「PCI DSS準拠の認定取得をするためにはどうすればよいか」
そんなあなたに当記事ではPCI DSSの認定を取得するための要件や手順を解説します。PCI DSSはクレジットカードを取り扱う企業が準拠すべきセキュリティ基準です。お読みいただくことで、PCI DSSの概要から具体的な準拠の手順まで理解し、行動に移せるため、ぜひ最後までご覧ください。
PCI DSSとは?
PCI DSSは一言でいうと、クレジットカードを取り扱う会社向けのデータセキュリティ基準です。Payment Card Industry Data Security Standardの略で、国際的なクレジット産業向けの基準となっています。クレジットカードを発行する企業が準拠すべきと認識されがちですが、クレジットカードの情報を処理、保存、伝送する企業が準拠すべき基準です。よって金融機関や小売業者(ECサイトやスーパーなど)もクレジットカードを利用する場合には準拠対象となります。
もともとは、クレジットカードのセキュリティ基準は各国際カードブランドによって決められていましたが、オンラインショッピングに伴うセキュリティの強化と加盟店の負担の削減をきっかけに、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が手を組んでデータセキュリティ評価基準・PCI DSSが誕生しました。PCI DSSを満たさずにクレジットカードの取り扱いが発覚した場合には罰則が生じます。
現行の基準として、PCI DSS v4.0が2022年3月にリリースされています。
PCI DSSが策定された背景・経緯
PCI DSSが策定された背景には大きく3つの要因があります。
- 各クレジットカード会社が別々のセキュリティ基準を設定していたこと
- インターネットの普及によりオンライン決済が広がったこと
- クレジットカード詐欺が増加したこと
各クレジットカード会社が別々のセキュリティ基準を設定していると、利用する企業はそれぞれの基準に準拠しなければなりません。複数の基準を満たそうとすると、それだけ負担が重くなるため、統一を望む声が上がるようになりました。
インターネットが普及したことにより、オンライン決済のニーズが高まったことも、PCI DSSが策定された要因の1つです。オンラインショッピングの件数が爆発的に増加したことはもちろん、グローバルな取引が容易になったため、クレジットカード決済のニーズも高まっています。
オンラインショッピングの普及と共に増えたのがクレジットカード情報を盗む詐欺です。そのような詐欺を防ぐためにもセキュリティ基準が必要になりました。
まとめるとオンライン決済のニーズが高まり、安全かつ安価にオンライン決済ができるようにPCI DSSを策定し、クレジットカードを利用しやすい環境を整えることになったということです。
PCI DSSの準拠が必要な企業とは?
クレジットカード会社はもちろんですが、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または送信する、全ての事業体に適用されます。
例としては、カード加盟店や銀行、決済代行サービス企業、百貨店やスーパー、量販店、ECサイトなどの流通業や保険会社などの金融業、また携帯電話会社や通信会社なども準拠の対象になります。
PCI DSSに準拠するメリットは?なぜ必要なの?
PCI DSS はカード会員データを保護する他にも、準拠を行うことで、セキュリティ対策ができるのが大きなメリットです。
米国の企業ではクレジットカード情報に限らず組織全体のセキュリティ対策として取り入れられています。
準拠を行い、安全性が高まることで、企業への信頼度の向上はもちろん、ハッカーからの攻撃から顧客のサイトを守り、情報漏えいなどのリスクを減らすことができます。
PCI DSS認定取得の方法を知りたい!
