クレジットカード業界の情報セキュリティの課題：PCIデータセキュリティ基準は使えるか？（2）（2/2 ページ）

[瀬田 陽介，国際マネジメントシステム認証機構]

実際の基準

　PCI DSSにおいて要求されるのは、大きく以下の12要件である。また各要件がそれぞれ具体的な実装基準としてさらに細分化され合計230項目により構成されている。具体的な基準はPCI SSCのWebサイトを参照してほしい。

要件とセキュリティ評価手順V1.2より抜粋
安全なネットワークの構築と維持
要件1	カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること
要件2	システムパスワード及び他のセキュリティパラメータにベンダ提供のデフォルトカード会員のデータの保護
カード会員データの保護
要件3	保存されたカード会員データを保護すること
要件4	オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること
脆弱性管理プログラムの整備
要件5	アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新すること
要件6	安全性の高いシステムとアプリケーションを開発し、保守すること
強固なアクセス制御手法の導入
要件7	カード会員データへのアクセスを、業務上必要な範囲内に制限すること
要件8	コンピュータにアクセスできる各ユーザに一意のIDを割り当てる
要件9	カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10	ネットワークリソースおよび会員データへのすべてのアクセスを追跡および監視する
要件11	セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12	従業員および派遣社員向けの情報セキュリティポリシーを整備する

　なお、基準は2008年10月にバージョンアップされており、今後も2年ごとにバージョンアップを繰り返す予定である。また、バージョンアップに伴い、旧基準であるV1.1の適用期限は原則2008年12月末となり、2009年1月以降実施される自己問診や訪問監査は、V1.2が適用されることになった。

　全体的にほかのセキュリティ基準と比較し、絶対的な基準であるため技術者も含め理解しやすい。その半面、具体的過ぎるため柔軟性に欠けるという問題もあり、オリジナルの要件で適用できないようなケースは、代替管理策による適用が認められている。

　例えば要件3においてはデータベースや、そのサーバのハードディスクの暗号化を要求しているが、データベース製品によっては暗号化のソフトウェアが存在していないケースなどがあり、オリジナルの要求事項の目的を達成し、同等もしくはそれ以上に強固なセキュリティが確保されれば、ほかの方法での実装でもよいとしている。ただし注意したいのはこの代替管理策の適用の可否は、外部の監査人が評価する必要があり、実際にはQSA（認定セキュリティ評価機関）による評価が必須ということである。

現状の問題点

　米国では、PCI DSSはすでに普及フェイズに入っている。そのため普及フェイズ特有のさまざまな問題に直面している。いずれ日本でも同様の問題が発生すると予想される。

　まず第1に評価が甘過ぎたり、厳し過ぎたりと、QSAごとに監査する基準が異なっていることにある。要は競争が進む中で準拠証明を簡単に出してしまうケースや、QSAが推薦するセキュリティソリューションを実装しなければ準拠証明を出さないといったケースが問題として顕在化している。

　これらの問題に対処するため制度を発行管理する組織であるPCI SSCが、QSAやASVを対象とした品質管理プログラムをV1.2と同時にリリースしている。準拠報告書（ROC）を年に1回PCI SSCに報告させる仕組みや、ROCのスコアリングシステムなどによりQSAのクオリティの平準化を図っていくという趣旨である。また罰則も同時に強化し、前述のQSAリストにおいて改善命令による指導や業務停止などを公表することにより抑止していく。

　第2に基準の甘辛（あまから）だけでなく、PCI DSSの適用範囲についても、QSAごとに見解が異なる点である。適用するべき範囲は、カード会員環境すなわちカード情報が含まれる、またはそれらに接続されるすべてのシステムコンポーネントであるとしている。またシステムコンポーネントとはネットワークやサーバ、アプリケーションを指し、ネットワークが適切に隔離されていない場合（フラットネットワークという）は、フラットネットワーク全体がPCI DSSを適用するべき範囲になるとしている。ネットワークの構成は各社各様であり、実装基準は明確なPCI DSSにおいても、適用範囲についてはこのような抽象的な表現にならざるを得ない。

　従って、監査するQSAによって評価対象の範囲が異なってしまうということがしばしば発生している。準拠する企業としてはネットワークの範囲や拠点が少なければ実装や監査のコストが比較的安く済むため、企業側が示す狭い範囲を容認してくれているQSAに監査を依頼するということも容易に想像できる。

　この問題に対処するためV1.2からは、QSAは評価対象のネットワークの範囲を特定した根拠を明確に準拠報告書に記載することを義務付けた。

今後の動向

　PCI DSSは網羅性や基準の具体性からクレジットカード情報の保護だけではなく、汎用的なネットワーク／システムセキュリティの実装のベストプラクティスとしていくという動きもあり規格としての注目度は非常に高い。また国内では、前回の「クレジットカード業界の情報セキュリティを学ぶ」で取り上げた改正割賦販売法の動向が注目されている。

　法改正に伴い所管の官庁である経済産業省より政令が公布され、これに伴い認定割賦販売協会からクレジットカード情報を保護するための具体的な安全基準（ガイドライン）が公表される予定である。この安全基準がPCI DSSと異なる（もしくは著しく基準が甘いものである）場合は、事実上の国際基準であるPCI DSSと、国内基準のダブルスタンダードが存在してしまうことになり、準拠する加盟店やサービスプロバイダに混乱を招く懸念があるため、今後具体的に公表される国内基準の動向には注意が必要である。

　最後になるが、重要なのはPCI DSSに完全準拠することではなく、クレジットカード情報やそれに準ずる重要な情報資産を守ることである。しかし、いかにコストを掛けたとしてもセキュリティ対策に完璧という状態はあり得ない。そのため企業にとってはセキュリティに関する適切な投資をしていくために「物差し」が必要であり、クレジットカード情報やそれに準ずる重要な情報を保護するための実証された「物差し（＝基準）」として、PCI DSSの利用価値は高いといえる。

　クレジットカードは全世界共通の方法で使用される決済手段であることから、それらの情報を保護するための「物差し」も国際的に共通であることが望ましいと筆者は考える。

　PCI DSSは、前述したように、汎用的なネットワーク／システムセキュリティの実装のベストプラクティスとしていくという動きもあり、規格としての注目度は非常に高い。つまり、ただ単にクレジットカード業界のセキュリティ基準として把握するだけではなく、クレジットカードとは関係のないほかの企業にとっても役立つセキュリティ基準となり得るのである。技術的な要件が具体的に示されていることから、技術者もなじみやすく、理解しやすい。まだいろいろと解決すべきことはあるが、一度PCI DSSが自社のセキュリティ確保にいかに利用できるかを、検討することをお勧めしたい。

筆者プロフィール

瀬田 陽介（せた ようすけ）

国際マネジメントシステム認証機構 代表取締役社長

財団法人日本情報処理開発協会（JIPDEC）から認定を受けるISMS認証機関の代表。2008年3月よりPCI DSSの認定セキュリティ評価機関（QSA）としても認定を受けている。PCI DSSに関しては、多数のセミナー講師や執筆をしている。