PCI DSS に関する質問(PCI DSS対策研究所) | ScanNetSecurity
2024.03.29(金)

PCI DSS に関する質問(PCI DSS対策研究所)

Q1 PCI DSSとは何ですか?
A1 PCI DSSは、クレジットカード業界において、機密情報の安全な取り扱いを確認することに役立つ一連のツール/手順です。当初はVISAのアカウントインフォメーションセキュリティ(AIS)/カード会員情報セキュリティ(CISP)プログラムと、マス

特集 PCI DSS 対策研究所
Q1 PCI DSSとは何ですか?
A1 PCI DSSは、クレジットカード業界において、機密情報の安全な取り扱いを確認することに役立つ一連のツール/手順です。当初はVISAのアカウントインフォメーションセキュリティ(AIS)/カード会員情報セキュリティ(CISP)プログラムと、マスターカードのサイトデータプロテクション(SDP)プログラムを連携・作成されており、この標準は、確固たるアカウントデータセキュリティ手順の開発の為の、実行可能なフレームワーク(セキュリティインシデントに対しての防御、検知、反応を含む)を提供しています。バージョン1.1は、PCISSC設立メンバにより開発され、PCISSCの設立と同時に有効となりました。(2008/10/20)

Q2 PCI DSSは誰が作っているのですか?
A2 PCISSCが策定、運用しています。PCI DSSのバージョンアップに関しては、PCISSCへの参加企業やブランド、QSAなどの意見を踏まえた上で、PCISSCによって正式に改訂、公開が行われます。(2008/10/20)

Q3 PCI DSSへの準拠は義務ですか?
A3 クレジットカード情報を取り扱っている企業であれば、PCI DSSへの準拠は義務といえます。 PCISSCでは、PCI DSSの運用管理を行っているだけでカード情報取り扱い企業に対して義務を負わせることはありませんが、カード情報取り扱い企業は通常、アクワイヤラからカード情報を守ることを求められ、PCI DSSへの準拠が必要となります。(2008/10/20)

Q4 PCI DSSに準拠して認定されるメリットは何ですか?
A4 PCISSCや国際ブランドでは、PCI DSSに準拠した企業について、認定を行ったり、認定された企業をリストアップしたりということは行われていません。しかし、認定を行い、認定証を発行しているQSAもありますが、それらを利用し、完全準拠を公にすることで、ユーザからの信頼感を得るといったこともあるでしょう。認定スキームも異なるため、認定を行っているQSAに問い合わせることをお勧めします。(2008/10/20)

Q5 カード情報を扱う時、PCI DSSを守らないと罰金が科せられますか?
A5 PCI DSSに準拠出来ない場合、もしくはセキュリティ違反の確認がされた場合に発生する罰金・罰則などは、個々のブランドにより定義されます。より具体的な情報については個々のブランドまでご連絡ください。(2008/10/20)

・アメリカンエクスプレス- DSOP
http://www.americanexpress.com/datasecurity
・JCB - TBD [英語]
http://www.jcb-global.com/english/pci/
・マスターカード - Site Data Protection (SDP) [英語]
http://www.mastercard.com/sdp
・Visa - Account Information Security (AIS)
Visa AIS - アジア [英語]
http://www.visa-asia.com/ap/sea/merchants/riskmgmt/ais.shtml

Q6 カード会員情報を持っていないので関係ありませんか?
A6 カード会員情報を持っていなければPCI DSSの対象範囲とはならないため、準拠の義務が生じるようなことはありませんが、PCI DSSはクレジットカード情報を守るためのシステム面なども細かくカバーしているセキュリティ対策の集大成となっているため、これを活用することはできます。そのような意味では、捉え方によっては、関係ない、で終わらせることもできますし、自社システムや委託先のセキュリティ対策を実施する際にガイドラインとして活用することもできるでしょう。(2008/10/20)

Q7 業務をすべて外部に委託している場合は関係ありませんか?
A7 PCI DSSでは、カード情報を自社で保持しておらず、外部委託先に預けているような場合も、その預けている情報は委託元に責任があるとされています。つまり、外部委託先がPCI DSSに準拠することの責任を、委託元が負うことになるため、関係ないと主張することはできません。(2008/10/20)

Q8 ISMSを取得しているので必要ないですか?
A8 ISMSは、情報セキュリティのマネジメントシステム構築のフレームワークですので、PDCAを適切に回すのに極めて効果が高いものですが、PCI DSSはISMSに比べて「ここまでやらなければならない」という細かい実装面での指標となる値や設定などが明確に要求されており、ISMSを取得している場合でもPCI DSSに準拠しているとはいえませんし、ISMS取得企業でもPCI DSSに準拠することで、より高い効果が期待できます。(2008/10/20)