認証取得の方法は2つあります。カード情報の取り扱いの規模や事業形態によっては複数実施する必要がありますので、確認をしましょう。
1.訪問審査の方法
訪問審査は、カード発行会社や情報量の多い事業者などに求められる方法です。
PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)が訪問を行い審査をします。定期審査は年に1回です。
QSAの一覧は、日本カード情報セキュリティ協議会のサイトから確認ができます。
(参考:https://www.jcdsc.org/qsa-asv.php)
2. 自己問診の方法
PCI DSSの要求事項に基づいた自己問診の各質問に対し、「はい」、「いいえ」、または「N/A(該当なし)」で回答し、PCI DSSの基準を全て満たしているか確認する方法です。
自己問診シートはPCI SSCのホームページ(英語サイト)よりダウンロードできます。
自己問診(Self-Assessment Questionnaire)のダウンロードはこちら
バージョン4.0に基づく自己問診(SAQ)の日本語版はPCI SSCの日本語サイトに公開されています。
自己問診(SAQ)日本語版のダウンロードはこちら
※言語選択でjapaneseを選択してください。
ASVスキャン
診断要件であるスキャン検査は、国際カードブランド5社によって設立されたPCI SSC(PCI Security Standards Council)に認定されたベンダ(ASV = Approved Scanning Vendor)のスキャンツールによって、4半期ごとに実施します。スキャンツールでインターネットに接続されているネットワークやサーバ機器の脆弱性を診断します。カードの取り扱いが中規模の事業者やインターネットを利用している事業者にとって必要な審査方法となります。
PCI DSS取得にかかる費用の相場
PCI DSS取得にかかる費用相場は以下のとおりです。
- 初期費用:1,000万円以上
- 月額:100万円以上
また取得するまでの期間は半年から1年とされており、1年以上かかることもあります。よって合計で2,000万円程度は覚悟することになるでしょう。
必要なコストが大きいため、自社のみでPCI DSSを取得するよりも、PCI DSS取得のサポートサービス利用を推奨します。
PCI DSSの要件|6つの目標と12の要件
PCI DSSでは6つの目標とそれに対応する12の要件が定められています。
なお準拠する範囲を決めておき、審査をしてもらうことで範囲部分のみで評価をしてもらえます。範囲とはシステム、ネットワーク、アプリケーションなどカードデータを扱うインフラを対象としたグループです。範囲を決めないと、全てのインフラが審査対象となります。
よって基本的には範囲を決めておくべきです。
PCI DSSの6つの目標とそれに対応する12の要件は以下となります。
安全なネットワークとシステムの構築と維持
1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
アカウントデータの保護
3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持
5. 全てのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御の実施
7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
10. ネットワークリソースおよびカード会員データへの全てのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持
12. 全ての担当者の情報セキュリティに対応するポリシーを維持する
参照:Payment Card Industry(PCI) データセキュリティ基準
要件とセキュリティ手順 バージョン 4.02022 年 3月
https://listings.pcisecuritystandards.org/documents/PCI-DSS-v4_0-JA.pdf
PCI DSS準拠対応の手順とは
PCI DSS準拠の対応は以下の流れで実施します。
- 準拠対応が必要な範囲を決める
- システムセキュリティの現状を改善する策を立てる
- 改善策に沿って実装していく
- テストを行った上で審査にかける
準拠対応が必要な範囲を決める
PCI DSS準拠の対応を進めるためには、まず範囲を決めましょう。
準拠に必要な範囲として以下に絞る必要があります。
- ネットワーク
- システム
- アプリケーション
これらのうち、クレジットカードの情報を処理、保存、伝送することになるインフラを範囲とします。社内全てのインフラがPCI DSSに準拠する必要はなく、範囲内のインフラが準拠できていれば要件をクリアできるためです。範囲を決めずに審査を申し込むことは、社内全てのインフラが対象となってしまうため、得策ではありません。
まずは対象となる範囲を定めておきましょう。
システムセキュリティの現状を改善する策を立てる
PCI DSSに準拠する範囲を決めたら、システムセキュリティの現状を改善する策を立てましょう。
PCI DSSは範囲内で6つの目標と12の要件を満たす必要があります。これらはクレジットカードを安全に利用するために定められた、高い水準のセキュリティ要件です。
