PCI DSSとは？PCI DSSに準拠したクラウドサービスをご紹介

ペイメント

「PCI DSS」とはVISAやJCBなど国際的なカードブランド5社により策定された、クレジットカードのセキュリティに関する基準です。この基準を満たすことでどのようなメリットがあるのか、本記事では概要や求められる要件のほか、PCI DSSの認証取得方法、PCI DSSに準拠したWebサービスなどを詳しく解説します。

PCI DSS（Payment Card Industry Data Security Standard）とは

この「PCI DSS」は、一体どのような経緯で策定され、運用されるに至ったのでしょうか。

PCI DSSはクレジットカード業界のセキュリティ基準

PCI DSS（Payment Card Industry Data Security Standard）は、国際カードブランドであるAmerican Express・Discover・JCB・MasterCard・VISAによって2004年12月に策定された、クレジットカード業界のセキュリティに関する基準です。
※以下、上記5社を「国際カードブランド5社」と呼ぶことにする。

PCI DSSは、国際カードブランド5社が共同で設立したPCI SSC(PCI Security Standards Council)によって管理・運営が行われており、対象はクレジットカードの発行会社や加盟店などクレジットカード業界に携わる事業者全般で、下記の6つを主な目的としています。

安全なネットワークとシステムの構築と維持
カード会員データの保護
脆弱性管理プログラムの整備
強力なアクセス制御手法の導入
ネットワークの定期的な監視およびテスト
情報セキュリティポリシーの整備

それぞれの目的に紐づく形で細かく要件が規定されており、各要件を満たすことで一定以上のセキュリティ品質を担保できます。

このPCI DSSが策定される以前は各ブランドがそれぞれ独自のセキュリティ基準を定めており、加盟店は各ブランドによって異なる対応を必要とされていました。
さらにインターネットの普及によりオンライン上でのカード決済が増え、悪質なサイバー攻撃に見舞われることもありました。このような状況で加盟店はさらなる負担を強いられ、結果としてカードの不正使用や顧客データ流出などの被害が多発する事態となったため、この状況を打破するべく、国際カードブランド5社がセキュリティに関する統一的な基準を策定するに至りました。
PCI DSSに準拠することで、より効果的なセキュリティ体制を確立でき、顧客データ流出や不正使用などのリスクが大幅に低減します。

2022年3月にPCI DSS v4.0がリリース

PCI DSSは、定期的にバージョンアップされています。最新バージョンは2022年3月にリリースされたv4.0で、前回のv3.0がリリースされてから約8年ぶりのリリースとなりました。

基本的な構成など主軸の部分に変更はないものの、既存のバージョンをもとに各種要件にさらなる対策強化が施されています。主な変更としては、「機密認証データの漏洩事故を防ぐための要件の厳密化」「フィッシング攻撃を検出・防御するためのプロセスおよび自動化メカニズムの実装」「ユーザーアカウントのパスワードの条件の厳密化」などが挙げられ、昨今の情報漏洩やセキュリティ攻撃の状況を踏まえ、各要件がさらに厳しくなっています。

PCI DSSの6つの目標と12個の要件

PCI DSSでは、6の目標とそれぞれの目標に対応する12の要件が規定されており、そして12の要件は、全部で約400の項目に細分化されています。それぞれの概要は以下の通りです。

1. 安全なネットワークとシステムの構築と維持

本カテゴリでは、ファイアウォールとルータの安全な設定方法と運用方法のほか、サーバやネットワーク機器においてデフォルト設定値を使用しないことを含む、セキュリティ強化基準の策定がされています。

要件1「カード会員データを保護するために、ファイアウォールをインストールして構成を維持する」は、カード会員データを扱うシステムネットワークに関する内容です。ここではシステムネットワークの構成を視覚化した「システムネットワーク図」を作成し、常に更新することが求められています。
また、外部ネットワークと内部ネットワークの間には、ファイアウォールの導入およびファイアウォールの適切な設定の実施も求められており、カード会員データは保護されていない領域への保管を禁じています。

要件2「システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない」は、カード会員データを扱うシステムのパスワードに関する内容です。カード会員データを扱うパソコンやサーバ、ネットワーク機器などは、デフォルトのパスワードが変更されていることが求められています。デフォルトのパスワードは大抵のケースで容易に特定できてしまうため、使用を禁じています。

