カード会社・決済代行事業者必見!PCI DSS v4.0準拠のために事業者が行うべき対策をプロが解説① 2024年3月末までの完全移行に向けて、早めの準備が重要に
クレジットカード業界の国際統一セキュリティ基準である「PCI DSS」 。2022年3月にメジャーアップデートとなるv4.0がリリースされ、現在のv3.2.1は2024年3月31日で終了し、クレジットカード情報を取り扱う事業者はv4.0への移行が求められています。今話題のPCI DSSとはどういう基準なのか、v4.0によって何が変更されるのかなどPCI DSS v4.0の気になるポイントを、株式会社リンクでPCI DSSの準拠を促進する事業を担当する滝村享嗣と傳田直也の二人が解説します。
クレジットカード情報を守るために必要なPCI DSS
―2022年3月にPCI DSS v4.0が登場し、業界の中では話題となっています。PCI DSSとはどういうものなのでしょうか。
滝村 PCI DSSは簡単に言うと、クレジットカード情報を取り扱う事業者向けのセキュリティ基準です。その基準は、PCI SSC(PCI Security Standards Council)という評議会が維持・管理、普及活動をおこなっています。PCI SSCはアメリカン・エキスプレス、ディスカバー・フィナンシャル・サービシズ、JCBインターナショナル、マスターカード、Visaのカードブランド5社が共同で立ち上げた組織です。各ブランドが独自にセキュリティ基準を決めると、クレジットカード事業者はそれぞれの基準に対応しなければならなくなります。それは大変なので、統一規格としてPCI DSSを作り、すべてのクレジットカード情報を取扱う事業者はこの規格を準拠することが求められています。
傳田 PCI DSSの対象となるのはクレジットカード情報を取扱う事業者になります。みなさんもVISA、Mastercard、JCBカード、楽天カード、PayPayカードなどいろいろな会社のクレジットカードを持っていると思いますが、クレジットカードを発行している会社はPCI DSSに準拠する必要があります。あとは我々のようなクレジットカード専用のサーバーインフラを提供している会社やクレジットカード決済を専門とする決済代行事業者など、クレジットカード情報を扱うネットワーク上にいるすべての事業者は、お客さまのクレジットカード情報や個人情報を安全に管理するためにPCI DSSに準拠が必要です。
―カードユーザーの情報を守るために、PCI DSSという厳しいセキュリティ基準を設けているということですね。ちなみにPCI DSSに準拠していないとどうなるのでしょうか。
滝村 基本的に罰則はありません。ただ、PCI DSSに準拠しないと、上位のクレジットカードネットワーク事業者との契約することが難しくなります。そうなるとビジネスに支障をきたしますから、すべての事業者はPCI DSSに準拠しています。
傳田 ただし、ECサイトやクレジットカードが利用可能な店舗ではPCI DSSに準拠している会社はごく僅かです。これには理由があって、日本のローカルルールで「カード情報の非保持化」という手法が認められています。「カード情報の非保持化」とは自分たちのネットワーク上にクレジットカード情報が「通過しない」、「処理しない」、「保存しない」という状態です。
ECサイトで買い物をすると、クレジットカード情報を入力するステップだけ違うホームページに遷移後、カード番号を入力すると決済完了となりますよね。この操作ですと、ECサイトにカード情報を伝えていると思っている方が多いと思いますが、実はそうではありません。
非保持化を行っているECサイトの場合は、画面に入力したカード番号は、決済代行事業者が提供・公開している決済用のスクリプトにデータが送られます。決済代行事業者はPCI DSSに準拠しているので、この方法であればカード番号が比較的安全に処理が可能といわれています。
