PCI DSS v4.0 バージョンアップの進捗

PCI DSS が、現行の 3.2.1 から 4.0 へのメジャーバージョンアップを予定している。発行元となる PCI SSC は、2019 年 10 月から 12 月にかけ、関係者からのフィードバックを得ることを目的に初回の RFC を実施した。

製品・サービス・業界動向

2020.5.13 Wed 8:20

　ペイメントカードデータの国際的なセキュリティスタンダードである PCIデータセキュリティ基準（ PCI DSS ）が、現行の 3.2.1 から 4.0 へのメジャーバージョンアップを予定している。発行元となる PCI Security Standards Council（ PCI SSC ）は、2019 年 10 月から 12 月にかけ、関係者からのフィードバックを得ることを目的に初回の RFC（ Request For Comment ）を実施した。PCI SSC のユーザー向けの会員組織である Participation Organization 会員（ PO 会員）、認定セキュリティ評価機関（ QSA ）、認定スキャニングベンダー（ ASV ）に限定して、ドラフト第 1 版が公開された。結果、全世界から約 3,200 件のフィードバックが寄せられた。この数は歴代のバージョンアップでも異例の多さという。本解説記事は、PCI SSC から公開されているブログなどの情報をもとに取りまとめたものであるが、実際の正式な発行の際には大きく変更される可能性がある。既に PCI DSS 準拠済みの企業には、先取りして実装しないことを PCI SSC からも厳格にアナウンスされているためご注意いただきたい。

■要件ごとにセキュリティ目標と意図を明記

　PCI SSC は、PCI DSS v4.0 へのバージョンアップの主な目標として、以下の 4 点を挙げている。

1. ペイメント業界のセキュリティニーズを満たしていること
2. セキュリティを向上するために柔軟性と新しい手法への対応を追加すること
3. 継続的なプロセスによりセキュリティを促進すること
4. 各要件の検証方法と手順をさらに改良すること

　これを受けて公表されたドラフト第 1 版では、よりセキュリティ目標にフォーカスする形で、既存要件の改訂や、新規要件の追加が行われる予定である。PCI DSS を構成する 12 要件についてはバージョン4.0 でも基本的に変更されることはない。

■カスタマイズバリデーションにより柔軟なアプローチが可能に

　従来の PCI DSS は、セキュリティ要件を厳密に満たすよう対策を求める技術基準であり、定義されたテスト手順に従うことにより、QSA や内部セキュリティ評価人（ ISA ）は明確な適合性の評価が可能であった。PCI DSS v4.0 では、定義された従来の手法に加え、よりセキュリティ目標にフォーカスした新たな要件の評価の方法として「カスタマイズバリデーション」を提示している。

　カスタマイズバリデーションは、各 PCI DSS 要件の意図とセキュリティ目標に注目する。要件に厳密に従わなかったとしても、意図に沿ってセキュリティ目標が満たせていることが示せればよいことになる。従って、どのようなテクノロジーで準拠すれば良いかは、準拠企業が自由に考えることができ、柔軟なアプローチが可能になる。一方で大きく影響を受けるのは、従来からある「代替コントロール」の考え方である。

　現行の PCI DSS v3.2.1 では、正当な技術上の制約、または文書化されたビジネス上の制約がある場合に限って、記載されている通りに明示的に要件を満たすことができない場合に、要件に記載されたのとは異なる手段で対応する代替コントロールの適用を認めている。PCI DSS v4.0 のカスタマイズバリデーションの考え方を取る場合、要件のセキュリティ目標と意図に対して、とり得る対応策は自由に考えられる。カスタマイズバリデーションという新たな考え方は、技術的な制約やビジネス上の制約が無くても、要件の意図に適合し、リスクに対応できることを評価者に示せれば、要件を満たすと認められる。

　カスタマイズバリデーションを認めることで、準拠企業は PCI DSS 対象範囲に、目的に応じた最新のセキュリティ技術を取り入れることが可能になる。セキュリティ目標と技術を理解した企業にとっては、より柔軟な手法で PCI DSS に準拠しつつ、セキュリティを強化できる。一方で、準拠性を評価する QSA や ISA にとっては、単にテスト手順の判断にとどまらず、セキュリティ目標の本質的な理解が必要となる。

