大切なクレジットカード情報を守る「PCI DSS」による情報保護：セキュリティ強化塾（2/4 ページ）

[キーマンズネット]

PCI DSSで守る情報とは？

　PCI DSSは、クレジットカードの国際5大ブランドといわれるAmerican Express、Discover、JCB、MasterCard、Visaが利害関係を超えてセキュリティ強化のために策定した業界の統一セキュリティフレームワークだ。5大ブランドで設立したPCI Security Standards Council（PCI SSC）がその普及に努めている。

　PCI DSSは、クレジットカードのPAN（会員番号、Primary Account Number）を保存、処理、伝送する組織と環境が備えるべき要件を定義する。PANは当然カード会員の最重要機密情報だ。これを保護するとともに、PANにひも付けられる各種情報もまた保護対象だ。

• 磁気ストライプから読み取れる情報
  • PAN：クレジットカード番号。一般に16桁の数字
  • 有効期限：PANの有効期限を示す「0914」というような4桁の数字
  • 氏名：ユーザーの氏名
  • カード認証用のコード（CVV、CVC、CID）：カードの正当性を示すコード
• カード表面や裏面から読み取れる情報
  • 磁気ストライプ内の情報からカード認証用コード以外の全部
  • 氏名とセキュリティコード（CAV2、CVC2、CVV2、CID）：カード署名欄の右上または表面に印字された3桁または4桁のコード。ECなどでの決済の際に署名確認の代わりに利用される
• ICチップ内の情報
  • 暗証番号（PIN：Personal Identification Number）：本人確認用の番号。ICカードリーダーを備えたPOSレジなどで署名の代わりに利用できる

　こうした情報を取り扱うのは「ブランド」の他、「加盟店」「カード発行会社（イシュアー）」「加盟店向けサービス提供業者（アクワイアラー）」「決済代行会社」といった関係各社だ。全てのメンバーが、それぞれの取り扱う情報内容に応じたPCI DSSへの準拠が求められる。

　PCI DSSは2006年に初版、2010年に第2版、2013年に第3版と改訂が重ねられ今に至る。目的はセキュリティ侵害の可能性および侵害が発生した場合の影響を最小限に抑えることであり、そのために備えるべきセキュリティ対策が大きく12要件にまとめられた。

　それら要件を自社が備えることを申請し、審査機関の審査をクリアした場合に、PCI DSS準拠が取得できる。この認証を受けることで次のようなメリットがある。

PCI DSS準拠を取得するメリット

• クレジットカード運用のリスクを低減できる
• 自社への信頼感やブランディングに役立つ
• カードの不正使用が生じた場合、損害補償義務を免れる場合がある

　肝心なのは、PCI DSSへの準拠を目指せば必ずセキュリティ強化が実現することだ。ただし、準拠しているからといって安心というわけではなく、PCI SSCでは準拠は最低限の水準を示すとされており、適切な運用が求められる。

　準拠が認められれば、その事実を第三者が簡単に確認できることになり、信頼感は増す。なお、クレジットカード番号の漏えいを起こした場合、各ブランドからフォレンジックス調査、PCI DSS準拠（オンサイト監査）調査などが必須となる。

　ITのセキュリティ標準としてISMS（情報セキュリティマネジメント標準）が有名だが、こちらはセキュリティ管理のPDCAサイクルをいかに効果的に回して運用を改善するかに重点が置かれ、必ずしもサーバやネットワークのセキュリティ対策を詳細に規定しているわけではない。

　PCI DSSは、情報漏えいリスクを低減するために何をすればよいかに重点が置かれ、具体的なレベルで記述されるのが特長だ。PCI DSSをベースにしたセキュリティ体制を確立し、その後も適切に運用するために、ISMSが生かされると考えるとよいだろう。

　ただし、PCI DSSでも例えば「四半期に一度の脆弱性スキャン」や「1年に1回のペネトレーションテスト」「週1回の重要ファイルの比較」などを最低限実施するよう求めており、継続的な検証と改善が織り込まれる。さらに運用やウイルス対策、委託先管理などについての記述が加えられたのも特長だ。

PCI DSSの12要件

　PCI DSSの定める12要件を簡単に紹介しておこう。

安全なネットワークの構築と維持

要件1：カード会員データを保護するために、ファイアウォールをインストールして構成を維持する

要件2：システムパスワードおよび他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない

カード会員データの保護

要件3：保存されるカード会員データを保護する

要件4：オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持

要件5：全てのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する

要件6：安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入

要件7：カード会員データへのアクセスを、業務上必要な範囲内に制限する

要件8：システムコンポーネントへのアクセスを確認・許可する

要件9：カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト

要件10：ネットワークリソースおよびカード会員データへの全てのアクセスを追跡および監視する

要件11：セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの維持

要件12：全ての担当者の情報セキュリティに対応するポリシーを維持する

　これらの要件について、それぞれ多くのテスト手順が規定される。実際のドキュメントはPCI SSCの日本語サイトからダウンロードできるので詳細は確認してほしい。ここでは、その具体的な例を少しだけ紹介しておこう。