滝村 PCI DSSは簡単に言うと、クレジットカード情報を取り扱う事業者向けのセキュリティ基準です。その基準は、PCI SSC(PCI Security Standards Council)という評議会が維持・管理、普及活動をおこなっています。PCI SSCはアメリカン・エキスプレス、ディスカバー・フィナンシャル・サービシズ、JCBインターナショナル、マスターカード、Visaのカードブランド5社が共同で立ち上げた組織です。各ブランドが独自にセキュリティ基準を決めると、クレジットカード事業者はそれぞれの基準に対応しなければならなくなります。それは大変なので、統一規格としてPCI DSSを作り、すべてのクレジットカード情報を取扱う事業者はこの規格を準拠することが求められています。
傳田 PCI DSSの対象となるのはクレジットカード情報を取扱う事業者になります。みなさんもVISA、Mastercard、JCBカード、楽天カード、PayPayカードなどいろいろな会社のクレジットカードを持っていると思いますが、クレジットカードを発行している会社はPCI DSSに準拠する必要があります。あとは我々のようなクレジットカード専用のサーバーインフラを提供している会社やクレジットカード決済を専門とする決済代行事業者など、クレジットカード情報を扱うネットワーク上にいるすべての事業者は、お客さまのクレジットカード情報や個人情報を安全に管理するためにPCI DSSに準拠が必要です。
―カードユーザーの情報を守るために、PCI DSSという厳しいセキュリティ基準を設けているということですね。ちなみにPCI DSSに準拠していないとどうなるのでしょうか。
滝村 基本的に罰則はありません。ただ、PCI DSSに準拠しないと、上位のクレジットカードネットワーク事業者との契約することが難しくなります。そうなるとビジネスに支障をきたしますから、すべての事業者はPCI DSSに準拠しています。
傳田 ただし、ECサイトやクレジットカードが利用可能な店舗ではPCI DSSに準拠している会社はごく僅かです。これには理由があって、日本のローカルルールで「カード情報の非保持化」という手法が認められています。「カード情報の非保持化」とは自分たちのネットワーク上にクレジットカード情報が「通過しない」、「処理しない」、「保存しない」という状態です。
ECサイトで買い物をすると、クレジットカード情報を入力するステップだけ違うホームページに遷移後、カード番号を入力すると決済完了となりますよね。この操作ですと、ECサイトにカード情報を伝えていると思っている方が多いと思いますが、実はそうではありません。
非保持化を行っているECサイトの場合は、画面に入力したカード番号は、決済代行事業者が提供・公開している決済用のスクリプトにデータが送られます。決済代行事業者はPCI DSSに準拠しているので、この方法であればカード番号が比較的安全に処理が可能といわれています。
PCI DSS v4.0によってさらにセキュリティを強化
―今回PCI DSSがv4.0へとメジャーアップデートされました。セキュリティ基準のバージョンアップはどうして必要なのでしょうか。
傳田 悪意のある第三者の攻撃性が高くなっているのが一番の理由です。皆さんも個人情報やクレジットカード情報が漏洩したというニュースを目にする機会があると思います。一昔前はホームページに侵入してクラッシュさせるような嫌がらせやイタズラのような攻撃が多かったのですが、今は犯罪が組織化され、直接利益となるクレジットカード情報を狙う犯罪が主流となっています。それに対抗するためには守る側のセキュリティを強化する必要があります。PCI DSSもこれまで2〜3年に一度アップデートを繰り返してきました。現在はv3.2.1となっていますが、これは2018年にリリースされたもので4年間バージョンアップが行われていません。さらに遡るとv3.0が登場したのは2013年なので、メジャーアップデートは約8年ぶりとなります。実はv4.0は2年前にリリースされる予定でした。それが新型コロナウィルスの影響で大幅にスケジュールが遅れ、ようやく2022年3月にリリースされたのです。今は移行期間となっていて、PCI DSS v3.2.1は2024年3月31日に終了となるので、クレジットカード情報を取扱う事業者はこの期日までにPCI DSS v4.0に対応し、運用を開始しなくてはいけません。
―PCI DSS v4.0は具体的にどういう変更が行われていますか。
