PCI DSSとは？PCI DSSに準拠したクラウドサービスをご紹介

「PCI DSS」とはVISAやJCBなど国際的なカードブランド5社により策定された、クレジットカードのセキュリティに関する基準です。この基準を満たすことでどのようなメリットがあるのか、本記事では概要や求められる要件のほか、PCI DSSの認証取得方法、PCI DSSに準拠したWebサービスなどを詳しく解説します。

この「PCI DSS」は、一体どのような経緯で策定され、運用されるに至ったのでしょうか。

PCI DSS（Payment Card Industry Data Security Standard）は、国際カードブランドであるAmerican Express・Discover・JCB・MasterCard・VISAによって2004年12月に策定された、クレジットカード業界のセキュリティに関する基準です。
※以下、上記5社を「国際カードブランド5社」と呼ぶことにする。

PCI DSSは、国際カードブランド5社が共同で設立したPCI SSC(PCI Security Standards Council)によって管理・運営が行われており、対象はクレジットカードの発行会社や加盟店などクレジットカード業界に携わる事業者全般で、下記の6つを主な目的としています。

1. 安全なネットワークとシステムの構築と維持
2. カード会員データの保護
3. 脆弱性管理プログラムの整備
4. 強力なアクセス制御手法の導入
5. ネットワークの定期的な監視およびテスト
6. 情報セキュリティポリシーの整備

それぞれの目的に紐づく形で細かく要件が規定されており、各要件を満たすことで一定以上のセキュリティ品質を担保できます。

このPCI DSSが策定される以前は各ブランドがそれぞれ独自のセキュリティ基準を定めており、加盟店は各ブランドによって異なる対応を必要とされていました。
さらにインターネットの普及によりオンライン上でのカード決済が増え、悪質なサイバー攻撃に見舞われることもありました。このような状況で加盟店はさらなる負担を強いられ、結果としてカードの不正使用や顧客データ流出などの被害が多発する事態となったため、この状況を打破するべく、国際カードブランド5社がセキュリティに関する統一的な基準を策定するに至りました。
PCI DSSに準拠することで、より効果的なセキュリティ体制を確立でき、顧客データ流出や不正使用などのリスクが大幅に低減します。

PCI DSSは、定期的にバージョンアップされています。最新バージョンは2024年6月にリリースされたv4.0.1です。これは2022年3月に約8年ぶりのメジャーアップデートとしてリリースされたv4.0に対し、記述の明確化や誤記修正を行ったバージョンとなります。

v4.0.1においても基本的な構成など主軸の部分に変更はないものの、既存のバージョンをもとに各種要件にさらなる対策強化が施されています。主な変更としては、「機密認証データの漏洩事故を防ぐための要件の厳密化」「フィッシング攻撃を検出・防御するためのプロセスおよび自動化メカニズムの実装」「ユーザーアカウントのパスワードの条件の厳密化」などが挙げられ、昨今の情報漏洩やセキュリティ攻撃の状況を踏まえ、各要件がさらに厳しくなっています。

PCI DSSでは、6の目標とそれぞれの目標に対応する12の要件が規定されており、そして12の要件は、全部で約400の項目に細分化されています。それぞれの概要は以下の通りです。

本カテゴリでは、ファイアウォールとルータの安全な設定方法と運用方法のほか、サーバやネットワーク機器においてデフォルト設定値を使用しないことを含む、セキュリティ強化基準の策定がされています。

要件1「ネットワークセキュリティコントロール（NSC）のインストールと構成の維持」は、カード会員データを扱うシステムネットワークに関する内容です。ここではシステムネットワークの構成を視覚化した「システムネットワーク図」を作成し、常に更新することが求められています。また、外部ネットワークと内部ネットワークの間には、ファイアウォールやクラウド上のセキュリティグループなどの「ネットワークセキュリティコントロール（NSC）」の導入および適切な設定の実施も求められており、カード会員データは保護されていない領域への保管を禁じています。

要件2「すべてのシステムコンポーネントにセキュアな設定を適用する」は、カード会員データを扱うシステムのパスワードに関する内容です。カード会員データを扱うパソコンやサーバ、ネットワーク機器などは、デフォルトのパスワードが変更されていることが求められています。デフォルトのパスワードは大抵のケースで容易に特定できてしまうため、使用を禁じています。

