【これで解決!】今さら聞けない PCI DSS とは?準拠方法や要件を解説!

 2022.10.17  三和コムテック

2022年3月にv4.0がリリースされ、v3.2.1は2024年3月末で引退となるPCI DSS。今さらだけど、PCI DSSってどうしたらいいかわからない、対応サービスを探している方向けにPCI DSSについて説明します。これだけ読めばPCI DSSの準拠対策も安心!
【これで解決!】今さら聞けない PCI DSS とは?準拠方法や要件を解説! 1

PCI DSSとは?

一言で言うと、クレジットカードを取扱う会社向けのデータセキュリティ基準です。
Payment Card Industry Data Security Standardの略で、国際的なクレジット産業向けの基準となっています。

もともとは、クレジットカードのセキュリティ基準は各国際カードブランドによって決められていましたが、オンラインショッピングに伴うセキュリティの強化と加盟店の負担の削減をきっかけに、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が手を組んでデータセキュリティ評価基準・PCI DSSが誕生しました。

PCI DSSの準拠が必要な企業とは?

クレジットカード会社はもちろんですが、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または送信する、すべての事業体に適用されます。

例としては、カード加盟店や銀行、決済代行サービス企業、百貨店やスーパー、量販店、ECサイトなどの流通業や保険会社などの金融業、また携帯電話会社や通信会社なども準拠の対象になります。

PCI DSSに準拠するメリットは?なぜ必要なの?

PCI DSS はカード会員データを保護するほかにも、準拠を行うことで、セキュリティ対策ができるのが大きなメリットです。

米国の企業ではクレジットカード情報に限らず組織全体のセキュリティ対策として取り入れられています。

準拠を行い、安全性が高まることで、企業への信頼度の向上はもちろん、ハッカーからの攻撃からお客様のサイトを守り、情報漏洩などのリスクを減らすことができます。

PCI DSS認定取得の方法を知りたい!

認証取得の方法は2つあります。カード情報の取り扱いの規模や事業形態によっては複数実施する必要がありますので、確認をしましょう。

1.訪問審査の方法

訪問審査は、カード発行会社や情報量の多い事業者などに求められる方法です。
PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)が訪問を行い審査をします。定期審査は年1回行います。
QSAの一覧は、日本カード情報セキュリティ協議会のサイトから確認ができます。
(参考:https://www.jcdsc.org/qsa-asv.php

2. 自己問診の方法

PCIDSSの要求事項に基づいた自己問診の各質問に対し、「はい」、「いいえ」、または「N/A(該当なし)」で回答し、PCI DSSの基準をすべて満たしているか確認する方法です。
自己問診シートはPCI SSCのホームページ(英語サイト)よりダウンロードいただけます。

自己問診(Self-Assessment Questionnaire)のダウンロードはこちら

バージョン3.2.1に基づく自己問診(SAQ)の日本語版はPCI SSCの日本語サイトに公開されています。
自己問診(SAQ)日本語版のダウンロードはこちら

ASVスキャン

診断要件であるスキャン検査は、国際カードブランド5社によって設立されたPCI SSC(PCI Security Standards Council)に認定されたベンダ(ASV = Approved Scanning Vendor)のスキャンツールによって、4半期ごとに実施します。スキャンツールでインターネットに接続されているネットワークやサーバ機器の脆弱性を診断します。カードの取り扱いが中規模の事業者やインターネットを利用している事業者にとって必要な審査方法となります。

 

PCI DSSの要件と対応サービス

PCI DSSで定められている要件は?

