こんにちは。先日誕生日を迎えました、社会人一年目のShinoです。
23歳の抱負は、"果敢に挑戦する"です。
ラグビーW杯が大いに盛り上がりましたが、屈強な肉体と精神で立ち向かうラグビー選手のように、何事も果敢に挑戦していきたいです。
前回は「SQLインジェクション」について取り上げました。
(↓前回、前々回の記事もこちらからぜひご覧ください。)
第一回 脆弱性とは?
第二回 SQLインジェクションとは?
今回は「PCI DSS」について取り上げます。
突然ですが、皆さんはクレジットカードを使って買い物をしたことがありますか?
以下の記事によると、日本全体でクレジットカードを使って決済をしている人は全体の18%ほどであるといわれています。
(引用元:https://businessxstock.com/use-rate-of-credit-card-in-japan/)
18%と聞くと、少ないように感じるかもしれませんが、総人口ベースで考えると約2,200万人もの人々がクレジットカード決済を利用しています。
今回、お話しするPCI DSSはクレジットカードで"支払う側"ではなく、"支払われる側"のです。
クレジットカードを扱う加盟店やカード会社でなければ、なかなか耳にすることが少ないPCI DSS(ピーシーアイディーエスエス)。
実は、普段何気なく利用しているクレジットカードのデータを守るために様々なセキュリティ要件が定められています。
PCI DSSとは?
まず、前提として、現在日本国内のクレジットカード加盟店では、利用者がクレジットカードで支払うときに店舗やオンラインショップなど自社でクレジットカード情報を持つか、持たないか、のどちらかを選択する必要があります。
クレジットカード情報を持つ場合に、準拠しなければならない基準がPCI DSSです。
PCI DSSとは、Payment Card Industry Data Security Standardの略語で、クレジットカードのデータを安全に取り扱うためにつくられた、クレジットカード業界のセキュリティ安全基準のことです。
国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
(引用元:https://www.jcdsc.org/pci_dss.php)
統一ルールの策定で対策が明確に
私は最初にこの言葉と意味を聞いたとき、「セキュリティとクレジットカードにどういう関連性があるのか」と疑問に思い、調べてみると、PCI DSSが作られた背景が分かりました。
PCI DSSが策定されるまでは、カードブランドが独自にセキュリティ基準を定めていたため、明確な統一ルールが存在しませんでした。そのため、クレジットカード会員データの流出・悪用される事故が多発していました。
また、インターネットの普及によりECサイトなどクレジットカードを利用する場面が拡大した一方で、サイバー攻撃は巧妙化かつ多様化し、その結果、カード会員データの漏洩事故は大規模になってきました。
(引用元:https://www.tis.jp/special/platform_knowledge/pci01/)
このような状況を踏まえ、カードブランド5社は共同で、セキュリティリスクの効果的な低減とセキュリティ管理の効率的な運用を目的に、クレジットカード情報保護のための統一的なセキュリティ基準を策定しました。それがPCI DSSです。
クレジットカード情報を保存、処理、伝送する事業者は、年間のカード取引量などに応じ、それぞれレベル分けされ、PCI DSSに準拠する必要があります。
その対象となる事業者は、クレジットカード会社、決済代行会社、銀行はもちろん、加盟店もその対象であり、航空・鉄道会社、新聞社など、多岐にわたります。
今後もキャッシュレス化の推進に伴い、クレジットカードの利用もさらに増大するため、一度事故が起きると大きな被害が予想されます。
クレジットカード情報を扱う事業者は、常に細心の注意を払う必要があります。
PCI DSSではセキュリティ診断が求められる
PCI DSSでは、細かいセキュリティ上の規定が求められる他、Webアプリケーションの診断やネットワーク、無線LAN、セグメンテーションがしっかり分けられているかなど、いくつかのセキュリティ診断を受ける必要があります。
そのうちの一つに認定されたベンダーのツール(ASV)でネットワークを外部から診断する、という項目があります。
弊社では、認定されたベンダーのツールを使用したSCT SECURE ASVスキャンを提供しております。
ネットワークとWebアプリケーションを外部から自動診断するサービスです。
簡単に使えて、診断回数も無制限、PCI DSSの審査で使える合格・不合格のレポートも日本語・英語などで出力できます。
ASV以外のPCI DSSに準拠するためのセキュリティ診断も各種取り揃えていますので、お気軽にご相談いただければと思います。
また、こちらのASVの認定を受けた診断エンジンを使用したSCT SECUREクラウドスキャンも提供しております。
こちらは、SCT SECURE ASVスキャンに、スケジューリングや認証付きのWebサイトも診断できる機能がついております。
PCI DSSレベルの診断を利用して、ネットワーク、Webアプリケーションのセキュリティを底上げすることができます。
今回は、PCI DSSの概要をまとめました。
PCI DSSが作られた背景は、カードブランド各社が統一ルールを作ることで情報漏洩や改ざんなどのリスクを下げることと、セキュリティ管理を効率よく行うために作られたということを知りました。
加えて、PCI DSSはクレジットカードを扱う業種にとってPCI DSS準拠かもしくは非保持が求められるので、ユーザーがより安全にカード決済ができるようにするためにも、まだ実施していない企業には一日でも早く準拠してもらいたいと感じました。
次回はPCI DSSに準拠するとなにがいいのか、についてお話しします。
後編の記事はこちらからご覧ください。
第四回 PCI DSSとは?(後編)
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
