CISOの相談室 第10回 PCIDSSについて教えて下さい[前編] | ScanNetSecurity
2025.03.01(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

CISOの相談室 第10回 PCIDSSについて教えて下さい[前編]

 先日、ビザがPCIDSS遵守の国際的な義務化に向けて期限を設定したことが発表され、ますます関心の高まるPCIDSSですが、その具体的内容について教えて下さい。

特集
22 views
 先日、ビザがPCIDSS遵守の国際的な義務化に向けて期限を設定したことが発表され、ますます関心の高まるPCIDSSですが、その具体的内容について教えて下さい。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa



●一般企業市場でのPCIDSSへの期待

 PCIDSS(Payment Card Industry Data Security Standard)は、クレジットカードの大手である American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc. によってクレジットカード情報および取引情報の安全な管理を目的に2004年12月に策定された国際基準です。また、2006年9月には、この基準の維持管理や普及活動を行うために、国際協議会(PCISSC = PCI Security Standards Council LLC)が設立されました。

 PCIDSSは、環境やリスクの変化に応じて更新されます。最新バージョンの1.2は、2008年10月1日に公開されましたが、現在は英語版のみで、2006年9月に公開されたバージョン1.1の日本語が2007年2月に公開されています。

https://www.pcisecuritystandards.org/security_standards/pci_dss_download.html

 PCIDSSは、6項目12要件におよぶ、技術的に具体性の高いセキュリティ対策方法が規定されています。カード会社は、加盟店や決済代行事業者にPCIDSSの基準を満たすことを決済システムの利用条件にしているためPCIDSSはカード業界で普及しています。米国では、カード業界のみならず一般企業においても、SOX法対応済みの企業が技術的セキュリティ強化策として積極的にPCIDSSへの取り組みを実施しています。

 一方、日本の一般企業では、日本語SOX法の対応や内部統制を実現するため、ISO27001(情報セキュリティマネジメントシステム)やプライバシーマークの認証取得が普及しました。ところが、PCIDSSの取り組みは、カード業界専用のセキュリティ基準と捉える傾向が強いため、一般企業ではさほど活発ではありません。しかし、ISO2701やプライバシーマークなどの認証は、セキュリティ目標を自ら設定し、そこへ到達して維持する取り組みが基本であって、技術的に具体性の高いセキュリティ対策や方針は規定していません。そこで、今、一般企業市場でのPCIDSSへの期待が高まっています。

●PCIDSSの内容(6項目12要件)

◆安全なネットワークの構築・維持
1.データを保護するためにファイアウォールの導入をし、最適な設定を維持すること
2.システムまたはソフトウェアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと

◆カード会員データの保護
3.保存されたデータを安全に保護すること
4.公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること

◆脆弱性を管理するプログラムの整備
5.アンチウイルスソフトを利用し、定期的にソフトを更新すること
6.安全性の高いシステムとアプリケーションを開発し、保守すること

◆強固なアクセス制御手法の導入
7.業務目的別にデータアクセスを制限すること
8.コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
9.カード会員情報にアクセスする際、物理的なアクセスを制限すること

◆定期的なネットワークの監視およびテスト
10.ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
11.セキュリティシステムおよび有事の対応手順を定期的にテストすること

◆情報セキュリティ・ポリシーの整備
12.情報セキュリティに関するポリシーを保持すること

●各カード会社の取り組み

 VISAは、PCIDSSに準拠した「アカウント情報セキュリティ(AIS)」を用意しています。AISプログラムの目的は、加盟店およびプロセッサの情報セキュリティ対策を改善し、カード会員のカード情報や取引情報を保護することであり、全世界で義務化しています。

http://www.visa-asia.com/ap/jp/merchants/riskmgmt/ais.shtml

 マスターカードは…

【執筆:せきゅバカ一代】
<執筆者略歴>
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

【関連記事】
CISOの相談室 第11回 PCIDSSについて教えて下さい[後編]
https://www.netsecurity.ne.jp/7_12537.html

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×