PCI DSS Ver.2.0 によるライフサイクルへの影響（PCI DSS対策研究所）

2010年9月2日、日本アイ・ビー・エム株式会社の主催による「IBM PCI DSS実践セミナー」が同社箱崎事業所において開催された。

同セミナーでは、日本IBM ITSデリバリーIAS.セキュリティ・ソリューションコンサルティングセキュリティスペシャリストである西誉氏による基調講演「PCI DSS対応に向けた優先的アプローチ」が行われた他、日本IBM ITSデリバリーIAS.セキュリティ・ソリューション第2セキュリティ・ソリューション主任I/Tアーキテクトである長谷川貴之氏による「PCI DSS完全遵守に向けた対策現場からの視点」と題した講演が行われた。(部署及肩書は取材当時)

Visa
http://www.visa-asia.com/ap/jp/

【関連リンク】IBM PCI DSS 実践セミナー 2010 講演PDF資料

●国際カードブランドと各セキュリティ基準

講演ではまず、PCI DSS（Payment Card Industry Data Security Standard）を取り巻く関係をまとめた。PCI DSSはクレジットカードデータのセキュリティ基準であるが、これはVISA、MasterCard、AMEX、DISCOVER、JCBの5社が共同で運営するPCIセキュリティ基準推進協議団体「PCI SSC（Payment Card Industry Security Standards Council）」が策定している。

PCI SSCでは、加盟店やサービス・プロバイダ等を対象としたPCIデータセキュリティ基準であるPCI DSSのほか、ソフトウェアベンダによる安全なペイメント・アプリケーション開発を評価するために設定された要件・基準である「PA DSS（Payment Application Data Security Standard）」、製造業者を対象にPIN（Personal Identification Number）を入力する機器に関する安全基準を定めた「PTS（PIN Transaction Security）requirements」といった、カード会社全ブランド共通のセキュリティ基準を策定している。この基準は、カード会社単位で独自に運用されているバリデーション・プログラム「VISA AIS」「MasterCard SDP」「AMEX DSOP」「DISCOVER DISC」「JCB DSP」において共通して採用されている。

●保護対象となるカード会員データ

PCI DSSでは、通常16桁のカード番号「PAN（Primary Account Number）」「カード会員氏名」「サービスコード」「有効期限」を、「カード会員データ」と定義し、基本的に保管する場合は、PCIDSS要件により保護が必要とされている。

「完全な全磁気ストライプデータ」「CAV2/CVC2/CVV2/CID」「PIN/PINブロック（暗証番号）」は、「センシティブ認証データ」と定義されており、センシティブ認証データは保管不可となっている。なお、PCI DSSの12要件についてはご存じであると思われるため割愛する（配布セミナー資料参照）。

IBMはPCI DSSにおいて、要件に対する評価を行う認定審査機関（QSA）であり、また認定セキュリティ評価機関（ASV）でもある。世界43カ国に対応しており、QSAが80名以上いるなどグローバルに注力している。これにより、QSAとして事業者への訪問審査の実施や認定の実施を行うほか、ASVとして事業者への外部脆弱性テストの実施やコンサルティングサービスも行っており、要件ごとのソリューションを提供するなどトータルに展開していることが強みとなっている。

●PCI DSS改定ライフサイクルが3年に延長

2010年6月22日、PCI SSCから発行されている3種類の基準（PCI DSS、PA DSS、PTS）の「基準見直しのライフサイクル等の変更に関する文書」が公開された。この改定により、基準文書の改定ライフサイクルが従来の2年から3年に延長され、基準の移行期間が従来の2カ月から14カ月へと延長された。遵守対象事業者の負荷軽減が主な目的だ。新ライフサイクルを考慮すると、現行のPCI DSS 1.2の有効期間および審査期間は2011年12月までとなり、2010年10月28日に公開予定のバージョン2.0の有効期間は2010年10月から2014年12月まで、審査期間は2011年1月から2014年12月まで、バージョン3（仮）の有効期間は2013年10月から、審査期間は2014年1月からとなる。