本カテゴリでは、データの保護及び伝送時の安全確保について策定しています。

要件3「保存されるアカウントデータを保護する」は、カード会員データの保管に関する内容です。顧客情報を一方向ハッシュ・トランケーション・インデックストークン・暗号化の4種類の方法で、必要最低限の情報を必要最低限の期間のみ安全に保管することを求めています。また、保管する必要がなくなった情報は、安全な方法で即座に廃棄しなければなりません。

要件4「オープンな公共ネットワーク上での伝送時には、強力な暗号化技術を使用してカード会員データを保護する」は、カード会員データの伝送に関する内容です。カード会員データは伝送する際にももちろん安全性が確保されていなければなりません。オープンな公共ネットワーク上で伝送する際には、TLS 1.2やIPsec、SSHといった技術を用いて暗号化することが求められています。

本カテゴリはシステムの脆弱性を管理するためのプログラムの整備方法について策定しています。

要件5「すべてのシステムおよびネットワークを悪意のあるソフトウェアから保護する」は、マルウェア対策およびフィッシング対策に関する内容です。従来のウイルス対策に加え、v4.0からはフィッシング攻撃を検知・防御するための技術やプロセスの導入も明確に求められるようになりました。具体的には、マルウェアの影響を受けるすべてのシステム（パソコン、サーバ、POS端末など）に対し、ウイルス対策ソフトウェア等のマルウェア対策ソリューションを導入・維持することが求められています。また、これらのソフトウェアにおいて定期的なスキャンやリアルタイム保護を実施すること、およびユーザーが勝手に設定変更できない仕組みにすることが必要です。

要件6「安全なシステムおよびソフトウェアを開発し、保守する」は、システムやソフトウェアの安全性確保に関する内容です。セキュリティパッチの適用に加え、一般公開されているWebアプリケーションに対しては、WAF（Web Application Firewall）などの自動化された技術的ソリューションを導入し、継続的に攻撃を検知・防御することが求められています。

本カテゴリではアクセス制御について策定しています。

要件7「業務上の必要性に基づき、システムコンポーネントおよびカード会員データへのアクセスを制限する」は、カード会員データへのアクセス権に関する内容です。カード会員データへのアクセスは業務上必要な最小限のユーザーのみに限定し、アクセスする必要がなくなったユーザーのアクセス権はセキュリティリスクを低減するため、即座に削除する必要があります。また、特権ユーザーへのアクセス権の付与および削除は、書面を用いた承認プロセスを経ることが求められています。

要件8「システムコンポーネントへのアクセスを識別・認証する」は、カード会員データへのアクセス方法に関する内容です。ユーザーごとに個別のアカウントを割り当てることが求められており、アカウントを複数のユーザーで共有するようなことはあってはならず、必ず一人のユーザーとひとつのアカウントが結びつく必要があります。また、無効ログインが一定回数以上繰り返された場合は一定期間ロックアウトすること、カード会員データ環境（CDE）へのすべてのアクセスに対して、ID・パスワード以外の要素（生体認証など）も組み合わせて認証する「多要素認証」にすることなども求められています。

要件9「カード会員データへの物理アクセスを制限する」は、カード会員データへの物理的なアクセス制限に関する内容です。ビルやサーバルーム、データセンターなど、カード会員データを保管するエリアへの物理的アクセスは必要最低限に制限することが求められています（小売店のレジなど、POS端末のみが存在するエリアは除外する）。また、ビデオカメラなどで物理的アクセスを監視することが求められています。

本カテゴリはログ管理とテストについて策定しています。

要件10「システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視する」は、カード会員データのアクセスログに関する内容です。「誰が、いつ、何を実施したのか」というアクセスログを確実に取ることが求められています。アクセスログに使用する時刻は、国際原子時など正確な時刻ソースに基づくものである必要があります。また、そのアクセスログは変更できない仕様である必要があります。

要件11「システムおよびネットワークのセキュリティを定期的にテストする」は、カード会員データを扱うシステムのテストに関する内容です。定期的に脆弱性診断やペネトレーションテストなどを行うことが求められています。システムはある時点で問題がなかったとしても、状況は日々変わっていくため定期的なテストを怠ってはいけません。また、日々発見される新しいサイバー攻撃手法や、システム改修に伴って発生しうるリスクを識別・検知・修正するためのテスト方法が記載されています。

本カテゴリは、システム上の設定・手順ではなく、ポリシー維持について述べられた項目です。

要件12「組織の方針とプログラムで情報セキュリティをサポートする」は、情報セキュリティポリシーに関する内容です。カード会員データや、それを取り扱うシステムの利用に関するセキュリティポリシーを作成することが求められています。また、その上でカード会員データにアクセスする全てのユーザーに教育を行うこと、環境の変化に伴って内容を更新することなどが求められています。