■外部のクラウドサービスを考慮

　2019 年 9 月に PCI SSC のブログに掲載された” 5 Questions About PCI DSS v4.0 ”では、カスタマイズバリデーション以外にも、PCI DSS v4.0 の変更点として以下を挙げている。

1. 組織が PCI DSS の範囲を検証するための要件
2. サービスプロバイダーへの追加要件
3. 異なる認証の選択肢を視野に入れたパスワードに関する要件の見直し
4. リスク管理プロセスをより明確にし、組織に指針を提供するためのリスクアセスメント要件の更新

　また、従来は PCI DSS 要件の補助文書（ Information Supplement ）として提供していた、パブリッククラウドサービスなど新しい技術への対応についても取り込んでいくことが示されている。PCI DSS の対象範囲として外部のクラウドサービスを扱えるよう、既存の要件については要件表記が変更され、必要に応じて新たな要件が追加されることが予想される。特にクラウドサービスプロバイダーの役割と期待される対応については、付録書（ Appendix ）A として取りまとめられる予定である。

■ PCI DSS v4.0 正式版公表は 2021 年以降

　前述の 2019 年 12 月に締め切られた RFC の約 40 ％は加盟店からのものだったという。PCI SSC では全てのフィードバックをレビュー後、ドラフト第 2 版を作成し、2 度目の RFC を実施する予定である。時期はおそらく 2020 年中盤から後半になると思われるが、現在の世界中で蔓延する新型コロナウィルスの影響により遅れることも想定される。

　2020 年 3 月に PCI SSC のブログに掲載された” How Industry Feedback is Shaping the Future of PCI DSS ”では、PCI DSS v4.0 の正式版の公表は早くても 2021 年以降であり、移行期限は公表から 2 年後であるとしている。2019 年春の時点では 2020 年下半期の公表を目指していたので、フィードバックの結果、スケジュールは少し遅くなっている。

　繰り返しになるが、第 1 回の RFC で公開された版はドラフトであり、最終版の PCI DSS v4.0 とは異なることを強調した上で、ドラフト版の記載に沿った実装は控えるようにと、PCI SSC は厳格にアナウンスしている。数多くのフィードバックを受けて、第 2 ドラフトの内容についても今後変更されることが想定される。

瀬田陽介（せたようすけ）

ｆｊコンサルティング株式会社代表取締役CEO

　PCI DSSの認定評価機関（QSA）代表、日本初の PCI SSC 認定フォレンジック機関（ PFI ）ボードメンバーを経て 2013 年ｆｊコンサルティング株式会社を設立。キャッシュレスやセキュリティのコンサルタントとして、講演・執筆活動を行う。(株) GRCS アドバイザー、BSI Professional Services Japan テクニカルアドバイザー、日本カード情報セキュリティ協議会（ JCDSC ）ユーザー部会世話役

PCI DSS v4.0 バージョンアップの進捗

関連リンク

編集部おすすめの記事

特集

PCI DSS（Payment Card Industry Data Security Standard）

ｆｊコンサルティング株式会社

製品・サービス・業界動向アクセスランキング

度を超えたハラスメント行為者セガ従業員に損害賠償支払い2024.7.26 Fri 8:05

マクニカネットワークスが忘れない CrowdStrike 三つのエピソード2019.3.7 Thu 8:30

デロイトと JFEスチール、サイバーセキュリティの合弁会社設立2024.4.11 Thu 8:00

大阪の奇跡「純国産SOCサービス」セキュアヴェイル、垂直統合までの20年2021.6.23 Wed 8:15

GMOイエラエ、カルチャーデック公開2024.7.24 Wed 8:00

ジョン・マカフィーの死から三年、新CEOにクレイグ・バウンディ氏2024.7.22 Mon 8:00

日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行2024.7.23 Tue 8:00

GMOイエラエ「ホワイト企業認定」最高ランクのプラチナ取得三回目2024.7.23 Tue 8:00

人を標的とした脅威から守るために～ KnowBe4 が Egress 買収2024.7.24 Wed 8:00

映画製作委員会への出資で得る権利をセキュリティ・トークン化して小口販売2024.7.25 Thu 8:00