PCI DSSとは何かを簡単にまとめてみた
2024.06.05はじめに
こんにちは。AWS事業本部コンサルティング部に所属している和田響です。
私は新卒で入社した会社で初めてアサインされたプロジェクトが、PCI DSSに準拠したAWSシステム開発プロジェクトでした。
上司から「PCI DSSって何かわかる?」と質問されて、「全くわかりません!!」と答え、まあそうだよなという顔をされたのをよく覚えています。
この記事では当時の私のように「PCI DSSって何?」「聞いたことないよ」という方に対して、PCI DSSの概要を簡単に解説します。
※PCI DSSの各要件準拠に対する具体的な方法については記載しません
PCI DSSとは
PCI DSSを一言で表すと「クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準」で、Payment Card Industry Data Security Standardの略称です。
American Express、Discover、JCB、MasterCard、VISAの国際的なクレジットカード会社5社の共同で設立されたPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
PCI DSS策定の目的
セキュリティ基準の統一
PCI DSSが策定されるまでは各カード会社が独自のセキュリティ基準に従っていました。
明確な業界の統一ルールが存在しなかったため、クレジットカード情報の流出・悪用といった重大な被害が世界中で発生するようになりました。
また、統一ルールが存在しないということは、A社とB社のクレジットカードを取り扱っている加盟店があった場合、A社の基準ではOKだったのにB社の基準ではNGだったということが起こり得ます。
それまで整備されていなかった業界のルールの統一に加え、加盟店側の負担削減もPCI DSS策定の目的と言われています。
セキュリティ対策の底上げ
世界的なインターネットの普及により、ECサイトなど新たな決裁手段が登場した一方で、サイバー攻撃は巧妙化かつ多様化していきました。
クレジットカード本体の偽造防止や、取引時の暗証番号入力での本人確認では不十分となってきました。
そのような背景もあり業界のセキュリティ基準を底上げし、攻撃者からクレジットカード利用者を守り、安全にクレジットカードを利用できるような社会を目指してPCI DSSが策定されました。
PCI DSS準拠の必要性
経済産業省の提示するクレジットカード・セキュリティガイドラインにおいて、以下の事業者に対してPCI DSS に準拠し、これを維持・運用することを求めています。
- 1号事業者:カード発行会社(イシュアー)
- 2号事業者:加盟店※
- 3号事業者:カード会社(アクワイアラー)
- 4号事業者:決済代行業者等
- 5号事業者:QR コード決済事業者等
- 6号事業者:5号事業者の委託会社
- 7号事業者:加盟店向け決済システム提供事業者
※加盟店は、カード情報を保持しない非保持化(非保持と同等/相当を含む)、又はカード情報を保持する場合は PCI DSS に準拠する。とされており、カード情報を持たないようにするか、持つ場合はPCI DSSの準拠を求めています。
また、PCI DSSは定期的に更新されており、PCI DSS v3.2.1の有効期限は2024年3月31日までで、それ以降はPCI DSS v4.0の準拠が求められます。
| バージョン | 公開日 | 有効期限 |
|---|---|---|
| PCI DSS v4.0 | 2022年3月 | 未定 |
| PCI DSS v3.2.1 | 2018年5月 | 2024年3月31日 |
PCI DSSの要件
PCI DSS v4.0は以下の計12要件で構成されています。
各要件の配下でそれぞれ詳細な項目が定義されているため、計400項目ほどがあります。
- 安全なネットワークとシステムの構築と維持
- 要件1:ネットワークセキュリティコントロールの導入と維持
- 要件2:すべてのシステムコンポーネントにセキュアな設定を適用する
- アカウントデータの保護
- 要件3:保存されたアカウントデータの保護
- 要件4:オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
- 脆弱性管理プログラムの維持
- 要件5:悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
- 要件6:安全なシステムおよびソフトウェアの開発と維持
- 強固なアクセス制御の実施
- 要件7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する
- 要件8:ユーザの識別とシステムコンポーネントへのアクセスの認証
- 要件9:カード会員データへの物理アクセスを制限する
- ネットワークの定期的な監視とテスト
- 要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
- 要件11:システムおよびネットワークのセキュリティを定期的にテストする
- 情報セキュリティポリシーの維持
- 要件12:組織の方針とプログラムによって情報セキュリティをサポートする
以下のリンクから全用件を確認できます。
PCI DSS認定取得
PCI DSSの認定を受けるためには、カード情報の取扱い形態や規模によって3つの方法があります。
いずれか1つの適用でなく、カード情報の取扱い規模や事業形態によって、複数実施する必要があります。
1.訪問審査
訪問審査はQSAと呼ばれる審査機関が、審査対象の事業者を訪問し認証を行う方法で、カード発行会社(1号事業者)や大規模の事業者に対して行われる認定方法です。
PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。QSAの一覧は、PCI国際協議会のサイトに掲示されています。 カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。
引用:https://www.jcdsc.org/pci_dss.php
2.サイトスキャン
サイトスキャンはASVと呼ばれるベンダーによってスキャンツールを用いて点検を受ける方法で、インターネットに接続している事業者に対して行われる認定方式です。
WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。ASVの一覧は、PCI国際協議会のサイトに掲示されています。 カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。
引用:https://www.jcdsc.org/pci_dss.php
3.自己問診
自己問診はアンケート方式による認定方法で、小規模の事業者に対して行われる認定方式です。
PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。
引用:https://www.jcdsc.org/pci_dss.php
以下のリンクから問診票の日本語版のダウンロードが可能です。
最後に
本記事ではPCI DSSについて簡単にまとめてみました。
「PCI DSSって何?」という疑問が少しでも解消されれば幸いです。
今後はAWS環境におけるPCI DSS準拠について発信していきたいと思います。
