最近、セキュリティ業界ではPCI DSSというキーワードをよく耳にする。筆者はここ2年ほどPCI DSSを眺めてきたが、PCI DSSの要件の並び順はシステム管理者、特にネットワーク管理者には受け入れやすいものであると感じている。この解説を通してネットワーク管理の視点からWebのセキュリティ確保の考え方を理解していただければと考えている。
ITセキュリティの新基準
PCI DSSとは、クレジットカードやキャッシュカードなども含めた支払いカード業界(Payment Card Industry)におけるデータセキュリティ基準(Data Security Standard)のことであり、この頭文字を取ってPCI DSSと呼ばれている。カード情報の漏えい事件が多発している今日では、PCI DSSを遵守させることに対する国際カードブランドの動きが活発化することは疑う余地がない。また、米国におけるPCI DSSを取り入れた州法の制定、あるいは日本における改正割賦販売法の動向等、今後PCI DSSは活発に議論されている。今後はクレジットカード情報の保護に止まらず、広く重要情報を保護するためのベンチマークとしての役割を担うことになると思われる。
このような状況下、ITネットワークセキュリティの実装基準として、PCI DSSの有用性は確実に定着していくものと筆者は考えている。すなわち、ネットワーク管理者においては、単にネットワーク構成のみに注視した運用管理を行なう時代は過ぎ去り、潜在するさまざまな脅威から重要情報を保護するためにネットワーク構成はいかにあるべきか、ということに視点を置いた業務活動が必要となる。また、Webシステムの管理者においては、ネットワーク管理にも注視する必要が出てきている。Webシステムの脆弱性とネットワーク構成とは密接な関わりを持ったものであり、一方のみに重点を置くというわけにはいかないのである。
なお、ここで「クレジットカード業界」と呼ばずに「支払いカード業界」という言葉を用いている理由は、PCI DSSの対象はクレジットカードだけではなく、キャッシュカードやデビットカードなど、支払い行為に利用するすべてのカードを視野に入れていることによる。ただ、「支払いカード」という言葉は日本では一般的ではないため、以下では「クレジットカード」という言葉を用いて解説する。
クレジットカード業界のプレイヤー
PCI DSSを理解するためには、まずクレジットカード業界の構造を理解する必要がある。基本的な構図としては、PCI DSSの遵守を要求する側と要求される側とに分けられる(図1)。
図1 PCI DSSを巡る各プレイヤーの関係
PCI DSSの遵守を要求する側として、まず「国際カードブランド」が挙げられる。これはAmerican Express、Diners Club、JCB、Master Card、VISAの5ブランドが有名だ。こうした国際カードブランドとしては、ブランドイメージの維持・向上と情報漏えいに伴う損害回避や事故防止の仕組み作りに迫られている。そのため、こうした国際カードブランドの各社は、PCI DSSを始めとするセキュリティ基準を策定し、これを遵守させるための組織として、PCISSC(PCI Security Standard Council)や審査機関(QSA)、認定スキャニングベンダー(ASV)を構築している。
PCI SSCのおもな任務は、PCI DSS の普及と啓蒙、改訂管理、QSAおよびASVの認定の大きく3つである。そして、QSAはPCI DSSに基づくオンサイト評価を行ない、ASVは文字通りスキャニングテストを行なう。
一方で、PCI DSSの遵守を要求される側としては、カード会社、加盟店およびプロセッサ(カードの代金請求を日常的に行なう業者)が挙げられる。
カード会社は、国際カードブランドより、傘下の加盟店やプロセッサがPCI DSSに準拠していることを求められる。加盟店およびプロセッサは、クレジット決済の取引処理件数に応じてQSAが実施する年次訪問審査、およびASVが実施する脆弱性スキャンテストを受けて、これに合格する必要がある。
なお、取引処理件数が少ない場合には、年次訪問審査の代わりに年次自己診断を実施する。また、自己診断に用いる問診票は、PCI SSCより提供されている。
(次ページ、「PCI DSSの目的と要件に続く)
この連載の記事
-
第3回
TECH
PCI DSSを遵守する運用体制 -
第2回
TECH
PCI DSSのインフラを作る -
TECH
管理者のためのPCI DSS講座 - この連載の一覧へ
