クレジットカード情報の流出などのニュースを耳にすることが増え、それと呼応してカード犯罪も増加の一途をたどっています。そんな中ますます注目を集めるセキュリティー・スタンダードがPayment Card Industry Data Security Standard(以下、PCI DSS)です。
国際的なカード会社であるVisaからは、PCI DSS遵守の国際的な義務化に向けたタイムラインも発表され、いよいよ真剣に取り組む時期にきています。
ここでは、PCI DSSの動向やバリデーションの手続きなどについて、Visaの場合を例にご説明します。IBMはPCI DSSの推進協議団体が評価機関として認定する企業でもあり、PCI DSSに総合的に対応するソリューションをご提供しています。
カード業界を取り巻く環境とセキュリティーの重要性
昨今、国内外のクレジットカード加盟店や業務委託先からのカード会員データに関わる情報流失事件が、大小を問わず多数報告されています。情報を盗み出す不正アクセスの手口として知られるSQLインジェクション攻撃も増え続けており、IBMセキュリティー・オペレーション・センターの調査では、昨年(2008年)12月には攻撃数がそれまでの月間平均検知数の約200倍にも上っています。
カード・ビジネスが順調に成長を続ける一方でカード犯罪も増え続けており、犯罪に結びつく情報の流出を防ぎ信頼を維持するために効果的な対策が広く求められているのが現状です。カード会員データの保護に対する注目は高く、法制度をも視野に入れた企業側の積極的な対応が必要となりつつあります。
そういった背景から効果的なカード会員データ保護のために2004年に発表されたのが、PCI DSSです。これは、国際ペイメントカードブランドであるAmerican Express、Discover、JCB、MasterCard、Visaが共同で策定したクレジット業界におけるグローバル・セキュリティー基準で、昨年(2008年)10月には最新版であるバージョン1.2が公開されています。
現在PCI DSSは、先ほど名前の挙がった国際ペイメントカードブランド5社が共同で設立した推進協議団体 PCI Security Standards Council, LLC.(PCI SSC)によって策定や運用が行われています。IBMは、PCI DSSで定められるセキュリティー対策が実現できているか技術的診断により確認し判定することができる評価機関(ASV)として、PCI SSCの認定を受けています。また専門技術者(QSA)による監査(訪問調査)を提供し、PCI DSSの遵守状況を確認し判定することができる認定企業でもあります。
PCI DSSをめぐる各事業者・組織の関係
さらに重要性が高まるPCI DSSの動向
これまで日本では、アメリカと比較してアクワイアラ(加盟店契約会社)から加盟店に対するPCI DSS遵守に関する強制力はあまり強くありませんでした。しかしながら昨今の情報漏洩事件を背景に、国際ペイメントカードブランド各社から加盟店やサービスプロバイダ(決済サービス事業者など)へのPCI DSS遵守を促す動きが高まってきています。今後PCI DSSは、監査レベルの統一化の動きが活発化し、監査においてはさらに厳密なチェックが行われるようになるでしょう。
カード情報が個人情報に該当するということを考えると、個人情報保護法、あるいは改正された割賦販売法といった法令を遵守するという意味でもなんらかのセキュリティー対策が必要になるはずです。現在PCI DSSは業界標準という位置づけですが、そういった観点からも有効で、実効性のある完成度の高い基準といえるでしょう。
一般に情報資産保護の観点で導入されるInformation Security Management System(ISMS:情報セキュリティーマネジメントシステム)は、その名の通りマネジメントのための仕組みです。一方PCI DSSは実装面を重視したガイドラインですから、両方が補完的に働きます。PCI DSSは、単にバリデーション(遵守状況確認)を受けて国際ペイメントカードブランドとの継続的なビジネスを行うためというだけでなく、セキュリティー強度の向上のため、安全の確保のために必要なのです。
IBMの考えるガイドラインの適用範囲
クイックなアセスメントから対策実施・運用まで
Visaは、昨年(2008年)11月に出したニュース・リリースによってPCI DSS遵守をVisa全地域共通にするとともに加盟店のレベルとPCI DSSバリデーション要件の統一を行い、そのバリデーションに期限を設けました。それによるとアクワイアラは、レベル1およびレベル2の加盟店が取り引き認証後に保管が禁止されている決済カード情報を保管していないことを、今年(2009年)の9月末日までに証明しなければなりません。同様に来年(2010年)9月末日までには、すべてのレベル1加盟店がPCI DSS遵守バリデーションを終わらせなければなりません。レベル1加盟店とは、年間のVisaの取り扱い件数が6百万件以上の加盟店またはグローバル・レベル1加盟店に属する日本における加盟店で、バリデーション要件としては (1)QSA作成の年次遵守報告書、(2)ASVの四半期脆弱性スキャン、(3)遵守証明書、の3つが要求されています。
IBMでは、PCI DSS完全遵守に向けたトータル支援サービスをご提供しています。
「PCI DSS事前評価支援サービス」では、簡易アセスメント(ギャップ分析)を実施することで、潜在的な未遵守項目を洗い出し、その対策案と対策実施のロードマップをご提供いたします。また、「PCI DSS QSAオンサイトレビュー」では、PCI SSCの認定を受けた評価機関として、完全遵守を審査するQSAオンサイトレビューを実施します。それにより、国際ペイメントカードブランドが要求するサービスプロバイダまたは加盟店としてのバリデーションおよび報告要件に対応することが可能です。
さらに「PCI DSS実装支援サービス」では、IBMデリバリーチームが、PCI DSSに関して実装支援サービスを含む改善策対応のソリューションを提供します。具体的には、事業者への事前PCI DSS説明会をはじめ、要件定義フェーズから運用開始にいたるまで、PCI DSSバージョン1.2に適合するカード会員データ環境を構築するための支援サービスをご提供いたします。
以上のように、IBMはお客様に対して、サービスを一貫してご提供できるソリューションベンダーです。IBMならワンストップでアセスメントからバリデーションまでのすべてをご支援できますので、全体プロジェクト管理と個別プロジェクト実行において、運用やコスト、期間の最適化が可能となります。
IBMのPCI DSS遵守トータル支援サービス
筆者紹介
日本アイ・ビー・エム株式会社
ITSソリューション・センター
セキュリティー・ソリューション
プロフェッショナル・サービス マネージャー
PCI Qualified Security Assessor(QSA)
西 誉
本記事中に記載の数値や固有名詞等は初掲載当時のものであり、閲覧される時点では、変更されている可能性があることをご了承ください。
他の会社名、製品名およびサービス名等はそれぞれの各社の商標。
