株式会社テイクーワンのH.Mです。
ノンバンク系システムのインフラ維持保守業務を担当しています。

今回は、クレジットカード業界の情報セキュリティ基準であるPCI DSSについてお話したいと思います。

PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員データを安全に取り扱うために策定された国際的なセキュリティ基準です。
VisaやMasterCardなどの主要ブランドが共同で設立したPCI SSC(PCI Security Standards Council)が運営・管理しており、カード情報およびそれを扱う環境を保護するための技術面、運用面での「最低限、必ず守られるべき統一的なセキュリティ基準」という位置づけになります。

PCI DSSの要件

PCI DSSは、6つの目標とそれに紐づく１２の要件から構成されます。

１．安全なネットワークとシステムの構築と維持
　①ネットワークセキュリティコントロールの導入と維持
　②すべてのシステムコンポ－ネントにセキュアな設定を適用する

２．アカウントデータの保護
　③保存されたカード会員データを保護する
　④公共ネットワークを通過するデータを強力な暗号化技術で保護する

３．脆弱性管理プログラムの維持
　⑤マルウェア対策ソフトを導入・更新する
　⑥セキュリティパッチや安全な開発手法を適用する

４．強力なアクセス制御手法の実装
　⑦業務上必要な人だけがデータアクセスできるよう制御する
　⑧個人のIDで利用者を識別・認証する
　⑨物理的にカード会員データへのアクセスを制限する

５．ネットワークの監視とテスト
　⑩アクセスや処理の記録(ログ)を監視・追跡する
　⑪定期的にシステムやネットワークをテストする

６．情報セキュリティポリシィの維持
　⑫すべての担当者の情報セキュリティに対応するポリシーを整備する

PCI DSSの対応プロセス

PCI DSSへの対応プロセスは、「準備→評価→改善→報告→維持」というサイクルで進めるのが基本となります。

１．準備（スコーピング）

●自社のシステムや業務のうち、クレジットカード会員データを「保存・処理・伝送」する範囲を特定
●PCI DSSの対象範囲を明確にする

２．現状評価（ギャップ分析）

●現状のセキュリティ体制を点検
●PCI DSS 12要件と照らし合わせ、不足点や改善点を洗い出す

３．改善（是正措置）

●脆弱性への対策（パッチ適用、ファイアウォール設定変更など）
●アクセス制御や暗号化の導入
●運用ルール・ポリシーの整備

４．評価・認証

●取引規模に応じて、外部の審査機関(QSA)による審査、または自己問診(SAQ)を実施
●必要に応じてぺ内部スキャンや外部スキャン、ペネトレーションテストを実施

５．報告

●認証結果をカード会社や決済代行会社に提出
●レベル応じて年次報告や四半期ごとのスキャン提出が必要

６．維持

●セキュリティ対策は一度きりでなく継続的にログ監視、定期テスト、ポリシー更新を実施
●新たな脆弱性やシステム変更への対応

最後に

現在のPCI DSSは2022年に公開されたV4.0がベースとなっていますが、今後の課題として

●決済システムクラウド化によるクラウド事業者との共有責任モデルの明確化
●ランサムウェアやフィッシングなど攻撃手法の高度化による新しい脅威への追従
●PCI DSS運用負担の軽減

などが挙げられており、PCI DSSの今後は「新しい環境と脅威にどう対応するか」と「実効性を維持しつつ負担を抑えるか」がカギになると思われます。

（参考）日本カード情報セキュリティ協議会