PCI DSSとは2004年12月にVISA、JCB、Master Card、American Express、Discoverの国際ペイメントブランド5社によって策定された、クレジットカード情報及び取引情報を保護するためのグローバルスタンダードです。
クレジットカード会社のホームページにて、セキュリティ要件を確認すると必ず見かけることができます。
そしてPCI DSSはクレジットカード業界では当然のこと、まったく関係のない企業においても同基準の考えを採用していることもあるのです。理由はクレジットカード情報の保護に留まらず、企業システム全体を保護するための施策が体系的に示されており、PCI DSSの考えを採用することで、自社のセキュリティコントロールの有効性を継続的に監視し、環境を維持することがそのままセキュリティの信頼性につながるからです。
もしかすると、本記事を読まれている方の中には新規事業や取引先との関係で準拠が求められているのではないでしょうか?ならばまずはPCI DSSの基本的なことから知る事が先決ですね。
今回はそんな方に向け、PCI DSSをわかりやすく解説していきたいと思います。
PCI DSS策定の背景はセキュリティ基準の標準化にあり
PCI DSSが策定される以前のクレジットカード業界では、各社独自の基準を設けていることが少なくありませんでした。このため複数社のクレジットカードを取り扱う企業ではそれぞれのセキュリティ基準を満たす必要があり、必然的にリードタイムやコストが肥大化してしまっていたのです。
これはクレジットカード会社にとっても取り扱い企業にとってもデメリットだということで、前述した国際ペイメントブランド5社が集まりPCI DSSを策定するに至りました。ちなみに認定審査会社の教育などに関しても同5社が実施しています。
PCI DSSが策定されたことによりクレジットカード取り扱い企業では一つのセキュリティ基準に準拠することで、複数のクレジットカードを取り扱えるようになったのです。
PCI DSSへ準拠するために必要な12の要件
PCI DSSへ準拠するためには12の要件を満たす必要があります。まずは全ての要件を簡単にまとめてみました。
これらの要件だけを見ればさほど準拠は難しいようには感じませんが、さらに各要件が複数の項目にブレイクダウンされています。
例えば要件2では以下のようにブレイクダウンされています。
いかがでしょうか?各項目ではテスト手順も明確に決められているので、全ての項目へ準拠することは決して簡単ではありません。しかしこうしてセキュリティ基準を体系的かつ定量的に策定しているからこそ、PCI DSSへ準拠することでセキュリティにおける信頼性を確保することができます。
PCI DSSへ準拠するために大切なこととは?
PCI DSSとは導入するセキュリティソリューションによって準拠の難易度が大きく左右されるセキュリティ基準でもあります。従って「どんなセキュリティソリューションを入れるか?」というのが非常に重要なのです。
例えば改ざん検知システムとして広く普及しているTripwire(トリップワイヤ) Enterpriseは、PCI DSSの要件11を満たすために重要なソリューションです。
要件11.5では以下のように改ざん検知システムなどのツール導入が明確に定義されています。
“変更検出メカニズム(ファイル整合性監視ツールなど)を導入して重要なシステムファイル、構成ファイル、またはコンテンツファイルの不正な変更を担当者に警告し、重要なファイルの比較を少なくとも週に一度実行するようにソフトウェアを構成する。”
つまりPCI DSSへ準拠するためには、Tripwireの導入が事実上不可欠ということです。だからこそTripwireは官公庁や金融機関を中心に1,000社近くの導入実績があります。
さらにPCI DSSの要件の中には、システム構成や維持に関する要件が数多くあります。
要件1ではネットワーク機器、要件4~6ではアプリケーション、要件2~3・7~8ではオペレーティングシステムなど、これがPCI DSSの準拠難易度が導入するセキュリティソリューションによって左右される所以です。
ですので今後PCI DSSへ準拠する必要がある、あるいはセキュリティの信頼性向上のために検討してみようという企業では、まず「どのようなセキュリティソリューションを導入すべきか?」も考えていただきたいと思います。
まとめ
PCI DSSへの準拠は簡単ではありませんが、複数のクレジットカードを取り扱えるというメリットやセキュリティの信頼性が向上するということは間違いありません。ですのでセキュリティカードに関係ない企業でも、このPCI DSSの考え方を是非通常のプロセスにセキュリティを実装するベストプラクティスとして取り入れてみてはいかがでしょうか?
サイバー攻撃が深刻化の一途を辿っている現代ビジネスにおいて、セキュリティの信頼性は取引を判断する上で非常に重要なポイントです。
いずれクレジットカード取り扱い企業でなくとも当たり前のようにPCI DSSの考え方を取り入れているという時代が到来するのではないかと思います。
PCI DSSへの準拠難易度を削減するために、是非一度Tripwire Enterpriseを検討してみてはいかがでしょうか。準拠の助けとなるだけでなく企業システム全体のセキュリティを向上させるソリューションです。