クレジットカード情報を守るためのグローバルスタンダードであるPCI DSS。日本クレジット協会と経済産業省では2018年3月の対応期限を設けていることをご存知でしょうか?
これは国内におけるクレジットカードのセキュリティ環境を2020年までに国際基準に到達させるためです。eコマース事業者はもちろんPOS加盟店やクレジットカード情報を取り扱う企業では、PCI DSSへ準拠しなければなりません。
しかし準拠と言ってもどこから始めればいいのか?今回はこのあたりをいくつかのポイントで解説していきたいと思います。
1. PCI DSSの要件と基本的な管理策について知る
まずはPCI DSSの準拠に必要な12の要件と、その基本的な管理策について簡単にまとめてみました。
上記の表を見ると管理策としてそれぞれの要件に必要とされるセキュリティシステムが存在します。しかし、多くの企業ではすべてのセキュリティシステムを導入するリソースを確保するのは難しいでしょう。
2. PCI DSS準拠における業務の縮小化
PCI DSS準拠にはセキュリティシステムの導入や管理費などそれなりのコストがかかってしまいます。従ってできるだけコストを削減する必要があり、そこで行うべきが業務の縮小化です。
簡単に言えば「業務効率化でコストダウンしていこう」ということですが、セキュリティ上効率化できる部分とはどこでしょうか?
一般的なのはカード会員情報の伝送・処理、保管範囲を縮小することやアクセス認証の方法を見直して、できる限りシステム化することです。すべてとはいかずとも特定の業務をシステム化できれば、その分効率化になりコストダウンに繋げることができます。
また、いくつかのセキュリティシステムは準拠業務の“効率化”をするためと考えれば、別の視点からコスト計算することができます。
3. 組織全体を監視するセキュリティシステムの導入
先ほど表と共にPCI DSSの準拠要件について紹介しましたが、管理策はあくまで基本的なものです。必ずしもすべてのセキュリティシステムを揃える必要はありません。つまり組織全体を監視できるセキュリティシステムを導入すれば、大幅なコストカットと準拠期間の短縮を狙うことができます。
ちなみにそのセキュリティシステムの最たるものとは要件11の管理策にある「改ざん検知」です。実は改ざん検知の中でも特定の製品はPCI DSS準拠のため、幅広い領域をカバーできることで知られています。(改ざん検知といっていますが、要は変更検知、システム構成の変更からファイルの改ざんまでシステムに関わる変更を管理)その改ざん検知こそ「Tripwire(トリップワイヤ) Enterprise」なのです。
4. Tripwire Enterpriseがカバーする10の領域
先ほど紹介したPCI DSSの要件をもとに、Tripwire Enterpriseがカバーできる領域についてまとめてみました
ご覧の通り、Tripwire Enterprise一つで12のうち10の要件をカバーすることができます。システム化できる領域が非常に広いことから、Tripwire EnterpriseはPCI DSS準拠に事実上必要なセキュリティシステムだと言えます。
まとめ
いかがでしょうか?PCI DSSの要件をできる限り人と手で満たそうとするとどうしても膨大な量の業務を生んでしまい、結果的に情報システムを圧迫してしまう原因になります。
従ってセキュリティシステムの導入は必須であり、またどのセキュリティシステムを選ぶかで準拠への難易度が大きく左右されるのです。
今後PCI DSS準拠を目指す皆さんは是非今回のポイントを押さえてコスト削減と業務効率化を含んだ準拠を目指してください。