●優先順位付けアプローチの概要

またPCI SSCでは、PCI DSS遵守対応をサポートするツールを2009年3月より公開している。このツールは、PCI DSSの12要件を6段階の「Milestone（マイルストーン）」に分類することが可能で、優先順位を決めて対応計画を作成し、アクワイアラやブランドに提示することが可能となるPDFやスプレッドシートファイルだ。マイルストーンは優先度の高い順に「1：センシティブ認証データを削除し、データの保持を制限すること」「2：境界、内部、無線ネットワークを保護すること」「3：ペイメントカードアプリケーションを安全にすること」「4：システムへのアクセスを監視し、制御すること」「5：保存されたカード会員データを保護すること」「6：残りの準拠努力を完了し、すべての制御が実施されていることを確認すること」となっている。優先順位付けアプローチの実施により、PCI DSS準拠へ段階的な対応計画を策定できるという。

Prioritized Approach
https://www.pcisecuritystandards.org/security_standards/prioritized.php

PCI DSSバージョン2.0では、カード会員データの適用性の明確化や評価スコープにすべてのカード会員データを含むことの明確化、仮想化環境におけるアドバイスの追加、DMZ環境のより具体的な解説、鍵管理プロセスの明確化などが挙げられている。講演のダウンロード資料では9件の変更サマリーを掲載している。

●準拠対応フローと作業内容

さらに西氏は、「PCI DSS準拠対応フロー」を紹介した。これは準拠までを「0：準拠基準の選定」「1：事前評価」「2：対策の実装」「3：本審査」「4：運用・維持」の5つのフェーズに分けたもので、フェーズごとに必要な作業とその詳細がまとめられている。たとえばフェーズ1では5つのステップが必要となる。また事前対応として「事業体のネットワーク構成の概要ネットワーク図」「ネットワークセグメンテーション方法をまとめた資料」「カード会員データ環境を構成するすべてのシステムコンポーネントの情報など」「カード会員データのデータフロー図など」「カード会員データを保存するファイルとテーブルのリスト」「ハードウェアおよび重要なソフトウェアのリスト」「外部接続業者の一覧」の情報が必要であると述べた。

PCI DSSの監査の際に「リスクが残っている部分の指摘を受けても、具体的にどう対応すれば良いのかまでは教えてもらえない」といった声がよく聞かれるが、それに対しIBMは、PCI DSS事前評価支援サービス、詳細調査支援サービス、実装支援サービスといった、完全遵守までの段階ごとのサービスを用意してあるため、困難なエリアに対しフォローを行い、ゴールを目指して段階的・効率的に取り組んでいくことが可能になっている。

●PCI DSS対策実施の4段階

長谷川氏の講演では、PCI DSS対策までの流れと、IBMの代表的なソリューションの紹介が行われた。PCI DSSの12要件全てに対応するソリューションやサービスをワンストップで提供できるのは同社の強みと言っていいだろう。

IBM QSAでは、QSAによるPCI DSS事前評価支援サービス、指摘事項があった際にはIBMのPCI DSS実装支援サービス、そしてQSAによるオンサイトレビューという3つのフェーズで完全遵守までを説明しているが、長谷川氏はこのうち実際の対策を「現状の課題整理」「対策項目の検討」「対策ロードマップの策定」「対策の実施」の4つのステップで説明した。

具体的には、「現状の課題整理」では、事前評価結果（がある場合）に基づいた課題の確認、社内システム状況の確認、現行セキュリティ・ポリシーの確認、PCI DSS対応状況の確認が必要としており、また「対策項目の検討」では、設定変更、運用変更、製品導入、社内文書対応などの対策項目について検討することが必要とした。これらを優先順位付けアプローチの実施によって、有効な「対策ロードマップの策定」が可能になるという。なお、対応製品など詳細な内容についてはダウンロード可能な講演資料を参照して欲しい。

（提供/協力：日本アイ・ビー・エム株式会社）