Q9 PCI DSSと、AISやJCB Data Security Program、DSOP、SDPとの違いは何ですか?
A9 PCI DSSはあくまで基準であり、AIS、JCB Data Security Program、SDP、DSOPは国際ブランドが提供するコンプライアンスプログラムです。コンプライアンスプログラムでは、PCI DSSを利用し、様々なレベル(トランザクション量や企業の形態など)によって、PCI DSSへの準拠確認をどこまで行わなければならないか、PCI DSSへの準拠の確認結果をどのように報告しなければならないか、などが定められており、実質、各コンプライアンスプログラムに従うことにより必然的にPCI DSSへの準拠が求められることになります。(2008/10/20)

Q10 PCI DSSは何が対象範囲となりますか?
A10 カード会員データを保管、処理、もしくは伝送するシステムがその他のシステムから隔離(=セグメンテーション)されているならば、PCI DSSの対象範囲を縮小させることが可能です。このセグメンテーションについては、例えば内部ファイアウォール、アクセス制御の為の適切なACLデバイス、VLAN、もしくは内部の2要素認証などによって実装されるため、適切なネットワークセグメンテーションが行われているかどうかについては、下記URLのリスト記載の、QSAとコンタクトを取ることを推奨します。(2008/10/20)

https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf [英語]

Q11 PCI DSSへの準拠には、どのくらいの費用がかかりますか?
A11 PCI DSSの対象範囲はカード会員情報を取り扱っている環境によって異なるため、それぞれの環境でかかるコストを特定することはできません。また、PCISSCはQSAによる訪問調査の価格設定などに関わることはないため、訪問調査にかかる費用は各QSAに依存することになります。このため、複数のQSAに問合せすることをお勧めします。(2008/10/20)

Q12 PCI DSSへの準拠には、どのくらいの期間がかかりますか?
A12 現在の状況や規模によって異なるため、一概に期間を特定することはできません。一般的には、文書関連の不適合項目が存在する場合は改訂、承認などのプロセスで済みますので、早ければ数日、長くても1ヶ月程度で完了しますが、システム面での対策が不足しているような場合、1ヶ月以上かかる場合もありますし、根本的なネットワーク構成を変更しなければならないような場合、数ヶ月以上かかることも想定できます。このため、国際ブランドの各コンプライアンスプログラムによって準拠への期限が定められているような場合、できるだけ早い段階での着手が望ましいです。(2008/10/20)

Q13 どういう業者にPCI DSSの対策作業を頼めばいいのですか?
A13 なんらかの製品を導入するような場合でも、導入するだけで適切な運用が伴わない場合、PCI DSSへの準拠は難しくなってしまうため、運用も含めてサポートできる業者に依頼するべきです。 もしくは、組織に合った運用もあわせて提供できるという意味では、システムのことをよく理解しており、かつPCI DSSを正しく理解しているSIerやベンダに依頼するのが良いでしょう。(2008/10/20)

Q14 データベースの暗号化が必須なのでしょうか?
A14 もしカード会員名、有効期限、その他のカード会員データがPANに関連して記録された場合、もしもPANが判読不可能であったとしても、それらのカード会員データ要素は同様に保護する必要があります。(2008/10/20)

Q15 Webアプリケーションファイアウォールの導入が必須なのでしょうか?
A15 WEBアプリケーションに対する脅威に適切に対応するため、WEBアプリケーションファイアウォールもしくはWEBアプリケーションのコードレビューが求められています。PCI DSS要件6.6、およびPCISSCホームページに記載されている捕捉情報を参照してください。(2008/10/20)

Q16 準拠が難しい要件はどれですか?
A16 企業やシステムの形態によって異なりますが、一般的には保管されたカード会員データの保護について求められている要件3や、証跡を取得、保管、保護することが求められている要件10、様々なテストが求められる要件11などが難しいとされることが多いです。(2008/10/20)

Q17 誰が審査を行うのですか?
A17 PCISSCが認定したQSA(Qualified Security Assessor)が行う必要があります。(2008/10/20)

Q18 不適合となることはありますか? 何が原因ですか?
A18 PCI DSSセキュリティ審査手順の中にある項目全てに対応しなければ、準拠していることになりません。つまり、全ての項目に対応して、はじめて準拠したといえます。(2008/10/20)

Q19 PCI DSSは、一度準拠すれば完了でしょうか?
A19 毎年更新する必要があります。ただし、適切に実装、運用されていれば、二年目以降は、対応コスト、QSAによっては審査コストも減らすことができます。(2008/10/20)

Q20 PCI DSSに準拠した際、認定証等はもらえますか?
A20 訪問審査を行ったQSAが認定証を発行していれば、もらえます。PCISSCや国際ブランドが認定証を発行することはありません。(2008/10/20)

Q21 PCI DSSのバージョンはどのくらい頻繁に更新されますか?
A21 参加組織や関連組織の意見、アドバイスを考慮し、18ヶ月~2年の間隔で更新される予定になっています。(2008/10/20)

(川島 祐樹)

筆者略歴:NTTデータ先端技術株式会社 セキュリティ事業部 PCI推進グループ / CISSP、QSA、PA-QSA
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×