【PCI DSS認証早わかり】情報セキュリティ初心者でも簡単に準拠達成
EC取引、リモートワーク、フードデリバリープラットフォームでの取引などが引き続き成長を見せた2024年。越境取引やオンライン決済が急速に伸びるなか、カード会員データのセキュリティがとりわけ重要になっています。消費者の個人情報の盗用や悪用を防ぐため、ペイメントカード業界セキュリティ基準審議会(PCI SSC)は、カード会員データを保存、処理または伝送するすべての事業者に対し、PCI DSSの要件に準拠するよう求めています。簡単に言うと、PCI DSSでは12の要件とそのサブ要件で様々なセキュリティ対策を定め、カード会員データの保護を図っているのです。アクワイアラや管理機関からPCI DSS準拠を求められ、どうしたらいいかわからないときに最も大事な5つの質問(2W3H)
目次
What - PCI DSSって何?
PCI DSSは、Payment Card Industry Data Security Standardsの略で、国際組織Payment Card Industry Security Standard Council(以下「PCI SSC」)が策定・管理するクレジットカードの情報に関する一連のセキュリティ基準です。その目的はカード会員データへの未承認のアクセスや不正利用を防ぐことにあります。
PCI SSCは主要国際カードブランドのAmerican Express、Discover Financial Services、JCB、MasterCard、Visa、UnionPay(銀聯)によって組織されています。PCI DSSは、これらのブランドのカード会員データを取り扱う際のセキュリティについて定めた業界共通の基準で、カード会員データを保存、処理、または伝送するすべての事業者が対象となります。これらの国際ブランドのカードを取り扱う加盟店(Merchant)やサービスプロバイダ(Service Provider)はいずれも、規模や取引量にかかわらず、PCI DSSに則ってカード会員データを保護する必要があります。
Who – 対象は?誰が支援してくれる?
PCI DSSへの準拠が必要な事業者は?
カード会員データを保存、処理、または伝送するすべての事業者は、PCI DSSの要件に準拠しなければなりません。
事業者は、どのようにカード会員データを保存、処理、伝送するかによって、タイプ分けとレベル分けがされます。まずは自社が加盟店(Merchant)なのか、それともサービスプロバイダ(Service Provider)なのかを判断しましょう。
加盟店とは、製品の販売やサービスの提供により、カードで代金を受け取る事業者を指します。したがって、カード払いを受け付ける実店舗やオンラインショップは、バーチャル製品またはサービスのダウンロード販売・提供、大型デパートを含め、すべて加盟店ということになります。
サービスプロバイダとは、カード会員データを伝送、処理、保存(Transmit、Process、Store)する、またはカード会員データのセキュリティを制御する、もしくは当該セキュリティに影響を与えるサービスを提供する事業者を指します。たとえば、第三者決済処理業者、決済サービスや電子ウォレットなどのサービスを提供する決済代行会社、ネットモールのほか、バーチャルホストサービスを提供するデータセンターやクラウドサービスを提供する事業者等もサービスプロバイダとなります。
自社が加盟店かサービスプロバイダかが分かったら、次にPCI DSSのレベルを判定しましょう。
レベル1:加盟店およびサービスプロバイダ
PCI DSSのQSA(Qualified Security Assessor、認定セキュリティ評価者)の訪問審査を受け、報告書を受け取ります。
レベル2~4:加盟店およびレベル2のサービスプロバイダ
PCI DSS自己問診票(Self-Assessment Questionnaire、以下「SAQ」)を使用して自己評価します。QSAの支援を受ければ、より早く正確に評価を完了できるでしょう。
誰がPCI DSSの認証取得を支援してくれる??
特に、レベル1の加盟店やサービスプロバイダが初めてPCI DSS認証取得を目指す場合は、プロの支援を受けることをおすすめします。
QSA (Qualified Security Assessor)
QSAは、PCI SSCの認定を受けた訓練と認定を受け、PCI DSSの審査を行い、準拠報告書(ROC)と準拠証明書(AOC)を提出する権限を与えられた専門の評価者です。QSAは、最新のPCI DSSに関して定期的に講習を受けて試験に合格し、その都度資格を更新する必要があります。QSAの訪問審査は、レベル1の加盟店およびサービスプロバイダの必須要件となっています。
QSAC (Qualified Security Assessor Company)
QSACは、QSAを雇用して専門の審査および支援サービスを行う企業です。PCI DSSの具体的な要求事項を解説し、いかにして安全な決済環境を構築するかについて指導します。
QSA・QSACはどう選ぶ?
- [PCI SSCの公式サイト]で認定を受けたQSAやQSACを検索できます。
- 同業者やパートナーに聞く:PCI DSSの審査を受けたことのある企業に話を聞き、優良なQSAやQSACを紹介してもらうのもよいでしょう。
- 評価・事例の分析:隠れたQSA・QSACの口コミや事例を分析し、経験や専門知識の有無を確認しましょう。
- 直接問い合わせ:複数のQSAやQSACから、サービスの範囲、費用の基準、作業の流れなどについて話を聞いてみましょう。このようにして自社に合ったQSAやQSACを見つけ、PCI DSS認証取得までしっかりサポートを受けることで、決済環境のセキュリティを守り、準拠を実現しましょう。
How - どうやって?
