コンプライアンスとセキュリティは常に変化しています。その一例として、規制の嵐が吹き荒れる中、今春下旬に発表されたPCIデータセキュリティスタンダード (PCI DSS) のバージョン3.2は、議論を伴いながらもより良いデータセキュリティの方向性を明確に示しています。
PCIは2006年以降広まり、消費者とクレジットカード会社のペイメントデータ保護を目的にしています。そのこと自体価値のあることであり、疑う余地はありません。しかしながら、「PCIが商取引における損失に対してカード会社と銀行の責任範囲を抑える要因となっている」と批判する人もいます。確かに一部ではそう言った事実もあるかもしれませんが、消費者にとっては、誰しもペイメントカードのデータは保護される必要があります。(しかも、消費者にとって「安全な取引が行われること」は、小売業のビジネスを大きく左右します。)
PCIのバージョンは比較的速いペースで登場するので非常に心強いです。2015年4月 にPCI 3.1、翌年の2016年4月にPCI 3.2が公開され、改訂の早さは活発化する新たな脅威への反応と対応への必要性を反映しています。ただ、対応期限は2018年までとなっており、攻撃者にとって18か月というのはアタックに十分な時間であり、やや懸念でもあります。
コンプライアンスを満たすためには大きな労力が必要であり、組織はリスクを評価し、長期間にわたり優先度をつけた実装が必要になります。また、多くの経験豊富な組織では、すでにいくつかのセキュリティ管理を導入済みかも知れません。
認証はセキュリティ上の最も重要な構成要素であり、これを用いることで、信頼できるソースのみ受け入れることができるため、今回追加登録された「多要素認証の要求」は、広く受け入れられています。これは今日の世界では重要なポイントです。2016年 Verizon Data Breach Investigations Report (データ漏洩/侵害調査報告書) でも、漏洩侵害の63%が、パスワードの脆弱性、初期設定や盗難によるものであることが明らかにされています。過去のPCIのバーションでは、信頼できないネットワークからのリモートアクセスのみ多要素認証を必要としていましたが、今回の改定は正しい方向への改善と言えます。
また、サービスプロバイダに対し「セグメンテーション制御のペネトレーションテストを少なくとも6か月ごとに実施する」とした新しい要件も注目に値します。この作業は費用と時間がかかりますが、多くの労力をつぎ込むことで攻撃者の侵入を検知できます。これは、潜在的な脆弱性を特定する脆弱性検査と置き換えて行うのでなく、多層防御として実施する必要があります。
最終的にPCI 3.2は、サービスプロバイダに対して、より強固なセキュリティ対策を要求事項として加えました。これは合理的なことと言えます。なぜなら、サービスプロバイダが外部機関に彼ら自身のIT部門を委託したならば、当然要求するセキュリティガイドラインのレベルであるからです。また、SSLとTLSの旧バージョンの削除及びマイグレーションに関する最終期限は延長されました。
こう言った大きな取り組みの中、これらのプロトコルの弱点を考慮する必要があり、少なくとも、組織は優先事項としてリスクが高くクリティカルな環境を特定しておくべきです。 The Tripwire PCI solutionではPCI 3.2コンプライアンスの達成をサポートします。
PCIは常に多くの批判を受けています。今年上旬、アメリカ連邦取引委員会 (FTC) は、9つの企業に、PCI DSSコンプライアンスの計測のために企業がどのように評価を行っているか、情報を当局に情報提供するよう命じました。FTCは、潜在する法外な料金請求や違法請求、カードブランドの影響や横行する利益相反などについての捜査を実施しました。
このような動きに戸惑うことはありませんが、単純にコンプライアンスを受け入れるだけでは、利害関係者や規制当局に対して複雑な規制された市場をもたらすだけです。最終的に、PCI DSSの本来の目的である「データセキュリティ基盤の構築」に目を向ける必要があります。
最近のFTCに対する全米小売業協会 (NFR) の書簡では、PCI DSSを実行可能な基準やベストプラクティスと考えないよう、FTCに求めています。またNFRは、「PCIは正式な規制機関ではない」と言った、PCIのとらえ方として興味深い見解を示しています。私自身はPCIをビジネス間 (カード会社とマーチャント) の業界内の契約と考えています。顧客にカード決済の使用を選択肢に持って欲しいと考えるなら、このガイドラインに従い保有するカードに関連するデータの安全に努めるべきです。
PCI 3.2は、データセキュリティ目的を合わせ持つ多くの規則の潮流の1つです。その中でも非常に大きな潮流は、EUの一般情報保護制定 (GDPR) です。これは今年上旬に発表され、2018年に適用されます。これはEUで生まれたものですが、 GDPR はグローバルな影響を及ぼします。
EU市民のIPアドレスを含むいかなる情報を取り扱うすべての組織は、その所在地にかかわらず、GDPRを遵守する必要があります。つまりEUの顧客相手に取引をする全てのオンラインマーチャント(事業者)は従わなければならないのです。データの機密性保護とセキュリティ対策を中心として、GDPRの適用範囲はPCIよりも広くなっています。
GDPRとPCIの相乗作用に対してTripwireがどのように対応するか、ご期待ください。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。
