守るべき12の重要なPCI DSS要件

PCIコンプライアンスとは?

PCIコンプライアンスとは、Visaによって定められた義務的な基準であり、決済取引の安全性を守るためのものです。加盟店は、カード保有者から受け取った情報をカード決済事業者を通じて伝送する際、それらの情報を守るための技術的および運用上の指針に従います。

これらのPCI規範は、PCIセキュリティ標準評議会により策定、更新、管理されます。

PCI DSSの12項目の要件とは?

PCI準拠の指針には、運用上および技術上の要件が含まれており、その目的はカード保有者の情報を守ることです。

これらの要件には、以下の内容が含まれます:

1. カード保有者の情報を守るために、ファイアウォールの導入と設定を行う。
2. システムパスワードやその他のセキュリティ設定に、加盟店提供の初期値を用いない。
3. カード保有者の情報を守る。
4. 公衆ネットワークを通じて送信する際、カード保有者情報の伝送を守る。
5. ウイルス対策ソフトの導入と定期的な更新を行う。
6. セキュリティシステムやアプリの設定と運用を行う。
7. 業務上必要な者のみ、カード保有者情報へのアクセスを制限する。
8. システムにアクセスする各利用者に固有のIDを割り当てる。
9. カード保有者情報への直接アクセスを無効にする。
10. システム資産やカード保有者情報へのアクセスを追跡・監視する。
11. セキュリティシステムとプロセスを定期的に更新する。
12. 全従業員の情報管理ポリシーを策定し、維持する。

これら12項目のPCI DSS要件は、加盟店がカード情報を守り、PCI DSSに準拠するために実施すべきセキュリティ指針の集合です。

‍

カード保有者情報を守るために、ファイアウォールの導入と設定を行う

この要件は、加盟店や決済事業者が堅牢なファイアウォールを設置し、ネットワークを守ることを求めています。適切に設定されたファイアウォールは、カード決済環境のデータを守ります。ファイアウォールは、貴社が設定したルールに基づき、ネットワークへのアクセスや通信を制限します。

ファイアウォールは、ネットワークの安全を守る第一の防衛線です。貴社はファイアウォールとスイッチのルールを設定し、ネットワークへのアクセス許可や拒否の基準を確立する必要があります。設定ルールは少なくとも年に2回更新・評価し、いかなる設定もカード決済環境へのリスクを許さないようにすべきです。

システムパスワードやその他のセキュリティ設定に、加盟店提供の初期値を使わない

この要件は、ファイアウォール、ネットワーク機器、アプリ、リモートアクセスなど、貴社のセキュリティにさらなる層を加えることに重点を置いています。多くのシステムや機器は、初期状態で業界標準の設定（ユーザー名、パスワードなどの弱点となりうる設定）を持っています。これら初期設定は推測されやすく、場合によってはインターネット上に公開されていることもあります。

この要件では、パスワードその他のセキュリティ対策に初期設定を使用しないことが求められています。カード決済システムも、システムへのアクセス管理や追加のセキュリティ層を維持する必要があります。これらの対策は、新しいシステムをIT基盤に組み込むたびに見直されるべきです。

‍

カード保有者情報を守る

これはPCIコンプライアンスの中でも最も重要な要件といえます。要件3では、保存される全ての情報とその保存期間について把握する必要があります。カード保有者の認証情報およびその他のデータは、業界で認められた手法（例：AES-256、RSA 2048）により、暗号化、短縮化、トークン化、またはハッシュ化（例：SHA-256、PBKDF2）される必要があります。加えて、金銭情報の暗号化だけでなく、確実なPCI DSS用の暗号鍵管理対策を講じる必要があります。

多くの場合、システム業者や加盟店は、復号化された重要なデータを保存していることに気付いていません。このため、カード情報の露出を防ぐ対策ツールの使用が不可欠です。ログ、データベース、会計システムなどにデータが保存される箇所が一般的です。この要件には、重要なデータの表示方法についても規定があり、例えば、先頭6桁と末尾4桁のみを表示するよう求められています。

‍

公衆ネットワークを経由する際のカード保有者情報の伝送を守る

要件3と同様に、カード決済システムは、特にインターネット、802.11、Bluetooth、GSM、CDMA、GPRSなどの公衆ネットワークを通じて情報が送受信される際、カード保有者情報を守るための対策を講じる必要があります。情報の送受信先には十分注意し、通常、カードデータは決済ゲートウェイやプロセッサへ適切に送信されます。

十分なセキュリティ対策が講じられていない公衆ネットワークでは、サイバー犯罪者によってカード保有者情報への不正アクセスが行われる恐れがあります。情報送信前の暗号化や、TLS、SSLなどの安全な伝送プロトコルの利用により、情報漏洩のリスクを低減できます。

‍

ウイルス対策ソフトの導入と定期更新を行う

この要件は、各種マルウェアから決済システムを守るためのものです。携帯端末、PC、ワークステーションなど、従業員が日常業務で利用するシステムにはウイルス対策ソフトが導入されている必要があります。ウイルス対策ソフトは、最新の脅威に対応できるよう定期的に更新されるべきです。常に最新の状態に保つことで、システムは最新のウイルスから守られます。

