PCI DSSとは

近年、クレジットカード情報を狙ったサイバー攻撃の被害は大幅に増加しており、クレジットカード情報の流出に関するニュースを見かける日も少なくありません。2021年のクレジットカード不正利用の被害総額は330億1000万円となり、過去最多となるそうです。

そんな中、2022年3月にカード情報セキュリティの国際統一基準であるPCI DSS(Payment Card Industry Data Security Standard)が、8年ぶりにメジャーバージョンアップされました。
PCI DSSとは、国際ペイメントブランド5社（アメリカンエキスプレス、Discover、JCB、マスターカード、VISA）がカード会員情報の保護を目的に共同で策定した、カード情報セキュリティの国際統一基準です。
新たな「PCI DSS v4.0」は従来のPCI DSSから、近年のカード情報漏えいの傾向をふまえた新たな要件、リスクベースでの考え方などが追加されています。
従来の「PCI DSS v3.2.1」は2024年3月31日までは有効となっていますが、その日付以降はすべて「PCI DSS v4.0」またはそれ以降でのバージョンにおけるPCI DSS要件に準拠する必要があります。

今回は、「PCI DSS v4.0」での主な変更点およびPCI DSS要件に関わるセキュリティサービスについて紹介していきます。
※PCI DSS準拠が必要となる事業者は、カード会社をはじめ、決済代行業者や携帯電話会社、ECサイトなど、カード情報を「管理・処理・伝送する」すべての組織が対象となります。

PCI DSSの要件

PCI DSSでは、カード情報を適切に管理するための6つの目的と、それを達成するための12の要件が規定されています。

その要件と最新の「PCI DSS v4.0」での主な変更点は以下になります。

【安全なネットワークとシステムの構築と維持】

1.カード会員データを保護するために、ファイアウォールをインストールして維持する
2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

※ｖ4.0で大きな変更点なし※

【カード会員データの保護】

3.保存されるカード会員データを保護する
4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

※ｖ4.0からの主な変更点※
要件3：対象が「カード会員データ」から「アカウントデータ」となり、カード会員データと同様に機密認証データも暗号化が必要となりました。

【脆弱性管理プログラムの維持】

5.マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6.安全性の高いシステムとアプリケーションを開発し、保守する

※ｖ4.0からの主な変更点※
要件5：フィッシング攻撃を検出・防御するための対策をすることが新規追加されました。
要件6：一般公開しているWebアプリケーションに大してWAFの導入が必須となり、決済ページの改ざんを防ぐための認可プロセス等に関する要件も追加されました。

【強力なアクセス制御手法の導入】

7.カード会員データへのアクセスを、業務上必要な範囲内に制限する
8.システムコンポーネントへのアクセスを識別・認証する
9.カード会員データへの物理アクセスを制限する

※ｖ4.0からの主な変更点※
要件8：ユーザアカウントのパスワードの複雑性や変更頻度、カード会員データにアクセスする際の多要素認証の実装の必要性などが追加されました。

【ネットワークの定期的な監視およびテスト】

10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする

※ｖ4.0からの主な変更点※
要件10：監視ログのレビューに自動化されたメカニズムの仕様が求められるようになりました。
要件11：内部脆弱性スキャンにおいて、認証スキャンを実施することが追加されました。

【情報セキュリティポリシーの整備】

12.すべての担当者の情報セキュリティに対応するポリシーを整備する

※ｖ4.0からの主な変更点※
要件12：PCI DSS要件の特性を踏まえたターゲットリスク分析の実施が必要となりました。

PCI DSS要件を満たすためのセキュリティサービス

PCI DSSの要件を満たすためには、脆弱性の特定と管理は必須となり、定期的に脆弱性スキャンやペネトレーションテストを実施する必要があります。

当社で提供している以下のサービスはPCI DSS要件に対応しています。
お気軽にご相談ください。

1．セキュリティ脆弱性診断サービス
　(アプリケーション診断/ネットワーク診断)
　PCI DSSで求められるセキュリティ要件を満たした内容による定期的な脆弱性診断が必要です。

2．クラウド型WAFセキュリティサービス（WAF）
　「PCI DSS v4.0」では要件6で一般公開しているWebアプリケーションに対してWAFの導入が必須となりました。

さいごに

「PCI DSS v4.0」では、カード会員データの管理についてリスクベースの考え方が求められるようになりました。

2022年2月には、決済代行会社が不正アクセスにより最大46万件のカード会員データを漏えいさせたニュースが報じられましたが、脆弱性情報やシステム変更の事実を適切に共有していなかったことが原因とみられており、個人情報を取り扱う企業のセキュリティ管理の重要性を改めて実感する事例となりました。

カード会員データを狙ったサイバー攻撃は今後もより多様化、複雑化していくと見られ、適切な対策を講じるためにも、まずは定期的に現在のセキュリティリスクを認識し、その有無や脆弱性レベルに応じた適切な対処、効果的な予算配分が必要です。

PCI DSSの準拠対応に関するお悩みもぜひ、お気軽にご相談いただければ幸いです。

参考ページ
PCI DSSのための脆弱性スキャン＆ネットワークぺネトレーションテスト内製化トレーニング｜GSX
PCI DSSとは : 富士通
【今さら聞けない】誰でもわかる PCI DSSの要件と対応方法 | ナレッジ／事例　TISプラットフォームサービス | 特集・レポート | ITソリューションのTIS株式会社
PCIDSSとは｜日本カード情報セキュリティ協議会
PCI DSS v4.0リリース情報｜その特徴とv3.2.1との差分、対応方針について解説
PCI DSS Version 4.0における変更点のポイント　第一回