滝村 新たに64の要件が追加されています。今の時代を象徴している例としては、自宅から作業をするリモートアクセスに対してのルール決めが追加されています。以前はクレジットカード情報を扱う重要なシステムに外部からログインするなんてあり得ないという雰囲気がありました。それが新型コロナウィルスによる影響でロックダウンとなり、会社に出社できず外部からアクセスせざるを得ない状況になりました。今ではリモートワークは当たり前になっていますよね。そこでリモートでのアクセスを認める代わりに、安全に接続できる方法を確立できるようセキュリティ要件が追加されています。
あとは最近大きな問題となっている犯罪、オンラインスキミングへの対策を強く打ち出しています。オンラインスキミングとは、ECサイトに侵入し、お客さまがカード決済を選択すると偽のカード情報入力画面へと飛ばしてしまう手法です。そこでカード情報を入力するとハッカーの手にカード情報が渡ってしまいます。この手口が巧妙なのはその後です。カード情報を抜き取ったら、正しい決済ページへと再び戻ります。そうするとお客さまはエラーがあったのかなと思って、もう一度、クレジットカードを入力します。すると正常に決済ができ買い物が終了します。お客さまとしては2回カード情報を入れたけれども「買い物ができたから問題ない」ということで、ECサイト事業者にクレームを言わない。ECサイトの運営者はクレームが来ないので、オンラインスキミングがされていることに気付かないわけです。その結果、長期間にわたって数万人というお客さまの情報が漏えいするという事件も起こっています。
傳田 また、v4.0ではWAF(Web Application Firewall)が義務化されました。v3.2.1ではWAFもしくはプログラムのチェックをしっかりとやれば良いと選択式になっていたのが、v4.0ではWAFを入れることが明文化されています。あとはあらゆるログ(通信記録)のチェックが強化されました。ログというのは情報漏えいの状況や侵入経路などを追跡できるものなので、これまでも1年間の保存と、毎日チェックすることが要件として定められていました。膨大なログを人がチェックをするのには限界があって、見落としもでてきます。v4.0ではヒューマンエラーを減らすためにも、ログをチェックするツールを入れて自動化をするようにと変更されました。これまでは、ログをざっと流し見しただけで、チェック完了としていた会社もあったかと思いますが、今後は自動化を含めた対応が必要です。
傳田 悪意のある第三者の攻撃性が高くなっているのが一番の理由です。皆さんも個人情報やクレジットカード情報が漏洩したというニュースを目にする機会があると思います。一昔前はホームページに侵入してクラッシュさせるような嫌がらせやイタズラのような攻撃が多かったのですが、今は犯罪が組織化され、直接利益となるクレジットカード情報を狙う犯罪が主流となっています。それに対抗するためには守る側のセキュリティを強化する必要があります。PCI DSSもこれまで2〜3年に一度アップデートを繰り返してきました。現在はv3.2.1となっていますが、これは2018年にリリースされたもので4年間バージョンアップが行われていません。さらに遡るとv3.0が登場したのは2013年なので、メジャーアップデートは約8年ぶりとなります。実はv4.0は2年前にリリースされる予定でした。それが新型コロナウィルスの影響で大幅にスケジュールが遅れ、ようやく2022年3月にリリースされたのです。今は移行期間となっていて、PCI DSS v3.2.1は2024年3月31日に終了となるので、クレジットカード情報を取扱う事業者はこの期日までにPCI DSS v4.0に対応し、運用を開始しなくてはいけません。
―PCI DSS v4.0は具体的にどういう変更が行われていますか。
滝村 新たに64の要件が追加されています。今の時代を象徴している例としては、自宅から作業をするリモートアクセスに対してのルール決めが追加されています。以前はクレジットカード情報を扱う重要なシステムに外部からログインするなんてあり得ないという雰囲気がありました。それが新型コロナウィルスによる影響でロックダウンとなり、会社に出社できず外部からアクセスせざるを得ない状況になりました。今ではリモートワークは当たり前になっていますよね。そこでリモートでのアクセスを認める代わりに、安全に接続できる方法を確立できるようセキュリティ要件が追加されています。