2. カード会員データの保護

本カテゴリでは、データの保護及び伝送時の安全確保について策定しています。

要件3「保存されるカード会員データを保護する」は、カード会員データの保管に関する内容です。顧客情報を一方向ハッシュ・トランケーション・インデックストークン・暗号化の4種類の方法で、必要最低限の情報を必要最低限の期間のみ安全に保管することを求めています。また、保管する必要がなくなった情報は、安全な方法で即座に廃棄しなければなりません。

要件4「オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する」は、カード会員データの伝送に関する内容です。カード会員データは伝送する際にももちろん安全性が確保されていなければなりません。オープンな公共ネットワーク上で伝送する際には、SSLやIPsecといった技術を用いて暗号化することが求められています。

3. 脆弱性管理プログラムの整備

本カテゴリはシステムの脆弱性を管理するためのプログラムの整備方法について策定しています。

要件5「すべてのシステムをマルウェアから保護しウイルス対策ソフトウェアまたはプログラムを定期的に更新する」は、カード会員データを扱うシステムのウイルス対策に関する内容です。まず、ウイルス対策ソフトウェアをインストールすることが求められています。これは、ネットワークに接続するすべてのパソコンやサーバ、POS端末などが対象です。そしてすべてのウイルス対策ソフトウェアにおいて、定期的にウィルススキャンを実施すること、システム担当者以外のユーザーによって、設定変更ができない仕組みにすることが求められています。

要件6「安全性の高いシステムとアプリケーションを開発し保守する」は、カード会員データを扱うシステムやアプリケーションの安全性確保に関する内容です。ベンダが提供する最新のセキュリティパッチを適用すること、また重要なセキュリティパッチについてはリリース後一ヶ月以内に適用することが求められています。

4. 強力なアクセス制御手法の導入

本カテゴリではアクセス制御について策定しています。

要件7「カード会員データへのアクセスを、業務上必要な範囲内に制限する」は、カード会員データへのアクセス権に関する内容です。
カード会員データへのアクセスは業務上必要な最小限のユーザーのみに限定し、アクセスする必要がなくなったユーザーのアクセス権はセキュリティリスクを低減するため、即座に削除する必要があります。また、特権ユーザーへのアクセス権の付与および削除は、書面を用いた承認プロセスを経ることが求められています。

要件8「システムコンポーネントへのアクセスを識別・認証する」は、カード会員データへのアクセス方法に関する内容です。ユーザーごとに個別のアカウントを割り当てることが求められており、アカウントを複数のユーザーで共有するようなことはあってはならず、必ず一人のユーザーとひとつのアカウントが結びつく必要があります。また、無効ログインが一定回数以上繰り返された場合は一定期間ロックアウトすること、リモートでアクセスする場合は、ID・パスワード以外の要素（生体認証など）も組み合わせて認証する「多要素認証」にすることなども求められています。

要件9「カード会員データへの物理アクセスを制限する」は、カード会員データへの物理的なアクセス制限に関する内容です。ビルやサーバルーム、データセンターなど、カード会員データを保管するエリアへの物理的アクセスは必要最低限に制限することが求められています（小売店のレジなど、POS端末のみが存在するエリアは除外する）。また、ビデオカメラなどで物理的アクセスを監視することが求められています。

5. ネットワークの定期的な監視およびテスト

本カテゴリはログ管理とテストについて策定しています。

要件10「ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する」は、カード会員データのアクセスログに関する内容です。「誰が、いつ、何を実施したのか」というアクセスログを確実に取ることが求められています。アクセスログに使用する時刻は、国際原子時など正確な時刻ソースに基づくものである必要があります。また、そのアクセスログは変更できない仕様である必要があります。

要件11「セキュリティシステムおよびプロセスを定期的にテストする」は、カード会員データを扱うシステムのテストに関する内容です。定期的に脆弱性診断やペネトレーションテストなどを行うことが求められています。システムはある時点で問題がなかったとしても、状況は日々変わっていくため定期的なテストを怠ってはいけません。また、日々発見される新しいサイバー攻撃手法や、システム改修に伴って発生しうるリスクを識別・検知・修正するためのテスト方法が記載されています。

