CISOの相談室　第10回 PCIDSSについて教えて下さい[前編]

　先日、ビザがPCIDSS遵守の国際的な義務化に向けて期限を設定したことが発表され、ますます関心の高まるPCIDSSですが、その具体的内容について教えて下さい。

特集特集

2008年11月25日（火） 16時15分

　先日、ビザがPCIDSS遵守の国際的な義務化に向けて期限を設定したことが発表され、ますます関心の高まるPCIDSSですが、その具体的内容について教えて下さい。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

─

●一般企業市場でのPCIDSSへの期待

　PCIDSS（Payment Card Industry Data Security Standard）は、クレジットカードの大手である American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc. によってクレジットカード情報および取引情報の安全な管理を目的に2004年12月に策定された国際基準です。また、2006年9月には、この基準の維持管理や普及活動を行うために、国際協議会（PCISSC = PCI Security Standards Council LLC）が設立されました。

　PCIDSSは、環境やリスクの変化に応じて更新されます。最新バージョンの1.2は、2008年10月1日に公開されましたが、現在は英語版のみで、2006年9月に公開されたバージョン1.1の日本語が2007年2月に公開されています。

https://www.pcisecuritystandards.org/security_standards/pci_dss_download.html

　PCIDSSは、6項目12要件におよぶ、技術的に具体性の高いセキュリティ対策方法が規定されています。カード会社は、加盟店や決済代行事業者にPCIDSSの基準を満たすことを決済システムの利用条件にしているためPCIDSSはカード業界で普及しています。米国では、カード業界のみならず一般企業においても、SOX法対応済みの企業が技術的セキュリティ強化策として積極的にPCIDSSへの取り組みを実施しています。

　一方、日本の一般企業では、日本語SOX法の対応や内部統制を実現するため、ISO27001（情報セキュリティマネジメントシステム）やプライバシーマークの認証取得が普及しました。ところが、PCIDSSの取り組みは、カード業界専用のセキュリティ基準と捉える傾向が強いため、一般企業ではさほど活発ではありません。しかし、ISO2701やプライバシーマークなどの認証は、セキュリティ目標を自ら設定し、そこへ到達して維持する取り組みが基本であって、技術的に具体性の高いセキュリティ対策や方針は規定していません。そこで、今、一般企業市場でのPCIDSSへの期待が高まっています。

●PCIDSSの内容（6項目12要件）

◆安全なネットワークの構築・維持
1.データを保護するためにファイアウォールの導入をし、最適な設定を維持すること
2.システムまたはソフトウェアの出荷時の初期設定値（セキュリティに関する設定値）をそのまま利用しないこと

◆カード会員データの保護
3.保存されたデータを安全に保護すること
4.公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること

◆脆弱性を管理するプログラムの整備
5.アンチウイルスソフトを利用し、定期的にソフトを更新すること
6.安全性の高いシステムとアプリケーションを開発し、保守すること

◆強固なアクセス制御手法の導入
7.業務目的別にデータアクセスを制限すること
8.コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
9.カード会員情報にアクセスする際、物理的なアクセスを制限すること

◆定期的なネットワークの監視およびテスト
10.ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
11.セキュリティシステムおよび有事の対応手順を定期的にテストすること

◆情報セキュリティ・ポリシーの整備
12.情報セキュリティに関するポリシーを保持すること

●各カード会社の取り組み

　VISAは、PCIDSSに準拠した「アカウント情報セキュリティ（AIS）」を用意しています。AISプログラムの目的は、加盟店およびプロセッサの情報セキュリティ対策を改善し、カード会員のカード情報や取引情報を保護することであり、全世界で義務化しています。

http://www.visa-asia.com/ap/jp/merchants/riskmgmt/ais.shtml

　マスターカードは…

【執筆：せきゅバカ一代】
＜執筆者略歴＞
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

【関連記事】
CISOの相談室　第11回 PCIDSSについて教えて下さい[後編]
https://www.netsecurity.ne.jp/7_12537.html

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

CISOの相談室　第10回 PCIDSSについて教えて下さい[前編]

Scan PREMIUM 会員限定記事

ガートナークラウドクッキング教室～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証 大英図書館ランサムウェア ～ 過ちが語る普遍的な物語

AI アプリ標的 ゼロクリックワーム開発／北 韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理

Windows DNS の脆弱性情報が公開

バッファロー製無線 LAN ルータに複数の脆弱性

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に

インフォマート 公式 Facebook ページに不正ログイン

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ～ 株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍 時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

プルーフポイント、マルウェア配布する YouTube チャンネル特定

IT部門か全員かそれとも政府か ～ サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

Reject 運用のポイント他 ～ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

セキュリティ診断会社と開発会社が業務提携 ～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位

警察庁、サイバー事案通報の統一窓口を設置

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

インフォマート公式 Facebook ページに不正ログイン

転職先で営業活動に活用、プルデンシャル生命保険元社員顧客情報持ち出し

調査・レポート・白書・ガイドライン記事一覧へ

セキュリティ対策は株価を上げるのか～株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

IT部門か全員かそれとも政府か～サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス記事一覧へ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

Reject 運用のポイント他～日本プルーフポイント「DMARC Conference 2024」5 月末大手町で開催

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向記事一覧へ

セキュリティ診断会社と開発会社が業務提携～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ国内 1 位

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