実際にPCI DSS準拠の認証を得るためには、訪問審査・サイトスキャン・自己問診といった項目を実施する必要があります。
必ずしも全てを実施する必要はありませんが、取り扱うカードブランドや会員データ件数によって最低ひとつはクリアしなければなりません。

PCI SSCによって認定された審査機関、QSA（Qualified Security Assessor）による実地での審査です。QSAの一覧は、PCI SSCのサイトに掲載されており、システムやその運用方法・重要情報の取り扱いなどについて、調査やインタビューなどを行います。主に大規模のカード情報を扱う事業者に求められる認証方法です。

PCI SSCによって認定された審査機関、ASV（Approved Scanning Vendor）による遠隔地からの審査です。ASVの一覧もQSAと同様、PCI SSCのサイトに掲載されており、スキャンツールを用いて、インターネットに接続されているネットワーク機器やサーバ機器、アプリケーションなどの脆弱性をチェックします。主に中規模のカード情報を扱う事業者に求められる認証方法です。

事業者が自らで行うアンケートです。PCI DSSに示された各要求事項に基づいた自己評価問診票、SAQ（Self-Assessment Questionnaire）の設問に、「はい」or「いいえ」or「該当なし」で回答することにより、PCI DSSが求める要件をどれだけ満たしているかをセルフチェックします。SAQにはいくつかの種類があり、カード情報の取り扱い方法（自社で保持するか、すべて外部委託するかなど）によって選ぶべきタイプが異なります。そのため設問数もタイプによって大きく異なり、20問程度で完了するケースもあれば、300問以上の回答が必要になるケースもあります。自社の環境に合った適切なSAQタイプを選んで実施することが重要です。

PCI DSS準拠の対象となる事業者は、カード会員データを保存・処理・伝送するすべての事業者で、年間のカード取引量に応じて準拠する必要があります。主に次のような事業者が該当します。

• クレジットカード加盟店
• クレジットカード発行会社（イシュア）
• クレジットカード加盟店管理会社（アクワイアラ）
• 決済処理代行会社（プロセサー）

業界で言えば、金融業界（クレジット会社、クレジットカード発行金融機関）、流通業（大手百貨店、スーパー、量販店）、通信業（携帯電話会社、新聞、通信会社）が該当事業者として挙げられます。また、カード取引量が基準に満たなくても、各カードブランドが制定するセキュリティ基準プログラムに準拠しなければならないので注意しましょう。

個人情報や機密情報を取り扱うWebシステムのための高いセキュリティ対策を装備した環境構築には、エクサが手がけるサービス「PCI DSS準拠クラウド環境提供サービス」がおすすめです。

「PCI DSS準拠クラウド環境提供サービス」は、PCI DSSの準拠に求められるセキュアなクラウド環境をマネージドサービスを含めてご提供します。
PCI DSS準拠に必要なセキュリティ管理機能や運用サービスもセットで提供されるので、手軽にスピーディーに独自のサービスサイトを立ち上げることができます。

また、お客様のクラウドネイティブ化のご支援や、PCI DSS認証取得に向けたサポートもご提供可能です。

PCI DSSに準拠したセキュアな環境をご提供するサービスであり、クレジット会社様の運用負荷を大きく軽減することができます。

• 特徴1. 安心安全なセキュリティ対策

PCI DSS準拠可能なセキュリティ対策を装備しております。

• 特徴2．ITコスト削減可能

オンプレミスでのシステム運用に比べ、データセンターの利用料、HW/SW保守費等の削減が可能です。

• 特徴3．クラウドサービスのためメンテナンスやシステム更改不要

リプレイス地獄からの脱却とクラウドサービスの進化の恩恵を享受することが可能です。

• 特徴4．マネージドサービスで運用負荷軽減

マネージドサービス含めたご提供となるため、システムの運用保守業務は弊社へお任せください。

クレジットカード発行会社や加盟店は高いセキュリティ基準を満たす必要があります。その基準にもさまざまな項目があるため、自身で要件をクリアするには大きな労力がかかります。PCI DSSに準拠したプラットフォームを使用することでコスト削減を図れるため、ぜひ活用をご検討ください。


出典：「Payment Card Industry Data Security Standard Version 4.0.1」2024/06