あとは最近大きな問題となっている犯罪、オンラインスキミングへの対策を強く打ち出しています。オンラインスキミングとは、ECサイトに侵入し、お客さまがカード決済を選択すると偽のカード情報入力画面へと飛ばしてしまう手法です。そこでカード情報を入力するとハッカーの手にカード情報が渡ってしまいます。この手口が巧妙なのはその後です。カード情報を抜き取ったら、正しい決済ページへと再び戻ります。そうするとお客さまはエラーがあったのかなと思って、もう一度、クレジットカードを入力します。すると正常に決済ができ買い物が終了します。お客さまとしては2回カード情報を入れたけれども「買い物ができたから問題ない」ということで、ECサイト事業者にクレームを言わない。ECサイトの運営者はクレームが来ないので、オンラインスキミングがされていることに気付かないわけです。その結果、長期間にわたって数万人というお客さまの情報が漏えいするという事件も起こっています。
傳田 また、v4.0ではWAF(Web Application Firewall)が義務化されました。v3.2.1ではWAFもしくはプログラムのチェックをしっかりとやれば良いと選択式になっていたのが、v4.0ではWAFを入れることが明文化されています。あとはあらゆるログ(通信記録)のチェックが強化されました。ログというのは情報漏えいの状況や侵入経路などを追跡できるものなので、これまでも1年間の保存と、毎日チェックすることが要件として定められていました。膨大なログを人がチェックをするのには限界があって、見落としもでてきます。v4.0ではヒューマンエラーを減らすためにも、ログをチェックするツールを入れて自動化をするようにと変更されました。これまでは、ログをざっと流し見しただけで、チェック完了としていた会社もあったかと思いますが、今後は自動化を含めた対応が必要です。
日程をしっかり確認し、早急にスタートを
―v4.0になったことでよりセキュリティが強化されたということですね。「PCI DSS v3.2.1からv4.0にバージョンアップ対応を完了」するためには、どういう手続きが必要になりますか。
滝村 PCI DSSの認証を受ける方法は2つあります。一つが自己問診によるセルフチェック方式、もう一つはQSAとよばれるPCI DSSの認定審査員にオンサイト監査を受ける方式になります。
PCI DSSは要求されている事項に対して、対応するドキュメントが揃っていればそれで準拠していることになるので、例えば傳田がPCI SSCが作成したPCI DSS SAQ(自己問診票)でチェックし、それを会社の代表が間違いないと署名すれば、それで準拠していることになります。これがセルフチェック方式です。
一方、QSAの訪問監査は審査員が実際に会社に足を運び、クレジットカード情報が取り扱われているシステムや業務内容を調査し、認定を行います。どちらの場合でも、毎年更新をする必要がありますので、2024年3月31日までに要件をすべて満たせばv4.0に準拠しているという認証を受けることができます。
傳田 今がまさに移行期間となっているので、私たちの提供しているPCI DSS準拠をサポートする「PCI DSS Ready Cloud」もお客さまからのお問い合わせがとても増えています。注意が必要なのが、v4.0への移行期限です。PCI DSSは1年に1回更新すれば良いので、「次の更新日までに対応すれば問題ない」と考えているお客さまが結構いらっしゃいます。例えば、2024年の3月1日にv3.2.1で更新したら、次の更新日である2025年3月1日まではv3.2.1のままで大丈夫と思い込んでいる。これは大きな間違いで、PCI DSSは審査のときに要件を満たしていればOKというものではなく、普段から運用ができているかも審査されます。もし2025年の3月1日に監査を受けた場合は、移行期間が終了する2024年3月31日の時点でv4.0の運用ができているかどうかを確認するのでこの1年間の運用の記録を全部見せてくださいということになります。
滝村 すでに移行準備を始めている事業者もいると思いますが、2024年の3月31日までに対応を完了させるとなると、なるべく早く、どんなに遅くても2023年4月からスタートしないと間に合わないでしょうね。