6. 情報セキュリティポリシーの整備

本カテゴリは、システム上の設定・手順ではなく、ポリシー維持について述べられた項目です。

要件12「すべての担当者の情報セキュリティに対応するポリシーを整備する」は、情報セキュリティポリシーに関する内容です。カード会員データや、それを取り扱うシステムの利用に関するセキュリティポリシーを作成することが求められています。また、その上でカード会員データにアクセスする全てのユーザーに教育を行うこと、環境の変化に伴って内容を更新することなどが求められています。

参照：https://www.pci-dss.jp/require.html

PCI DSS認証取得の方法

実際にPCI DSS準拠の認証を得るためには、訪問審査・サイトスキャン・自己問診といった項目を実施する必要があります。
必ずしも全てを実施する必要はありませんが、取り扱うカードブランドや会員データ件数によって最低ひとつはクリアしなければなりません。

訪問審査

PCI SSCによって認定された審査機関、QSA（Qualified Security Assessor）による実地での審査です。QSAの一覧は、PCI SSCのサイトに掲載されており、システムやその運用方法・重要情報の取り扱いなどについて、調査やインタビューなどを行います。主に大規模のカード情報を扱う事業者に求められる認証方法です。

サイトスキャン

PCI SSCによって認定された審査機関、ASV（Approved Scanning Vendor）による遠隔地からの審査です。ASVの一覧もQSAと同様、PCI SSCのサイトに掲載されており、スキャンツールを用いて、インターネットに接続されているネットワーク機器やサーバ機器、アプリケーションなどの脆弱性をチェックします。主に中規模のカード情報を扱う事業者に求められる認証方法です。

自己問診

事業者が自らで行うアンケートです。PCI DSSに示された各要求事項に基づいた自己評価問診票、SAQ（Self-Assessment Questionnaire）の設問に、「はい」or「いいえ」or「該当なし」で回答することにより、PCI DSSが求める要件をどれだけ満たしているかをチェックします。設問は300問以上あり、業態ごとに多くの種類に分かれているため、隈なく内容を確認した上で回答してください。また、主要な50問をまとめた簡易診断表もあります。主に小規模のカード情報を扱う事業者に求められる認証方法です。

PCI DSSの導入が必要な企業

PCI DSS準拠の対象となる事業者は、カード会員データを保存・処理・伝送するすべての事業者で、年間のカード取引量に応じて準拠する必要があります。主に次のような事業者が該当します。

クレジットカード加盟店
クレジットカード発行会社（イシュア）
クレジットカード加盟店管理会社（アクワイアラ）
決済処理代行会社（プロセサー）

業界で言えば、金融業界（クレジット会社、クレジットカード発行金融機関）、流通業（大手百貨店、スーパー、量販店）、通信業（携帯電話会社、新聞、通信会社）が該当事業者として挙げられます。また、カード取引量が基準に満たなくても、各カードブランドが制定するセキュリティ基準プログラムに準拠しなければならないので注意しましょう。

PCI DSS準拠クラウド提供サービスの紹介

弊社では、Web上の申込サイト・会員サービスサイトを、PCI DSSに準拠したプラットフォーム上で提供するクラウドサービス「BLUEBIRD（ブルーバード）」を提供しています。

PCI DSSの認証取得にはただ審査や問診を実施すればよいだけではなく、多くのコストがかかってしまいます。
審査や問診の前に、システムや業務フローの変更を行わなくてはならない場合がほとんどで、新しくIT機器やソフトウェアを導入する必要があったり、業務フローの変更により顧客との間にトラブルが生じてしまったりすることも少なくありません。そのような中で通常通りの営業がストップしないよう、関係部署と調整を行いながら、慎重に物事を進めていくことが求められます。
「BLUEBIRD」では、PCI DSS準拠を求められるWEBシステムに最適なクラウド環境と運用を提供しており、PCI DSS認証取得のサポートも行っています。また、クレジットカード申込者のスマートフォンを活用するBYOD方式への対応や、AI-CORと連携させることでデータの一元化を実現したPCI DSSへの対応も検討可能です。