TOPセキュリティ > カード業界のセキュリティ基準、PCI DSSの概要(下)

セキュリティ

カード業界のセキュリティ基準、PCI DSSの概要(下)

2020/08/21

Josh Fruhlinger CSO

 PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカードやデビットカードのセキュリティに関する統一的な基準で、カードやその所有者の情報を守るためのサイバーセキュリティの統制や業務手法について定めている。VisaやMasterCardをはじめとするカードブランド5社が設立したPCI Security Standards Councilという組織が管轄しており、カード情報を取り扱う各社はこれに準拠する必要がある。PCI DSSの要件を満たしていることの証明は、自己問診や審査などの方法により行う。きちんと準拠していない企業や、違反が見つかった企業は、罰金を科される場合がある。

前回から続く)

PCI DSS準拠の意味

Credit: Kali9 / Getty Images

 PCI DSSに準拠するには、上に挙げた要件の規定を各社にとって最も適切な形で満たしていくことになる。基準などについてはPCI Security Standards Councilのサイトに情報がある。準拠に至るまでの手順については、例えば米RSI Securityのブログ記事に説明があるが、基本的には次のような流れとなる。

1:自社のPCI DSSのレベルを判断する。レベルとは、年間のクレジットカードの決済件数に応じて企業を分類したもので、例えばレベル1は年間600万件超、レベル4は2万件未満といった形で分かれている。

2:自己問診を完了する。自己問診票はPCI Security Standards Councilのサイトから入手でき、カードデータをどのように扱う企業かに応じて種類が分かれている。例えば、オンラインのカード決済のみを扱い、その処理を外部に委託している企業は「自己問診A」、インターネットにつながったスタンドアロン型の決済端末を使用してカードを処理している企業は「自己問診B-IP」を使う。それぞれの自己問診票では、各社がカードデータを扱う方法に沿った形で、PCI DSSの要件に対する準拠の度合いを判断できる。

3:セキュアなネットワークを構築する。自己問診での回答から、現在のクレジットカードインフラの弱点や、現時点で満たせていない要件を判断し、その穴を埋める。

4:準拠を正式に証明する。準拠証明書(AOC:Attestation of Compliance)という書面を提出することで、PCI DSSの要件を満たしたことを申告する。問診票の項目をすべてクリアしていれば問題ない。

 このように、PCI DSSの問診票は、基準への準拠を確かめるチェックリストの役割を果たす。しかし、すべての項目をクリアしたからといって、セキュリティが万全だと思ってはいけない。CSO.comの今年3月の記事には、米PricewaterhouseCoopersのサイバーセキュリティ&プライバシープラクティスのプリンシパルであるDavid Ames氏の言葉が掲載されている。「準拠の取り組みのみに意識を向けた結果、誤った安心感を抱いた事例や、リソースの配分が適切でなくなった事例も見られる。PCI DSSは、土台となる統制の枠組みとして使用し、リスクマネジメントの実践で補完すること」

↑ページ先頭へ