要件と自社のセキュリティ対応の現状を比較して、乖離(未到達)を確認しましょう。乖離している部分に対しては、どのように差を埋めていくのか、改善策を立てる必要があります。
改善策に沿って実装していく
改善策が決まったら、内容に沿って実装を行い要件の準拠を目指しましょう。
具体例として、以下の対応が必要になることが考えられます。
- ファイアウォールポリシーの設定
- ソフトウェアのアップデート
- パスワードの変更
- 従業員の教育
- アクセス制限
- 監視ログツールの導入
改善策に沿って上記を行い、12の要件を満たしましょう。
テストを行った上で審査にかける
改善策に沿ってPCI DSSの要件への準拠ができたら、テストを行い、審査を依頼しましょう。
実施すべきテストの例として以下があります。
- 脆弱性診断
- ペネトレーションテスト
テストを行い、PCI DSSの要件への準拠、およびシステムの安全性が確認できたら審査を依頼して、認定取得を目指します。
なお、テストは認定取得前だけに行うものではありません。認定後にも審査を受けるためにテストの実施が必要です。準拠するためのテストだけでなく、準拠を継続するためにも安全性が高いシステムの運用が求められることになります。
PCI DSS準拠対応の進め方
PCI DSSの準拠対応の進め方には主に以下のパターンがあります。
- 自社で対応する
- 専門業者に外注する
自社で対応する
自社でPCI DSSの認定を取得するためにITチームやセキュリティ部門を中心に取り組むパターンです。
以下のメリットとデメリットがあります。
- メリット
- コストの節約ができる
- 内部にナレッジが溜まる
- デメリット
- 高度なセキュリティの知識が必要になる
- 継続的にPCI DSSに対応することの負担が大きい
外注をしないため、コスト面やナレッジ面のメリットがあります。自社だけでの対応も不可能ではありませんが、デメリットを考えるとあまり現実的ではないと考える企業も多いでしょう。
専門業者に外注する
PCI DSS準拠に関する専門業者やコンサルタントに外注し、準拠を目指して並走してもらうパターンです。
以下のメリットとデメリットがあります。
- メリット
- 経験や専門的な知識が豊富である
- 迅速に対応を完了できる
- 人的リソースの節約
- デメリット
- 外注するコストが高くなる
- 内部にナレッジが溜まりにくい
外注するメリットは、高度な専門知識を得ている担当者に依頼することで、迅速な対応を実現できることです。サイバー攻撃の高度化もあり、セキュリティサービスも日々進化しています。よって、PCI DSSも高度化が進むので、企業はシステムのアップデートをしながらPCI DSSへの準拠を継続しなければなりません。
継続対応のためには柔軟性や知識のアップデートのスピードが求められますが、専門業者への外注により、継続対応しやすくなります。
三和コムテックの PCI DSS準拠に向けた対応ソリューション
三和コムテックでは、PCI DSS準拠に向けたソリューションとして以下を提供しています。
- 外部診断(ASV):グローバルIPをもつサーバやネットワーク機器の脆弱性診断
- 内部診断:内部ネットワークの脆弱性診断
- 無線LANポイント調査:無線LANのセキュリティの監視
- ペネトレーションテスト(ネットワーク・Web アプリケーション):外部、内部診断にて検出した脆弱性をついてセキュリティ専門家による擬似攻撃を用いたテスト
- 境界ネットワーク診断:IDS、IPS を含めた境界ネットワークの診断
PCI DSSの12の要件を満たすために必要なソリューションがそろっています。次項では要件ごとにどのソリューションを提供すればよいのか、解説しているのでご覧ください。
要件に応じた三和コムテックの PCI DSS準拠診断サービス
PCI DSS 準拠をするに当たって必要とされる要件のうち、弊社が提供することの出来る、診断関係のソリューションやプロダクトをご紹介します。
| 要件 | 要件概要 | 頻度 | SCT該当サービス名 |
|---|---|---|---|
|
ASV(認定ベンダー)からのインターネット経由の脆弱性診断 | 四半期ごと | SCT SECURE PCIスキャン |
|
内部ネットワークからの脆弱性診断 | 四半期ごと | SCT SECURE インターナルスキャン |
|
インターネット経由ペネトレーション診断 | 年1回 | SCT SECURE ペネトレーション診断 |
|
内部ネットワークからのペネトレーション診断 | 年1回 | SCT SECURE ペネトレーション診断 |
|
境界面調査 | 年2回 | SCT SECURE セグメント診断 |
|
外部サイトのWeb アプリケーションの継続保護 | 随時 | SCT SECURE ペネトレーション診断 |
|
無線LAN調査 | 四半期ごと | SCT SECURE 無線LANスキャン |
まとめ
PCI DSSはクレジットカードを取り扱う企業が準拠すべきセキュリティ基準です。準拠すべき企業はクレジットカードを発行する企業だけでなく、金融機関やスーパーなどクレジットカードを使える店舗が満たすべき基準となります。
三和コムテックでは、PCI DSSに準拠するためのソリューションを取りそろえています。自社でのセキュリティ対応に不安をお持ちの担当者様は下記リンクからご連絡ください。
