正アクセスから顧客サイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減」することが可能となります。
PCI DSSでは、12の要件が定義されており、この要件を満たすことでカード会員情報を適切に保護できる
自社においてPCI DSSの要件を遵守するために自社対応とアウトソーシングのいずれを選択するかは、社内のリソースや専門知識、加えてパートナー企業の対応可能範囲および必要となるコストを総合的に勘案し、最適な方策を慎重に検討する必要があります。