PCI DSSでは6つの目標とそれに対応する12の要件が定められています。
その6つの目標とそれに対応する12の要件は以下となります。

 


安全なネットワークとシステムの構築と維持
1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護
3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持
5. すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入
7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト
10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの維持
12. すべての担当者の情報セキュリティに対応するポリシーを維持する

参照:Payment Card Industry(PCI) データセキュリティ基準
要件とセキュリティ評価手順 バージョン 3.2.1 2018 年 5 月
https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/PCI_DSS_v3_2_1_JA-JP.pdf

 

三和コムテックの PCI DSS準拠診断サービス

PCI DSS 準拠をするに当たって必要とされる要件のうち、弊社が提供することの出来る、診断関係のソリューションやプロダクトをご紹介します。

要件 要件概要 頻度 SCT該当サービス名
11.2.2
四半期に一度の外部の脆弱性スキャンは、PCI(Payment Card Industry)セキュリティ基準審議会(PCI SSC)によって資格を与えられた認定スキャニングベンダ(ASV)によって実行される必要がある。スキャンに合格するまで、必要に応じて再スキャンする。
ASV(認定ベンダー)からのインターネット経由の脆弱性診断 四半期ごと SCT SECURE
PCIスキャン
11.2.1
すべての「高リスク」脆弱性(要件6.1 で識別)が解決されるまで、必要に応じて四半期ごとの内部脆弱性スキャンを繰り返す。スキャンは有資格者が実施する必要がある。
内部ネットワークからの脆弱性診断 四半期ごと SCT SECURE
インターナルスキャン
11.3.1
外部のペネトレーションテストを少なくとも年に一度および大幅なインフラストラクチャまたはアプリケーションのアップグレードや変更(オペレーティングシステムのアップグレード、環境へのサブネットワークの追加、環境への Web サーバの追加など)後に実行する。
インターネット経由ペネトレーション診断 年1回 SCT SECURE
ペネトレーション診断
11.3.2
内部ペネトレーションテストを少なくとも年に一度および大幅なインフラストラクチャまたはアプリケーションのアップグレードや変更(オペレーティングシステムのアップグレード、環境へのサブネットワークの追加、環境への Web サーバの追加など)後に実行する。
内部ネットワークからのペネトレーション診断 年1回 SCT SECURE
ペネトレーション診断
11.3.4
セグメンテーションを用いて CDE を他のネットワークから分離した場合、少なくとも年に一度とセグメンテーションの制御/方法が変更された後にペネトレーションテストを行って、セグメンテーション方法が運用可能で効果的であり、適用範囲内のシステムから適用範囲外のシステムをすべて分離することを確認する。
境界面調査 年2回 SCT SECURE
セグメント診断
6.6
一般公開されている Web アプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法 によって、既知の攻撃から保護されていることを確認する。
外部サイトのWeb アプリケーションの継続保護 随時 SCT SECURE
ペネトレーション診断
11.1
四半期ごとにワイヤレスアクセスポイントの存在をテストし (802.11)、すべての承認されているワイヤレスアクセスポイントと承認されていないワイヤレスアクセスポイントを検出し識別するプロセスを実施する。
無線LAN調査 四半期ごと SCT SECURE
無線LANスキャン

PCI DSS準拠診断サービスについてはこちらもご覧ください。
SCT SECURE PCI DSS準拠診断サービス

SCT Security Solution Book

RECENT POST「セキュリティ」の最新記事


DevSecOpsとは?基本概念から導入方法まで完全ガイド
セキュリティ

DevSecOpsとは?基本概念から導入方法まで完全ガイド

APT攻撃とは?危険なAPT攻撃の手口から被害事例、対策を解説
セキュリティ

APT攻撃とは?危険なAPT攻撃の手口から被害事例、対策を解説

APIセキュリティの必要性とは?攻撃リスクと対策方法を徹底解説!
セキュリティ

APIセキュリティの必要性とは?攻撃リスクと対策方法を徹底解説!

CSPMとCWPPの違いとは?両者の違いと弱点を補強するサービスを解説!
セキュリティ

CSPMとCWPPの違いとは?両者の違いと弱点を補強するサービスを解説!

【これで解決!】今さら聞けない PCI DSS とは?準拠方法や要件を解説!
ブログ無料購読のご案内

おすすめ資料

PAGETOP