PCI DSS

概要

PCI DSSは、カード会員データを伝送、保存、処理するすべての事業者に対し、各カードブランドもしくはアクワイアラ（Acquirers）を通じて、セキュリティ要件への準拠を求めています。これには、処理された取引件数（Transaction Count）に基づいてレベル分けされた要件が含まれます。

レベル	認証取得のための作業	認証実施機関
1. 取引件数600万件／年以上	毎年1回PCI DSS訪問審査を実施、かつ四半期ごとにASVによるネットワークスキャンを実施	認定セキュリティ評価者（QSA）認定スキャンベンダ（ASV）
2. 取引件数100万件／年以上	毎年PCI DSS自己問診（SAQ）を実施、かつ四半期ごとにASVによるネットワークスキャンを実施	加盟店認定スキャンベンダ（ASV）
3. 取引件数2万件／年以上	毎年PCI DSS自己問診（SAQ）を実施、かつ四半期ごとにASVによるネットワークスキャンを実施	加盟店認定スキャンベンダ（ASV）
4. 取引件数2万件／年以下	毎年PCI DSS自己問診（SAQ）を実施、かつ四半期ごとにASVによるネットワークスキャンを実施（オプション）	加盟店認定スキャンベンダ（ASV）

基準

PCI DSSの主な目的はカード会員データの保護であり、12のセキュリティ要件はカード会員データを何重にも守っていると考えることができます。

ウィルス

脆弱性

暗号化

システム

開発

データ

監視

ネットワーク、ファイアウォール

アクセス制御

ポリシー

PCI DSS 認定審査およびコンサルティング

PCI DSS認定審査とコンサルティング作業の流れは、下図の通りです。
通常、計画作成から実施、認定取得までの準拠対応プロジェクト全体に要する期間は、中小規模の事業者様で約6～8週（システム開発の日数は含まない）、大規模の事業者様で約8～12週となります。この期間には計画、コンサルティング、認証の各フェーズが含まれます。なお、翌年のPCI DSS審査では、主に実施済みのセキュリティ対策や技術的なセキュリティ保護システムがチェックされます。

PCI DSS認定審査サービスは長期的、持続的な評価作業になります。設計開発、技術項目の実装、コンサルティング、そして正式審査を通じて、担当のPCI DSS QSA（認定セキュリティ評価者）から事業者様にシステム、技術、管理の各方面にわたる調査結果をお知らせすると同時に、システム設計、フレームワーク、文書や管理作業の修正についても随時ご提案させていただきます。

PCI DSSの認定審査に合格すると、当社のPCI DSS QSA（認定セキュリティ評価者）が準拠報告書（ROC、Report On Compliance）と準拠証明書（AOC、Attestation of Compliance）を発行します。事業者の責任者様の署名をもって、認定審査のプロセスは完了となります。

セキュリティ要件と準拠のポイント

以下にPCI DSSの各セキュリティ要件と準拠のためのポイントをご紹介します。

1）カード会員データを保護するために、ファイアウォールをインストールして維持する

まず、事業者はファイアウォールのセキュリティを適切に設定する必要があります。一連の作業には、ファイアウォールのトポロジーマップ、ファイアウォールポリシーの設定説明が含まれます。PCI DSSでは、カード会員データを守るため、少なくとも一つのDMZネットワークと一つの内部ネットワーク（Internal Network）のセキュリティ設定を備えるよう定めています。

（2）ベンダ提供のシステムパスワードおよびその他のセキュリティパラメータのデフォルト値を変更する

システム、機器、アプリケーション、ソフトウェアを購入し、セキュリティの設定をした後、メーカー、ベンダ、デベロッパから提供されたデフォルトのアカウント、パスワード、パラメータは、ネットワークにアクセスする前に、変更しなければなりません。

（3）保存されるカード会員データを保護する

保存するカード会員データに関して、事業者は「データの最小化」の原則に則り、カードシステムで扱う会員データは伝送、処理のプロセスで保護するだけでなく、保存の際も暗号化と厳格なアクセス制御を施さなければなりません。さらに、カード会員データを適切に管理するため、データの処理および保存に関する手順を定め、定めた手順に沿って暗号化とプロセスの管理を行わなければなりません。

