PCI DSSについて

Payment Card Industry Data Security Standards（略称PCI DSS）は、主要国際カードブランド数社がカ

ード会員データの安全な

取り扱いのために策定した、カード業界共通のセキュリティ基準であり、適用対象はカード会員データを保存、処理、伝送する事業者全般に渡ります。これらの国際ブランドのカードを取り扱う加盟店（Merchant）やサービスプロバイダ（Service Provider）はいずれも、規模や取引量にかかわらず、PCI DSSに則ってカード会員データを保護する必要があります。
PCI DSS認証のセキュリティ基準を策定、管理しているのはPCI SSC（Payment Card Industry Security Standard Council、PCIセキュリティ基準審議会）で、創設メンバーのAmerican Express、Discover、JCB、MasterCard、VISAおよび戦略的メンバーのUnionPay（銀聯）で組織されています。

PCI DSS認証レベルについて

PCI DSS認証は通常、PCI DSS審査（PCI DSS Assessment）と呼ばれています。加盟店（Merchant）やサービスプロバイダ（Service Providers）は、カードブランドによって多少違いはあるものの、総じてレベル1～4に分けられ、レベルに応じたセキュリティ対策が要求されます。

カードブランドによってレベルの規定は若干異なりますが、例としてVISAの規定を紹介します。

• 加盟店レベル

• サービスプロバイダレベル

レベル1の加盟店およびサービスプロバイダは、PCI DSSのQSA（Qualified Security Assessor、認定セキュリティ評価者）の訪問審査を受け、報告書を受け取ります。レベル2～4の加盟店およびレベル2のサービスプロバイダは、PCI DSS SAQ（自己問診票）を使って自己評価するか、もしくはQSAに評価を依頼します。
自社のレベルや適用されるSAQのタイプは、アクワイアラに確認しましょう。

PCI DSS認証取得にかかる期間

一般にPCI DSS認定取得までの流れは、大きく次の段階に分けられます。

準備開始からコンサルティング、審査実施までの一連の作業にかかる時間は、事業者の準備状況やシステム、運用プロセスの複雑さにもよりますが、通常3～5か月ほどです。

PCI DSS関連費用

1. システム関連費用

PCI DSSでは強固なセキュリティを求めているため、システム関連の費用が増加します。たとえば、要件2.2.3では「1つのシステムコンポーネントに存在する主機能は1つだけ」（One Primary Function Per Server）としています。Webサーバ、アプリケーションサーバ、DBサーバなどの機能が1つのサーバに置かれている場合は、別々のサーバ（仮想サーバでもよい）に分けなければならないため、サーバの増設が必要になる可能性があります。あるいは、コンテナ化（Containerization）して切り離す必要があります。
なお、PCI DSSでは、DNSサーバ、NTPサーバ、FIMサーバ（File Integrity Management）、ログ解析サービスなどのセキュリティコンポーネントを実装するよう求めており、要件を満たすために機器の増設が必要となる可能性があります。

2. セキュリティ機器費用

PCI DSSのセキュリティ要件に対応するため、ファイアウォール、IPS、IDS、WAFといったセキュリティ機器の増設が必要になる可能性があります。

3. データ暗号化装置費用

PCI DSSはカード会員データを暗号化するよう求めています。高いセキュリティレベルと高い性能が求められる事業者では、HSM（ハードウェアセキュリティモジュール）を使用して、カード会員データを保存する際のセキュリティを確保しなければなりません。

4. トレーニング関連費用

PCI DSSでは、セキュリティ意識向上トレーニング（Awareness Training）、開発者向けトレーニング（Secure Coding Training）、インシデント対応計画（IRP：Incident Response Plan）の訓練など、従業員向けのトレーニングを実施するよう要求しています。なお、社内で脆弱性スキャン（Vulnerability Scan）やペネトレーションテスト（侵入テスト）を行う場合、社内のテスターに十分なセキュリティ技術トレーニングを受けさせる必要があり、その分、訓練費用も増加します。

5. テクニカルテスト費用

PCI DSSでは、以下の複数のテクニカルテストを定期的に実施するよう要求しています。

• • カード会員データのスキャン (Card Number Scanning)
  • コードレビュー (Code Review)
  • 内部脆弱性スキャン(Internal Vulnerability Scan)
  • 外部脆弱性スキャン (ASV, External Vulnerability Scan)
  • 内部ペネトレーションテスト (Internal Penetration Test)
  • 外部ペネトレーションテスト (External Penetration Test)
  • ワイヤレススキャン (Wireless Scan)

これらのテストのための費用が新たに発生します。

6. その他の費用

サービスプロバイダ（Service Provider）は、アクワイアラまたはカードブランドから、カードブランドのウェブサイトにプロバイダ登録するよう要求されます。たとえば、VISAのVISAレジストリ VISA 的 VISA SP Registry  やMasterCardのサービスプロバイダ登録などがあります。

中小規模のサービスプロバイダ（Service Provider）で、過去にPCI DSSに準拠したことがなければ、通常、次に挙げるような費用が新たに発生します。

PCI DSSの審査費用

これらの費用に加えて、PCI DSSの審査費用がかかります。この費用は、PCI DSS QSAによる審査と報告書作成にかかる時間によって決まります。また、審査に要する時間の目安は、以下の要素に関係しています。

• システムの複雑さ

サーバの数、システムで使用するOSの種類、システムにインストールされているコンポーネント（Component）の数。複数のOSが同時に使用され、また複数のセキュリティ構成がある場合は、テスト時のサンプリング（Sampling）が大幅に増加します。

• セキュリティ機器とネットワークセグメント

審査の対象となるセキュリティ機器の数。ファイアウォール、IPS、IDS、WAF、スイッチ、ルーター、SIEM、FIMなどのセキュリティ機器は、設定や更新状況、アクセス制御、ログなどを検査し、記録を保存する必要があります。そのため、セキュリティ機器の数が多いほど、ネットワークセグメントが複雑になり、審査に時間がかかります。

• 接続するアクワイアラやサービスプロバイダの数

接続するアクワイアラやサービスプロバイダの数が増えるほど、データフロー（Dataflows）が複雑になるため、検査に時間がかかります。

• データベース、カード会員データの保持と暗号化

カード会員データのデータフローが複雑になるほど、また保存するカード会員データの種類が増えるほど、暗号化やセキュリティ保護の要件が増え、審査項目も多くなります。

• 運用地点の数

店舗、サーバルーム、オフィスなどの運用地点数は、審査日数に直接影響します。たとえば、店舗やオフィスなど運用地点の数が多い銀行や通信会社などでは、サンプリングの必要数も増えます。なお、カード会員データを保管するバックアップサーバルームがある場合、通常これらも審査対象となります。

一般的に、PCI DSSの審査費用は地域によって異なります。これは、PCI SSCが各地域から徴収する年会費やQSAの給与が地域によって異なるためです。東南アジアで言うと、中小規模のサービスプロバイダが初めて審査を受ける場合、訪問審査（On-site Assessment）に3～5日、報告書作成に約1週間かかるため、交通費を除いた初回の認証費用は、新台湾ドル40～60万元ほどが相場となります。ただし、実際にかかる費用は、上述の複雑さなどを加味した正確な審査時間を元に計算されます。