PCI DSSは、ISMSと何が違う?
それでは、PCI DSSにはどのような特徴があるのか。山崎氏は、日本で知名度の高い情報セキュリティ関連の規格「ISMS(情報セキュリティマネジメントシステム)」との比較で説明を行なった。
たとえば、パスワードに関してISMSは「パスワードの選択および利用時に正しいセキュリティ慣行に従うことをユーザー)に要求しなければならない」としている。なにが「正しいセキュリティ慣行」なのか示しておらず、具体的とはいえない。
一方、PCI DSSではパスワードの要件として、
- 少なくとも90日ごとに変更する
- 少なくとも7文字以上にする
- 直近4回に使用されたのと同じパスワードは、新しいパスワードとして使用できないようにする
- 連続したアクセス試行を6回以内に制限する
- ロックアウト時間は30分
といった、具体的な「実装要求」を示している。数値で示せるところは数値で示すのが、PCI DSSの特徴といえるそうだ。
PCI DSSを普及させるために
PCI DSSの普及で重要なのが、加盟店の対応だ。加盟店がPCI DSSに対応するには、対応機器の導入など、設備投資が必要となる。そして、セキュリティ対策一般にいえることだが、対応したからといって売り上げが増えるわけではない。そこで、導入のインセンティブとして決済手数料を引き下げると提案、逆に準拠しなければ契約を解除する「脅す」ことで、PCI DSS準拠を広めているケースもあるらしい。
また、米国では州政府がPCI DSS普及に乗り出しているという。たとえば、いくつかの州では、PCI DSSに準拠している状態であれば、カード情報の漏えい事件が生じても、そのことによる訴追を免除するとしている。さらにネバダ州では、クレジットカードを利用している事業者は、PCI DSSに従わなければならないという州法が2010年1月1日に成立したという。
これはPCI DSS普及の強力な後押しとなる法律となっている。チェーン店がPCI DSSに準拠するには、店舗だけではなく決済システムの統括を行なう本部のシステムもPCI DSSに対応する必要がある。つまり、ネバダ州に店舗を持つチェーン店は、本部が他州にあっても対応が必要になるわけだ。
ネバダ州に店舗を持つスターバックスやトイザらスなどが、PCI DSSへの対応を進めており、これにより「セキュリティ機器が飛ぶように売れており、WAF(Web Application Firewall)の売り上げは対前年比の2倍になっている」(山崎氏)という。
この連載の記事
-
第13回
TECH
管理者に優しいペンタのWAF「WAPPLES」を支える技術 -
第12回
TECH
RSAらしさ満載のPCI DSS導入支援サービス -
第11回
TECH
情報元を抑えよ!DBセキュリティを先導する「FortiDB」 -
第10回
TECH
セミナーでわかったバラクーダとアップルの意外な共通点 -
第9回
TECH
今度のインパーバは金庫番+パトロールでDBを守る -
第8回
TECH
脆弱性監査も試用可能!フォーティネット、FortiDBを強化 -
第7回
TECH
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力 -
第6回
TECH
キヤノンIT、偽装ファイルの検出強化のWEBGUARDIAN -
第5回
TECH
白黒はっきりつけたいWAFの最新事情 -
第4回
ネットワーク
雲の中にWAFを設置するアカマイの新サービス - この連載の一覧へ