PCI DSSの目的と要件
さて、PCI DSSはカード会員データのセキュリティを強化し、向上するため、そして全世界を対象とした広い範囲に対して、整合性のあるデータセキュリティの測定手法を適用。促進することを目的として2004年に開発されたものである。このことは、PCI DSSを理解する上で重要である。
たとえば、海外旅行でクレジットカードを利用することを考えれば、カード会員データが全世界を流通する情報であることは自明である。そのため、全世界の利用者が安全にクレジットカードで買い物をするためには、世界中のさまざまな関連組織が最低限遵守しなければならない手法が必要であり、各国の安全性の水準について利用者が納得できるようにする必要がある。PCI DSSの要件が具体的に規定されている理由はこの点にある。
PCI DSSは、カード会員データとセンシティブ認証データの保護を目的として作成されたものであり、PCI DSSは保護対象となる情報を明確に定義している(図2)。これにより、PCI DSSの要件を具体的に規定することが可能となっている。PCI DSSは、6つの目的とこれらに対応する12の要件から構成されている(図3)。
図2 保護対象となるデータの構成要素とその要件
図3 PCI DSSの6つの目的・12の要件
PCI DSSの12の要件は、すべての「システム構成要素」に適用される。システム構成要素とは、カード会員データ環境に含まれるネットワーク、サーバ、あるいはアプリケーションである。
このうち「カード会員データ環境」とは、カード会員データやセンシティブ認証データを保有するネットワークの該当部分にあたる。
ネットワーク管理の観点から見ると、PCI DSSは他の認証基準に比べて非常にわかりやすい。PCI DSSが目的とすることは、データセントリックとエンドツーエンドの2点に集約できる。すなわち、図2において示したデータに重点を置き、これらのデータが保管および処理されるポイント、そしてこれらのデータが伝送される経路のセキュリティをいかに保護すべきかが、規定されているということだ。これはWebのセキュリティ確保の考え方を包含しており、到達点とポイントが明確だ。
2008年におけるPCI DSSの改訂ポイント
PCI DSSは、2006年にバージョン1.1がリリースされ、2008年10月のバージョンアップを経て、2009年1月からはバージョン1.2が正式版となる。
PCI DSSのバージョンアップは、PCI SSC主導のもと、国際カードブランド、QSA、ASV、加盟店、サービスプロバイダおよびコンサルティング提供会社を含めた活発な議論に基づき実施されている。というのも、PCI DSSへの対応は、国際カードブランドと締結される契約内容ときわめて密接に結び付いているためだ。
PCI DSSに準拠しないことはブランド使用契約の破棄か情報漏えい事故発生時の損害賠償請求を招く恐れがあり、各利害関係者はPCI DSSの改訂動向に神経を尖らせている。このような背景があるため、基準遵守に関する現実的な改善策が議論され、改訂方針に反映されている(リスト1)。
リスト1 2008年におけるPCI DSSの改訂方針
・PCI DSSの要求事項の明確化
・より柔軟な対応方法の提供
・変化(進化)するリスクと脅威への対応
・ベストプラクティスの取り込み
・適用範囲とレポーティングの明確化
・冗長な要求事項の排除
・文書類の整理
たとえば、「より柔軟な対応方法の提供」として、パッチ適用あるいは物理的アクセス管理などの要件が緩和されている一方で、「変化(進化)するリスクと脅威への対応」についてウイルス対策あるいは無線ネットワーク等の要件が強化されている。
次回は、PCI DSSに対応するインフラを構築するための具体策を紹介していこう。
筆者紹介─豊田祥一
2005年に ネットワンシステムズ 入社。前職において、PKIを導入したインターネットサービスの運用業務設計と運用管理に携わるとともに、個人情報保護法対応、電子認証局構築、等のコンサルティング業務を担当。現職においては、ネットワークベンダーの視点に基づくコンサルティングビジネスを推進。各種PCI DSSに関するセミナー講師も担当。前宮内庁CIO補佐官。
この連載の記事
-
第3回
TECH
PCI DSSを遵守する運用体制 -
第2回
TECH
PCI DSSのインフラを作る -
TECH
管理者のためのPCI DSS講座 - この連載の一覧へ