PCI DSSの認証取得は通常、4つのフェーズに分けられます。
1. 環境準備フェーズ:審査対象環境の確認、およびコンサルティングの段階
**審査対象環境の確認**
– 基礎評価:まず現行のセキュリティ対策を評価し、ギャップおよび改善すべき点を特定します。
– スコーピング:PCI DSS準拠対応が必要なシステム、ネットワーク、アプリケーションの範囲を確定します。
**コンサルティング**
– コンサルタントやQSAに依頼:自社に合ったQSAやQSACを選び、審査対象環境の確認、今後の改善プロセスの指導、審査の段取りといった支援を受けます。
– セキュリティ訓練:従業員に関連するセキュリティ訓練を行い、全体的なセキュリティ意識を高めます。
2. 資料準備フェーズ:必要な制御措置を準備・実施
**資料準備**
– ポリシーと手順:PCI DSSの要件に準拠するようセキュリティポリシーおよび運用手順を策定・変更します。
– 文書収集:準拠を証明するために必要な書類やエビデンスを揃えます。
3. 審査フェーズ:QSAによる訪問審査
**審査の実施**
– 内部評価:正式審査の前に内部で自己評価を実施し、すべての問題が解決されていることを確認します。
– 訪問審査:QSAが訪問審査を実施します。実際に基準に準拠した運用がなされているかどうか検証します。
4. 報告フェーズ:QSAが準拠報告書と準拠証明書を発行
**報告と認証**
– 報告書の作成:QSAがROC(準拠報告書)とAOC(準拠証明書)を作成します。
– 報告書の提出:AOCにはPCI DSSの認証に必須の情報が記載されます。ROCには詳細な機密情報が記載されますが、AOCには機密性の高い情報は記載されませんので、カードブランド、アクワイアラ、提携企業などの関係機関から求められた場合は、AOCを提出することをおすすめします。
– 証明書の発行:準拠証明書を受け取った事業者は、PCI DSSの基準に準拠していることになります。
How long – 時間はどれくらいかかる?
初めの審査対象環境の確認から最後の報告書の提出まで、PCI DSSの認証取得には通常3~5か月かかります。認証取得までの主なフェーズおよび各フェーズは次の通りです。
- 準備フェーズ(1~2か月):審査対象環境の確認、およびコンサルティングの段階
- 資料準備フェーズ(1か月):必要な制御措置を準備・実施
- 審査フェーズ(5~7日):QSAによる訪問審査
- 報告フェーズ(半月~1か月):QSAが準拠報告書と準拠証明書を発行
実際にかかる時間は、以下の要因によって異なる場合があります。
– 準備状況:事業者の事前の準備が十分であるか、比較的良好であり、セキュリティ対応の土台がしっかりしている場合は、より早く準拠が実現できます。
– システムや運用プロセスの複雑さ:IT環境、ネットワーク構成、運用プロセスの複雑さも認証取得までのスピードに影響します。
– 投入するリソース:事業者が投入するリソース(人手、時間、予算)およびプロジェクト管理の効率。
スムーズに認証を取得するためには、以下の点が重要です。
– 事前準備:できるだけ早く準備を始めましょう。特に文書やポリシーの整理には早めに取りかかるようにしましょう。
– 効果的なコミュニケーション:準拠作業全体を通じてPCI DSSのQSAとこまめに連絡を取り、問題に気が付いたら、すぐに解決しましょう。
– 維持と改善:認証取得後も引き続きセキュリティ対策の維持と改善に努め、長期的にPCI DSSへの準拠状態を維持しましょう。
How much - 費用はいくらかかる?
初回の認定では、PCI DSSの要件を満たすために、ハードウェアやソフトウェアの新規導入が必要となる可能性があります。以下に費用項目をリストアップしました。
1. システム関連費用:
Webサーバ、アプリケーションサーバ、DBサーバなどの機能ごとにサーバを分割しなければならないため、機器増設または仮想サーバ設置が必要となる可能性があります。また、NTPサーバ、FIMサーバ、ログサーバなどのセキュリティコンポーネントの実装も必要です。
2. セキュリティ機器の費用:
ファイアウォール、ルーター等のネットワークセキュリティシステム(NSCs)、不正侵入防御/検知システム(IPS/IDS)、WAF(Webアプリケーションファイアーウォール)等の増設が必要となります。
3. データ暗号化機器の費用:
カード番号(PAN)の暗号化には、セキュリティ確保のため、HSM(ハードウェアセキュリティモジュール)の導入が必要となる可能性があります。
4. 従業員の訓練費用:
PCI DSSでは、セキュリティ意識向上トレーニング、セキュアな開発に関するトレーニング、インシデント対応計画の訓練などを実施するよう求めています。従業員はセキュリティに関して十分な技術的トレーニングを受ける必要があります。
5. テクニカルテスト費用:
定期的に内部・外部の脆弱性スキャン、ペネトレーションテスト(侵入テスト)、ワイヤレススキャン、カード会員データのスキャン、コードレビュー等を行う必要があります。
6. その他の費用:
サービスプロバイダは、VISAやMasterCardなど、カードブランドにサービスプロバイダ登録する必要があります。
これらの費用のほか、PCI DSSの審査・認証費用があります。これは、PCI DSSのQSAによる審査および報告書作成にかかる時間によって決まります。
越境EC事業者、サードパーティのキャッシュレス決済会社、サービスプロバイダ等は、PCI DSSへの準拠が非常に重要となります。準拠要件の実施によって得られるのは、アクワイアラや管理機関に提出する準拠証明書だけではありません。データの漏洩や盗用のリスクから企業を守るとともに、取引に関する消費者からの信頼向上にもつながります。
PCI DSSの要求事項は、認識から理解、エビデンスの提供、認証取得、認証取得後の準拠状態の維持まで、合わせて400項目を超えます。
QSACの支援を受ければ、短期間で効率的に準拠を実現できます。さらに、認証取得後も準拠管理システムの自動監視機能、アラート機能、定期的なデータ提出機能、リアルタイムの状態監視機能などを利用することで、常に準拠状態を維持し、セキュリティを守ることができます。