（4）公共ネットワーク経由でカード会員データを伝送する場合の保護

個人情報を公共ネットワーク（オープン、パブリック）で伝送する必要がある場合は、伝送プロセスにおける未承認のアクセスや漏洩を防ぐため、強固な暗号化アルゴリズムとセキュリティプロトコルで保護しなければなりません。

（5）情報システムをマルウェアから保護し、ウィルス対策ソフトウェアのウィルスシグネチャとプログラムを定期的に更新する

重要なシステムには必ずウィルス対策ソフトをインストールし、常にウィルスシグネチャを最新のものに更新しておかなければなりません。ウィルス対策ソフトは、トロイの木馬およびスパイウェアが同時に検出できるものが望ましく、また、定期的にログを生成し、チェックすることが必要です。

（6）安全性の高いシステムとアプリケーションを開発および保守する

アプリケーションの自社開発においては、セキュア開発ライフサイクル（SDLC）、OWASPセキュアコーディングプラクティスなど業界のベストプラクティスを実施し、情報セキュリティをソフトウェア開発のライフサイクルに組み込む必要があります。また、既知の脆弱性をなくし、既知の悪意ある攻撃を防ぐため、すべてのアプリケーションにセキュアなソースコードを使用しなければなりません。OWASP TOP10に挙げられたセキュリティリスクへの対策は必須です。

（7）カード会員データへのアクセスを業務上必要な範囲内に制限する

アクセス制御の点では、コンピューター上の個人に関する情報にアクセスできる従業員を業務上必要な範囲内に制限し、無関係の者がアクセスできないようにしなければなりません。PCI DSSでは、システムおよびアプリケーションに強固なアクセス制御を実装するよう求めています。

（8）情報システムへのアクセスを識別・認証する

個人情報へのアクセス権限を与えるユーザーには、アクセスを許可する前に、一意のIDを割り当てなければなりません。これは情報セキュリティインシデントが発生した場合に問題を追跡し、責任を明らかにするためです。システム内で使用するパスワードを保存、送信する際には、必ず暗号化して保護する必要があります。

（9）カード会員データやシステムへの物理的アクセスを制限する

カード会員データへの物理的アクセスについては、監視システムや入退室管理など適切なセキュリティ対策によって、適切な制限を実施する必要があります。また、すべての訪問者が適切に管理されなければなりません。そのため、訪問中のログは少なくとも3か月間保管し、必要に応じて訪問者のあらゆる活動が確認できるようにしておかなければなりません。

（10）ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

カード会員データへのすべてのアクセスを記録、追跡する必要があります。記録内容には、ユーザーID、イベントの種類、日時、アクセス成功または失敗、イベントの発生元、影響を受けるデータの範囲、システムコンポーネント、そのデータのIDまたは識別名を含めなければなりません。

また、データの漏洩やセキュリティインシデントに即座に対応するため、24時間365日の対応体制を構築する必要があります。

（11）セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティ対策の有効性を確保するため、毎年定期的にテストを実行する必要があります。四半期ごとに少なくとも1回の内部・外部脆弱性スキャンのほか、ネットワークでの大幅な変更があった場合も、必要なスキャンおよびテストを実行しなければなりません。なお、外部脆弱性スキャンは、PCI SSCの認定を受けたASVが行う必要があります。また、外部に接続するIPと内部のネットワーク境界、管理される重要なネットワーク境界は、毎年、内部・外部ペネトレーションテスト（外部侵入テスト）が必要です。

（12）すべての担当者（内部の従業員および外部の委託業者）の情報セキュリティに対応するポリシーを整備する

事業者は情報セキュリティポリシーを策定、公開、維持、周知し、すべての従業員と外部協力企業やサービスプロバイダに情報セキュリティについての責任を十分に理解させるとともに、一連の手順要件に関する文書を策定する必要があります。また、リスク評価、リスク処理、毎年のセキュリティ訓練、インシデント対応訓練を実施し、かつ適切な調査記録を残さなければなりません。

お問い合わせ

ご不明な点がございましたら、お気軽にお問い合わせください！