2004年以降、クレジットカードの加盟店はPCIデータセキュリティ基準(PCI DSS)の継続的な準拠に取り組んできました。
この規制は、6つの基本的な統制目標と12の中核要件から成り、顧客の支払いカードデータを保護することを目的としています。また、セキュリティイベントの発生時に加盟店が損失を被った場合に、カード発行者や銀行が責任を制限するうえでも役立ちます。
PCI DSSは標準規格として策定されて以来、8回の改訂を行っています。最も新しいPCI DSS Ver3.2は、2016年4月に施行されました。このバージョンでは、いくつかの重要なサブ要件が取り入れられました。
たとえば、サブ要件2.2.3、2.3、4.1は、加盟店がSSLとTLSの古いバージョンから移行する期限を延長しています。一方で、サブ要件8.3は、加盟店に多要素認証の導入を開始することを要求しています。
Tripwireのシニア・プロダクト・マーケティングマネージャーであるKathy Trahanは、今日のデジタル世界では、8.3による変化が歓迎されると考えています。彼女はブログ記事で次のように説明しています。
「“…[多要素]認証は、信頼できるソースのみの認証を保証するという点で、セキュリティにおけるバックボーンであると言えます。これは今日の世界では重要な施策です。Verizon 社の 2016 年データ侵害調査レポートでは、侵害の63%は、弱いパスワードやデフォルトのパスワードを使用したこと、あるいはパスワードが盗まれたことが原因で発生しています。以前のPCI DSSバージョンでは、信頼できないネットワークからのリモートアクセスに対してのみ、多要素認証を要求していました。今回のアップデートは、正しい一歩であると言えるでしょう。」
多要素認証のようなPCI DSSのサブ要件を満たすべく努力することは、企業が顧客のデータをより確実に保護するうえで役立ちます。しかし、これらの基準を遵守しても、企業が安全を確保できるとは限りません。
たとえば、ファイルの整合性の監視自体は良い考えですが、IT担当者が不正な変更と正当な変更とを区別することができない場合には意味をなしません。さらに、監査に合格するためにのみ、PCI DSSを重要視している企業も存在します。継続的なコンプライアンス順守により、組織の効率が向上しリスクが低減される可能性がある一方で、そのような企業では単に時間とリソースの無駄となるでしょう。
企業が基準を最大限に活用するためには、「PCI DSSの順守とは、単にチェックボックスを埋める作業ではなく、ビジネスにおける行程である」と捉える必要があります。そうすることで、一般データ保護規則(GDPR)のようなフレームワークに準拠するだけでなく、セキュリティの強化も目指せるようになるでしょう。
問題は、クレジットカードの加盟店がこの新しい考え方をどのように受け入れることができるかということです。
シニアシステムエンジニアであるPaul “PJ” Norrisが、2017年1月26日に開催される第14回PCI Londonのセッションでこの疑問に対する答えを導きます。
トリップワイヤ・ジャパンでは、PCI DSS 3.2 ホワイトペーパー「PCI DSS 3.2優先度順チェックリスト」をご用意しています。詳しくはこちらよりダウンロードいただけまます。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。
