現代社会の隅々にまで浸透し、もはや生活の一部にもなりつつあるインターネット。さまざまなサービスがインターネットを通じて提供され、ショッピングサイトでクレジットカードを使った買い物は、すっかり私たちの生活に定着しています。しかしながら、インターネットサイトの構築はこれまで安全性よりも利便性を優先されてきたこともあり、SQLインジェクションなどのWebの脆弱性から、情報流出や不正アプリケーションを仕掛けられる等の事故が後を絶ちません。消費者が安心してインターネットのサービスを利用できるように――カード社会であるアメリカでは、クレジットカード会社がいち早くこの問題に取り組み「PCI DSS」というセキュリティ基準を作りあげました。日本でも度重なる情報漏えい事故から企業のセキュリティ対策の重要性が叫ばれる今、LACが「PCI DSSの有効性」について語ります。
今回の特集インタビューは、企業のセキュリティ対策を担当されている方にとって必読です!
- P01:PCI DSSは、クレジットカード業界以外にも有効な基準である
- P02:従来にない具体的かつ定量的なPCI DSS
- P03:PCI DSSなら、より柔軟な思考と実行性を兼ね備えた具体的なセキュリティ対策が可能
Q1- まずはじめに、PCI DSSとはどういったものか簡単に教えてください。
A1- PCI DSSとは「Payment Card Industry Data Security Standard」の略で、クレジットカード情報や取引情報などの安全性を確保することを目的として策定されたセキュリティ基準です。現行バージョンの正式な日本語版は約1年半程前の2007年2月にリリースされたということもあり、日本国内ではまだそれほど認知度が高くないというのが現状です。
PCI DSSができ上がる以前は、各カード会社はそれぞれ独自の基準を持っていました。クレジットカード加盟店は、一般的に複数のクレジットカード会社と契約をしますから、カード会社ごとにバラバラの基準を突きつけられた加盟店は頭を抱えてしまいました。そこで「クレジットカード情報や取引情報などの安全性を確保する」という同じ目的を実現するために、JCB、American Express、Discover、MasterCard、VISAの5社による共同でPCI DSSが策定されたのです。
Q2-「クレジットカード情報や取引情報の安全性を確保する」ということは、加盟店や代行事業者などのクレジットカード業界のみに適用される基準ではないのですか?
A2- 確かに、カード会員情報を持つ企業などは、先のカードブランドからPCI DSSへの準拠が求められています。
しかしながら、実は、このPCI DSSはクレジットカード業界以外の組織にとっても、非常に有効なセキュリティ基準であると、アメリカではすでにクレジットカード情報と全く関係ない企業や組織がPCI DSSを採用し始めています。
とかく「セキュリティ対策は基準があいまいである」と言われ、企業のセキュリティ担当者としては「何をどこまでやればいいのかわからない」という声をよく耳にします。PCI DSSは、情報セキュリティに対する具体的な実装を要求しています。例えば「ネットワークやアプリケーションのペネトレーション・テストの回数や実施時期」、「パッチリリース後1カ月以内の適用」、「6回ログオン失敗した場合のロックアウト」、「クライアントPCへのパーソナル・ファイアウォールのインストール」など、これまでにない具体的な施策が定量的に示されています。
では、ちょっと紐といてみましょうか。PCI DSSでは「クレジットカード情報や取引情報」を保護する対象として定義していますが、実際に基準の中では、「カード会員データ」の保護が要求されています。「カード会員データ」という言葉が指す意味を考えてみましょう。クレジットカードを眺めてみてください。
- 氏 名
- カード番号
- 有効期限
これらの情報が流出した場合、クレジットカードの不正利用につながることは十分ありえます。そのためPCI DSSは高レベルのセキュリティ要件を求めており、PCI DSSが保護の対象としている「カード会員データ」を「個人情報」や「営業秘密」と置き換えて考えてみれば、この基準がクレジットカード業界以外の企業でも充分利用できることがご理解いただけるのではないでしょうか。
Q3- 基準や規格と言えば、難しい文章がズラリと書き連なっていて、結局は何をどうすればいいのかが記述されていないというイメージがあるのですが、PCI DSSはどのような内容なのでしょうか?
A3-確かに、プライバシーマークのガイドラインや、ISO27001(ISMS)などの内容を見たことがある方であれば、そういうイメージを持たれていても仕方ないかもしれませんね。ガイドラインを手にしながら、実際に何をどのレベルまで実施すればいいのか分からない、と頭を抱えた記憶のある方も少なくないのではないでしょうか。個人情報保護法が施行された時、第20条の「安全管理措置」に則るために何をどの程度実装するかで、担当者はずいぶんと頭を悩まされたと言います。どの組織も、自分がセキュリティ対策をどこまで実施しているかは公表しないので、横並びしたくてもお互いに他所のことが分からず、一方でガイドラインもあまり具体的なことまでは言及していないためです。
さきほどチラリと触れましたが、PCI DSSには実装レベルにまで落としこんだ、かなり具体的な対策が定量的に記述されています。さらにPCI DSSの要求事項には、過去のセキュリティインシデントの解析結果が反映されています。つまり、情報セキュリティ事故の実体験者にしか分からない「穴」をも埋めてくれるものであるということです。そういった意味でも、PCI DSSは今までの基準やガイドラインとは一線を画しているわけです。
現在のPCI DSSはバージョン1.1ですが、PCI DSSの運営を行っているPCI SSC(PCIセキュリティ標準協議会)からは2008年10月にバージョン1.2が発行されることが発表されています。インターネットやサーバ技術の進化、社会環境の変化が反映されたセキュリティ基準として、実に優れものと言えるでしょう。
サイトガイド
セキュリティ情報
- セキュリティアラート
- JSOC侵入傾向分析レポート
- サイバーリスク総合研究所 発表レポート
- LAC Advisory
- SNSDB Advisory Report
- LACメルマガ購読
- 無料Webサイトログ診断ツール(SecureSite Checker Free)
- 特集スペシャル・アーカイブ
教育・資格取得
セキュリティアカデミー
![[QRコード]](/common/img/guide_qr_lac.gif)
リファレンス