システムとアプリの安全を守り、維持する

決済システムの各プロバイダーは、外部からの攻撃により生じるセキュリティの脆弱性を識別し、対応する必要があります。貴社は、こうした脅威に対抗するため、最新の対策を常に講じなければなりません。決済業界に関わる全てのデータ、以下を含むものについて対策を講じる必要があります：

• アプリ開発
• システム
• ファイアウォール、スイッチ
• POS端末
• データベース

また、クレジットカード会社は、各部門で講じられているセキュリティ対策を含む、全体的な改善策を策定し実施する責任があります。

業務上必要な者のみカード保有者情報にアクセスを許可する

不正アクセスを防止するため、加盟店やシステム業者は、カード保有者情報システムへのアクセスを許可または拒否できる仕組みを整える必要があります。この要件は、最小限の情報だけでカード情報やシステムにアクセスできるようにするロールベースアクセス制御（RBAC）に重点を置いています。つまり、各担当者は自らの業務に応じた権限のみを保持することを意味します。

「必要な情報のみ」を知るという考えはPCI DSSにおいて重要です。アクセス制御システムは、機密情報が不適切な者に渡らないよう、各要求を管理する必要があります。各利用者の役割、業務内容、許可される権限、そしてカード情報取り扱いに必要な情報資産について、記録を作成することが求められます。

システムアクセスを許可する各利用者に固有のIDを割り当てる

PCI DSSの要件8では、共有のユーザーやパスワードの使用が禁止されています。カード情報システムにアクセスする各利用者には、固有のIDと強固なパスワードで認証させる必要があります。これにより、カード保有者の金融情報へのアクセスが特定の利用者に紐付けられ、システム内での責任が明確になります。規制対象外のアクセスには、二要素認証が求められます。

カード保有者情報への物理的なアクセスを制限する

この要件は、カード保有者情報を含むシステムへの不正な物理アクセスを防ぐためのものです。物理的なアクセス制御がなければ、不正な者がシステムに侵入し、重要なシステムを奪取、破壊、妨害、または改変する恐れがあります。

本要件では、防犯カメラや電子アクセス制御を用いて、サーバールームなどの物理エリアを監視することが求められます。従業員の入退室記録も、定期的に保存する必要があります。また、システムの正規利用者、認可されたゲスト、従業員を区別できるアクセス制御を構築し、カード保有者の金融情報を含む全ての携帯またはリムーバブルメディアは安全に管理し、不要なものは削除する必要があります。

ネットワーク資産およびカード保有者情報へのアクセスを追跡・監視する

物理的及びリモートネットワークの脆弱性は、サイバー犯罪者がカード保有者から機微な情報を盗む隙となります。この要件では、全システムに適切な監査体制を整え、ログを中央サーバーに集約することが求められます。ログは、違法または疑わしい活動を検知するため、少なくとも日次で確認される必要があります。

セキュリティログやイベント監視ツール（SIEM）は、システムやネットワークの活動を記録・監視し、疑わしい動きを通知するのに役立ちます。PCI DSSでは、監査証跡の記録が一定の基準を満たすよう管理され、時刻同期も重要です。ログは、十分な期間保存されなければなりません。

セキュリティシステムとプロセスを定期的に更新する

外部の攻撃者やハッカーによって新たな脆弱性が次々と発見されています。そのため、全システムやプロセスは、セキュリティレベルを最適に保つため、定期的にテストされる必要があります。

以下の定期チェックと更新が求められます：

1. リモートスキャナーを使用し、承認済みおよび未承認のリモートアクセスを四半期ごとに検出する。
2. CDE内で公開されている全ての外部IPやドメインは、PCI承認済みスキャニングベンダー（ASV）で四半期ごとにスキャンされる必要がある。
3. 内部脆弱性スキャンも四半期ごとに実施されなければならない。
4. 全ての外部IPは、アプリの侵入テストやネットワークアクセステストを定期的、または大規模変更後に実施する必要がある。

ログ監視も非常に重要です。システムは、週ごとにログの相関解析を行い、見逃されがちな変更を特定できる設計とする必要があります。

全従業員の情報管理ポリシーを策定し、維持する

PCIコンプライアンスの最後の要件は、従業員や関係者の情報安全を守るという、PCI DSSの根幹に関わるものです。策定された情報セキュリティポリシーは、年に一度監査され、従業員や業者に周知される必要があります。各担当者は、内容を十分に理解した上で確認することが求められます。

この要件では、以下の対策の実施も求められています：

● 年次のリスク評価を実施し、重要資産、脆弱性、及びシステムに対する脅威を特定する。

● 従業員へのセキュリティ意識向上のトレーニング

● 従業員記録の確認

● インシデント管理

これらの要件は、QSAによって厳格に監査され、十分に実施されていることが確認されます。

PCI DSSの準拠は、リソースが豊富な大企業にとってさえ容易な作業ではありません。維持が手間に感じられるかもしれませんが、多くの利点があります。貴社が直面し得る困難にもかかわらず、PCI DSSの実施に努めるべきであり、そうしないと厳しい罰則が科せられる可能性があります。