傳田 さきほどv4.0で64の要件が追加されたという話がありましたが、実は今まであった要件であっても、より目的が明確化されたり、対応内容が追加されているものもあります。今まで要件を満たしていたシステムが、継続要件が変更されたことで調整する必要もでてきます。
v4.0に準拠するには時間やエンジニアの手間だけではなく、当然コストもかかります。ただPCI DSSは自社ですべての項目に対応する必要はありません。ECサイトやお店が決済代行の非保持化サービスを導入していれば適用除外にできるのと同じように、自社で管理・運用する項目を減らせば、時間や手間、そしてコストを抑えることもできます。
後編では今まさにv4.0への準備を進めているみなさんの負担を減らすコツをお話したいと思います。
滝村 PCI DSSの認証を受ける方法は2つあります。一つが自己問診によるセルフチェック方式、もう一つはQSAとよばれるPCI DSSの認定審査員にオンサイト監査を受ける方式になります。
PCI DSSは要求されている事項に対して、対応するドキュメントが揃っていればそれで準拠していることになるので、例えば傳田がPCI SSCが作成したPCI DSS SAQ(自己問診票)でチェックし、それを会社の代表が間違いないと署名すれば、それで準拠していることになります。これがセルフチェック方式です。
一方、QSAの訪問監査は審査員が実際に会社に足を運び、クレジットカード情報が取り扱われているシステムや業務内容を調査し、認定を行います。どちらの場合でも、毎年更新をする必要がありますので、2024年3月31日までに要件をすべて満たせばv4.0に準拠しているという認証を受けることができます。
傳田 今がまさに移行期間となっているので、私たちの提供しているPCI DSS準拠をサポートする「PCI DSS Ready Cloud」もお客さまからのお問い合わせがとても増えています。注意が必要なのが、v4.0への移行期限です。PCI DSSは1年に1回更新すれば良いので、「次の更新日までに対応すれば問題ない」と考えているお客さまが結構いらっしゃいます。例えば、2024年の3月1日にv3.2.1で更新したら、次の更新日である2025年3月1日まではv3.2.1のままで大丈夫と思い込んでいる。これは大きな間違いで、PCI DSSは審査のときに要件を満たしていればOKというものではなく、普段から運用ができているかも審査されます。もし2025年の3月1日に監査を受けた場合は、移行期間が終了する2024年3月31日の時点でv4.0の運用ができているかどうかを確認するのでこの1年間の運用の記録を全部見せてくださいということになります。
滝村 すでに移行準備を始めている事業者もいると思いますが、2024年の3月31日までに対応を完了させるとなると、なるべく早く、どんなに遅くても2023年4月からスタートしないと間に合わないでしょうね。
傳田 さきほどv4.0で64の要件が追加されたという話がありましたが、実は今まであった要件であっても、より目的が明確化されたり、対応内容が追加されているものもあります。今まで要件を満たしていたシステムが、継続要件が変更されたことで調整する必要もでてきます。
v4.0に準拠するには時間やエンジニアの手間だけではなく、当然コストもかかります。ただPCI DSSは自社ですべての項目に対応する必要はありません。ECサイトやお店が決済代行の非保持化サービスを導入していれば適用除外にできるのと同じように、自社で管理・運用する項目を減らせば、時間や手間、そしてコストを抑えることもできます。
後編では今まさにv4.0への準備を進めているみなさんの負担を減らすコツをお話したいと思います。
▼この記事の続きはこちらからご覧ください
株式会社リンク
セキュリティプラットフォーム事業部
事業部長
滝村 享嗣
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。
株式会社リンク
セキュリティプラットフォーム事業部
新サービス開発部マネージャー
傳田 直也
リンク入社以前は、SESで活動しインフラエンジニアとして、複数のプロジェクトに携わる。
2012年リンク入社し、2013年から PCI DSS Ready Cloud の開発に参加。
セキュリティプラットフォーム事業部の技術責任者を経て、現在はサービス開発責任者/技術営業責任者を務める。
