PCI DSS に関する質問(PCI DSS対策研究所) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

PCI DSS に関する質問(PCI DSS対策研究所)

特集 PCI DSS 対策研究所

Q1 PCI DSSとは何ですか?
A1 PCI DSSは、クレジットカード業界において、機密情報の安全な取り扱いを確認することに役立つ一連のツール/手順です。当初はVISAのアカウントインフォメーションセキュリティ(AIS)/カード会員情報セキュリティ(CISP)プログラムと、マスターカードのサイトデータプロテクション(SDP)プログラムを連携・作成されており、この標準は、確固たるアカウントデータセキュリティ手順の開発の為の、実行可能なフレームワーク(セキュリティインシデントに対しての防御、検知、反応を含む)を提供しています。バージョン1.1は、PCISSC設立メンバにより開発され、PCISSCの設立と同時に有効となりました。(2008/10/20)

Q2 PCI DSSは誰が作っているのですか?
A2 PCISSCが策定、運用しています。PCI DSSのバージョンアップに関しては、PCISSCへの参加企業やブランド、QSAなどの意見を踏まえた上で、PCISSCによって正式に改訂、公開が行われます。(2008/10/20)

Q3 PCI DSSへの準拠は義務ですか?
A3 クレジットカード情報を取り扱っている企業であれば、PCI DSSへの準拠は義務といえます。 PCISSCでは、PCI DSSの運用管理を行っているだけでカード情報取り扱い企業に対して義務を負わせることはありませんが、カード情報取り扱い企業は通常、アクワイヤラからカード情報を守ることを求められ、PCI DSSへの準拠が必要となります。(2008/10/20)

Q4 PCI DSSに準拠して認定されるメリットは何ですか?
A4 PCISSCや国際ブランドでは、PCI DSSに準拠した企業について、認定を行ったり、認定された企業をリストアップしたりということは行われていません。しかし、認定を行い、認定証を発行しているQSAもありますが、それらを利用し、完全準拠を公にすることで、ユーザからの信頼感を得るといったこともあるでしょう。認定スキームも異なるため、認定を行っているQSAに問い合わせることをお勧めします。(2008/10/20)

Q5 カード情報を扱う時、PCI DSSを守らないと罰金が科せられますか?
A5 PCI DSSに準拠出来ない場合、もしくはセキュリティ違反の確認がされた場合に発生する罰金・罰則などは、個々のブランドにより定義されます。より具体的な情報については個々のブランドまでご連絡ください。(2008/10/20)

・アメリカンエクスプレス- DSOP
http://www.americanexpress.com/datasecurity
・JCB - TBD [英語]
http://www.jcb-global.com/english/pci/
・マスターカード - Site Data Protection (SDP) [英語]
http://www.mastercard.com/sdp
・Visa - Account Information Security (AIS)
Visa AIS - アジア [英語]
http://www.visa-asia.com/ap/sea/merchants/riskmgmt/ais.shtml

Q6 カード会員情報を持っていないので関係ありませんか?
A6 カード会員情報を持っていなければPCI DSSの対象範囲とはならないため、準拠の義務が生じるようなことはありませんが、PCI DSSはクレジットカード情報を守るためのシステム面なども細かくカバーしているセキュリティ対策の集大成となっているため、これを活用することはできます。そのような意味では、捉え方によっては、関係ない、で終わらせることもできますし、自社システムや委託先のセキュリティ対策を実施する際にガイドラインとして活用することもできるでしょう。(2008/10/20)

Q7 業務をすべて外部に委託している場合は関係ありませんか?
A7 PCI DSSでは、カード情報を自社で保持しておらず、外部委託先に預けているような場合も、その預けている情報は委託元に責任があるとされています。つまり、外部委託先がPCI DSSに準拠することの責任を、委託元が負うことになるため、関係ないと主張することはできません。(2008/10/20)

Q8 ISMSを取得しているので必要ないですか?
A8 ISMSは、情報セキュリティのマネジメントシステム構築のフレームワークですので、PDCAを適切に回すのに極めて効果が高いものですが、PCI DSSはISMSに比べて「ここまでやらなければならない」という細かい実装面での指標となる値や設定などが明確に要求されており、ISMSを取得している場合でもPCI DSSに準拠しているとはいえませんし、ISMS取得企業でもPCI DSSに準拠することで、より高い効果が期待できます。(2008/10/20)

Q9 PCI DSSと、AISやJCB Data Security Program、DSOP、SDPとの違いは何ですか?
A9 PCI DSSはあくまで基準であり、AIS、JCB Data Security Program、SDP、DSOPは国際ブランドが提供するコンプライアンスプログラムです。コンプライアンスプログラムでは、PCI DSSを利用し、様々なレベル(トランザクション量や企業の形態など)によって、PCI DSSへの準拠確認をどこまで行わなければならないか、PCI DSSへの準拠の確認結果をどのように報告しなければならないか、などが定められており、実質、各コンプライアンスプログラムに従うことにより必然的にPCI DSSへの準拠が求められることになります。(2008/10/20)

