PCI DSSとは何かを簡単にまとめてみた

PCI DSSとは何かを簡単にまとめてみた

Clock Icon2024.06.05

はじめに

こんにちは。AWS事業本部コンサルティング部に所属している和田響です。

私は新卒で入社した会社で初めてアサインされたプロジェクトが、PCI DSSに準拠したAWSシステム開発プロジェクトでした。
上司から「PCI DSSって何かわかる?」と質問されて、「全くわかりません!!」と答え、まあそうだよなという顔をされたのをよく覚えています。

この記事では当時の私のように「PCI DSSって何?」「聞いたことないよ」という方に対して、PCI DSSの概要を簡単に解説します。
※PCI DSSの各要件準拠に対する具体的な方法については記載しません

PCI DSSとは

PCI DSSを一言で表すと「クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準」で、Payment Card Industry Data Security Standardの略称です。

American ExpressDiscoverJCBMasterCardVISAの国際的なクレジットカード会社5社の共同で設立されたPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

PCI DSS策定の目的

セキュリティ基準の統一

PCI DSSが策定されるまでは各カード会社が独自のセキュリティ基準に従っていました。
明確な業界の統一ルールが存在しなかったため、クレジットカード情報の流出・悪用といった重大な被害が世界中で発生するようになりました。

また、統一ルールが存在しないということは、A社とB社のクレジットカードを取り扱っている加盟店があった場合、A社の基準ではOKだったのにB社の基準ではNGだったということが起こり得ます。

それまで整備されていなかった業界のルールの統一に加え、加盟店側の負担削減もPCI DSS策定の目的と言われています。

セキュリティ対策の底上げ

世界的なインターネットの普及により、ECサイトなど新たな決裁手段が登場した一方で、サイバー攻撃は巧妙化かつ多様化していきました。
クレジットカード本体の偽造防止や、取引時の暗証番号入力での本人確認では不十分となってきました。

そのような背景もあり業界のセキュリティ基準を底上げし、攻撃者からクレジットカード利用者を守り、安全にクレジットカードを利用できるような社会を目指してPCI DSSが策定されました。

PCI DSS準拠の必要性

経済産業省の提示するクレジットカード・セキュリティガイドラインにおいて、以下の事業者に対してPCI DSS に準拠し、これを維持・運用することを求めています。

  • 1号事業者:カード発行会社(イシュアー)
  • 2号事業者:加盟店※
  • 3号事業者:カード会社(アクワイアラー)
  • 4号事業者:決済代行業者等
  • 5号事業者:QR コード決済事業者等
  • 6号事業者:5号事業者の委託会社
  • 7号事業者:加盟店向け決済システム提供事業者

加盟店は、カード情報を保持しない非保持化(非保持と同等/相当を含む)、又はカード情報を保持する場合は PCI DSS に準拠する。とされており、カード情報を持たないようにするか、持つ場合はPCI DSSの準拠を求めています。

また、PCI DSSは定期的に更新されており、PCI DSS v3.2.1の有効期限は2024年3月31日までで、それ以降はPCI DSS v4.0の準拠が求められます。

バージョン 公開日 有効期限
PCI DSS v4.0 2022年3月 未定
PCI DSS v3.2.1 2018年5月 2024年3月31日

PCI DSSの要件

PCI DSS v4.0は以下の計12要件で構成されています。
各要件の配下でそれぞれ詳細な項目が定義されているため、計400項目ほどがあります。

  • 安全なネットワークとシステムの構築と維持
    • 要件1:ネットワークセキュリティコントロールの導入と維持
    • 要件2:すべてのシステムコンポーネントにセキュアな設定を適用する
  • アカウントデータの保護
    • 要件3:保存されたアカウントデータの保護
    • 要件4:オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
  • 脆弱性管理プログラムの維持
    • 要件5:悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
    • 要件6:安全なシステムおよびソフトウェアの開発と維持
  • 強固なアクセス制御の実施
    • 要件7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する
    • 要件8:ユーザの識別とシステムコンポーネントへのアクセスの認証
    • 要件9:カード会員データへの物理アクセスを制限する
  • ネットワークの定期的な監視とテスト
    • 要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
    • 要件11:システムおよびネットワークのセキュリティを定期的にテストする
  • 情報セキュリティポリシーの維持
    • 要件12:組織の方針とプログラムによって情報セキュリティをサポートする

以下のリンクから全用件を確認できます。

PCI DSS認定取得

PCI DSSの認定を受けるためには、カード情報の取扱い形態や規模によって3つの方法があります。
いずれか1つの適用でなく、カード情報の取扱い規模や事業形態によって、複数実施する必要があります。

1.訪問審査

訪問審査はQSAと呼ばれる審査機関が、審査対象の事業者を訪問し認証を行う方法で、カード発行会社(1号事業者)や大規模の事業者に対して行われる認定方法です。

PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。QSAの一覧は、PCI国際協議会のサイトに掲示されています。 カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。

引用:https://www.jcdsc.org/pci_dss.php

2.サイトスキャン

サイトスキャンはASVと呼ばれるベンダーによってスキャンツールを用いて点検を受ける方法で、インターネットに接続している事業者に対して行われる認定方式です。

WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。ASVの一覧は、PCI国際協議会のサイトに掲示されています。 カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。

引用:https://www.jcdsc.org/pci_dss.php

3.自己問診

自己問診はアンケート方式による認定方法で、小規模の事業者に対して行われる認定方式です。

PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。

引用:https://www.jcdsc.org/pci_dss.php

以下のリンクから問診票の日本語版のダウンロードが可能です。

最後に

本記事ではPCI DSSについて簡単にまとめてみました。
「PCI DSSって何?」という疑問が少しでも解消されれば幸いです。

今後はAWS環境におけるPCI DSS準拠について発信していきたいと思います。

参考

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.