大切なクレジットカード情報を守る「PCI DSS」による情報保護：セキュリティ強化塾（4/4 ページ）

[キーマンズネット]

PCI DSS準拠を取得するために

　PCI DSSは、「自己問診」「サイトスキャン」「訪問審査」によって準拠認定可否が決められる。カード情報の取扱い形態や規模によって異なるが、どれか1つでよいわけではない。

自己問診

　取り扱い件数が比較的少ない加盟店などで比較的簡単に実施できるのは自己問診だ。上掲のPCI SSCの日本語ページから、各環境に対応する「自己問診（Self-Assessment Questionnaire）」文書がダウンロードできるので、そのアンケート形式でチェックすれば、対策できている部分とそうでない部分が明確になる。全ての項目に対応できていると答えられれば、準拠が認められる可能性が高い。

サイトスキャン

　ECサイトなどではサイトスキャンが必須だ。認定ベンダー（ASV、Approved Scanning Vendor）のスキャンツールによって、四半期に1回以上の点検を受けることで脆弱性がないことが確認される。ECサイトでなくても、インターネットに接続する場合にはこれが必要だ。

訪問審査

　取り扱い規模が大きい場合には、認定審査機関（QSA、Qualified Security Assessor）による訪問審査が必要になる。

　ただし、自己問診を行う場合でも、実際にはチェック項目に示された対策の実装が十分かどうかを判断する能力、ノウハウ、経験が不足する場合が多い。また、自社の対策の欠陥は自社内では気付かないこともしばしばだ。

　そこで、システムベンダーがコンサルティングにあたることも多いが、マルチベンダー環境の場合に必ずしも最適なシステム変更などができるとは限らない。コンサル料金は安いが、追加機器などのコストが高額になり、また運用管理コストも高止まりしてしまう場合も多い。

　ベンダーロックインを避ける意味でも、第三者的な独立系のコンサル会社に依頼することも考えたい。コンサルのよしあしでコストは5倍以上違うという。コンサル開始から認証取得までは、およそ9カ月〜1年を見ておけばよい。

　なお、PCI DSSへの準拠が自社では難しい部分がある場合、認証済みの決済代行会社の利用などを考える方が合理的かもしれない。できるだけ自社システム内でPANを扱う部分を減らせば、その分だけPCI DSS準拠がしやすくなる。

　もっとも電子処理は全て外部まかせにしたとしても社内の「紙」による記録やレポートなどは必ず残る。それに対してもPCI DSSの要件は順守する必要があるので注意したい。

　以上、今回はカード犯罪の傾向とクレジットカード業界のセキュリティ標準PCI DSSのあらましを紹介した。PCI DSSはカード業界ならずとも、セキュリティポリシーやルール細則の策定の参考になる。PCI DSSに目を通し、自己問診で自社のセキュリティにすき間がないかどうかを確認してほしい。