Q10 PCI DSSは何が対象範囲となりますか?
A10 カード会員データを保管、処理、もしくは伝送するシステムがその他のシステムから隔離(=セグメンテーション)されているならば、PCI DSSの対象範囲を縮小させることが可能です。このセグメンテーションについては、例えば内部ファイアウォール、アクセス制御の為の適切なACLデバイス、VLAN、もしくは内部の2要素認証などによって実装されるため、適切なネットワークセグメンテーションが行われているかどうかについては、下記URLのリスト記載の、QSAとコンタクトを取ることを推奨します。(2008/10/20)

https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf [英語]

Q11 PCI DSSへの準拠には、どのくらいの費用がかかりますか?
A11 PCI DSSの対象範囲はカード会員情報を取り扱っている環境によって異なるため、それぞれの環境でかかるコストを特定することはできません。また、PCISSCはQSAによる訪問調査の価格設定などに関わることはないため、訪問調査にかかる費用は各QSAに依存することになります。このため、複数のQSAに問合せすることをお勧めします。(2008/10/20)

Q12 PCI DSSへの準拠には、どのくらいの期間がかかりますか?
A12 現在の状況や規模によって異なるため、一概に期間を特定することはできません。一般的には、文書関連の不適合項目が存在する場合は改訂、承認などのプロセスで済みますので、早ければ数日、長くても1ヶ月程度で完了しますが、システム面での対策が不足しているような場合、1ヶ月以上かかる場合もありますし、根本的なネットワーク構成を変更しなければならないような場合、数ヶ月以上かかることも想定できます。このため、国際ブランドの各コンプライアンスプログラムによって準拠への期限が定められているような場合、できるだけ早い段階での着手が望ましいです。(2008/10/20)

Q13 どういう業者にPCI DSSの対策作業を頼めばいいのですか?
A13 なんらかの製品を導入するような場合でも、導入するだけで適切な運用が伴わない場合、PCI DSSへの準拠は難しくなってしまうため、運用も含めてサポートできる業者に依頼するべきです。 もしくは、組織に合った運用もあわせて提供できるという意味では、システムのことをよく理解しており、かつPCI DSSを正しく理解しているSIerやベンダに依頼するのが良いでしょう。(2008/10/20)

Q14 データベースの暗号化が必須なのでしょうか?
A14 もしカード会員名、有効期限、その他のカード会員データがPANに関連して記録された場合、もしもPANが判読不可能であったとしても、それらのカード会員データ要素は同様に保護する必要があります。(2008/10/20)

Q15 Webアプリケーションファイアウォールの導入が必須なのでしょうか?
A15 WEBアプリケーションに対する脅威に適切に対応するため、WEBアプリケーションファイアウォールもしくはWEBアプリケーションのコードレビューが求められています。PCI DSS要件6.6、およびPCISSCホームページに記載されている捕捉情報を参照してください。(2008/10/20)

Q16 準拠が難しい要件はどれですか?
A16 企業やシステムの形態によって異なりますが、一般的には保管されたカード会員データの保護について求められている要件3や、証跡を取得、保管、保護することが求められている要件10、様々なテストが求められる要件11などが難しいとされることが多いです。(2008/10/20)

Q17 誰が審査を行うのですか?
A17 PCISSCが認定したQSA(Qualified Security Assessor)が行う必要があります。(2008/10/20)

Q18 不適合となることはありますか? 何が原因ですか?
A18 PCI DSSセキュリティ審査手順の中にある項目全てに対応しなければ、準拠していることになりません。つまり、全ての項目に対応して、はじめて準拠したといえます。(2008/10/20)

Q19 PCI DSSは、一度準拠すれば完了でしょうか?
A19 毎年更新する必要があります。ただし、適切に実装、運用されていれば、二年目以降は、対応コスト、QSAによっては審査コストも減らすことができます。(2008/10/20)

Q20 PCI DSSに準拠した際、認定証等はもらえますか?
A20 訪問審査を行ったQSAが認定証を発行していれば、もらえます。PCISSCや国際ブランドが認定証を発行することはありません。(2008/10/20)

Q21 PCI DSSのバージョンはどのくらい頻繁に更新されますか?
A21 参加組織や関連組織の意見、アドバイスを考慮し、18ヶ月~2年の間隔で更新される予定になっています。(2008/10/20)

(川島 祐樹)

筆者略歴:NTTデータ先端技術株式会社 セキュリティ事業部 PCI推進グループ / CISSP、QSA、PA-QSA
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×