PCI DSSは企業の新たなセキュリティ指標に？：米国では対策の見直しも

クレジットカード情報の保護基準「PCI DSS」の普及が進む米国では、企業が同基準の定めるセキュリティ要件を自社のポリシーへ採用する動きが始まっているという。

[國谷武史，ITmedia]

山崎氏

　「PCI DSSはセキュリティ対策の1つのゴールになるだろう」――兼松エレクトロニクス主催セミナーの基調講演に登壇した工学院大学客員講師、山崎文明氏（ネットワンシステムズセキュリティ事業推進本部長）は、クレジットカード業界で導入が進むデータ保護基準「PCI DSS」が一般企業の情報セキュリティ対策の目安になると指摘した。

　PCI DSSは、VisaやMasterCard、JCB、American Expressなどの大手クレジットカードブランドが主体となり、2006年から策定が進むセキュリティ要件。カード発行会社や加盟店担当代理店（アクアイアラ）、加盟店が順守すべき業界標準とされている。ネットワーク保護や不正アクセス防止、カード会員情報の保護、脆弱性管理、定期的な監査実施など主要な12項目を定めている。

　10月1日に公開された最新版のVersion 1.2では、IEEE802.11iの導入や2010年6月30日以降のWEPの使用禁止（新規導入は2009年3月31日以降禁止）、外部ネットワークと接続する機器のログの保管、無線LANを保護するIPS／IDS（不正侵入防御／検知）などの導入が規定された。特に事業所内におけるワイヤレス環境でのデータ保護対策が盛り込まれている。また、ファイアウォール設定の確認実施期間が四半期ごとから半年ごとに改定された。

　PCI DSSの導入では、クレジットカードブランドが独自に基準を設け、カード発行会社やアクアイアラ、加盟店へ順守を呼びかけている。Visaは、大手加盟店やアクアイアラに順守期限を設定し、期日までに証明できない場合に違反金を課す。MasterCardは、アクアイアラに対して四半期ごとに加盟店の順守状況を報告するように求め、違反がある場合には5000ドルの違反金を課すという。American Expressでは加盟店との契約条項にPCI DSSへの順守を盛り込み、違反がある場合には契約解除ができる。

　山崎氏は、クレジットカードブランドによるPCI DSSの普及施策が国際的なものであるとし、企業のセキュリティ対策にも影響を与えるとの見解を示す。しかし、国内ではカード発行会社とアクアイアラの機能を1つの会社で持つ場合が多く、業界内でPCI DSSの普及が実際に進むかは不透明だとも指摘した。

PCI DSSを企業グループのポリシーに

　加盟店などにとって、PCI DSSの順守は人的リソースやコストの制約から「非常に厳しい」という意見が挙がっている。山崎氏によると、9月に米国フロリダ州で開催されたPCI DSSの総会では「参加者からはそういった声がなく、企業が最低限守るべきセキュリティ要件としては“当然のものばかりだ”という意見が目立った」（同氏）という。

　同氏によると、米国企業ではPCI DSSがクレジット業界固有のものではなく、非クレジットカード業界で順守するに値するという意識が広がっている。消費者などからの訴訟リスクを回避する目的でPCI DSSへの順守を表明するケースもあるという。

　「セキュリティポリシーを企業グループ全体で規定しているケースが目立つが、実際にはISMS取得を各社任せにしているように、セキュリティ対策がバラバラな場合も多い。PCI DSSをグループ共通の指標にして対策をしてはどうか」（同氏）

　PCI DSSには、例えば認定セキュリティベンダーの製品やサービスを利用する規定がある。セキュリティ対策製品の調達要件をグループで共通化すれば、グループ全体の導入コストを削減できるメリットが生じる。「PCI DSSを指標に自社のセキュリティ対策を見直せば、残りの対策に必要な投資規模を把握でき、経営陣の理解も得やすい」（同氏）

　また山崎氏は、ネットワークセキュリティ管理の国際標準「ISO 18028」とPCI DSSでは重複する内容が多く、「PCI DSSを参考に自社のセキュリティ対策を把握すれば、国際的な基準で自社のポジションを知ることができるだろう」と話した。

過去のセキュリティニュース一覧はこちら