カード会社・決済代行事業者必見!PCI DSS v4.0準拠のために事業者が行うべき対策をプロが解説② バージョンアップは見直しの好機。無理な運用を減らすことを第一に考える
前回はPCI DSS v4.0のバージョンアップで気になるポイントを、株式会社リンクでPCI DSSの準拠を促進する事業を担当する滝村享嗣と傳田直也に解説いただきました。後半では、PCI DSS v4.0に移行するために何をすればいいのか、PCI DSS v4.0に移行する上で活用するべきサ−ビスについて解説します。
▼前回の記事はこちらからご覧ください
クレジットカード情報を守るために必要なPCI DSS
―PCI DSSに準拠する上で、クレジットカード情報の取扱事業者が頭を悩ませているのはどういうところでしょうか。
傳田 運用の部分だと思います。PCI DSSの監査に合格するには、本来365日正しい運用を続ける必要があります。
PCI DSS では、およそ 400 項目の要件があります。その項目を一つ一つ対応していくだけでも大変なのに、それが組み合わさるとなると、担当のエンジニアがとてつもない労力を費やさないと成立しません。
「PCI DSSは、カード情報を安全に取り扱うためには、クリアしなければならない最低限のセキュリティ基準」と言われることがあります。最低限という言葉には、できて当然とか簡単にできるものという意味があると思いますが、エンジニアは誰一人としてPCI DSSを簡単に準拠できるものとは考えていません。そこにかけている手間や時間、さらにコストを考えたら、私自身はこれを最低限と呼ぶことにとても抵抗を感じます。それくらい大変なものです。
滝村 PCI DSSに準拠するには一人のエンジニアのリソースだけの対応では不可能ではないでしょうか。ほとんどの場合、数人以上のチームでないと難しいと思います。さらにv4.0では時間のサイクルの定義が厳格化されたことで、人数を増やして対応する必要があります。例えば、「毎日」「毎週」「毎月」「四半期に1回」など、一定のサイクルで実施しなくてはいけない作業や運用項目があります。v3.2.1では毎日とは書いてあっても週7日とは書かれていなかったので、営業日と解釈して土日は除外している会社もあったはずです。しかし、v4.0では毎日の定義が週7日、365日と明確化されました。週7日の条件を満たすためには土日も対応する必要があります。よりエンジニアへの負担が増えていることに間違いありません。もちろん、人の作業を自動化システムに置き換えることは認められていますが、その分当然コストは必要になるわけです。
傳田 ツール選びもPCI DSSには重要なポイントです。セキュリティを維持するためのツールもPCI DSSの対象になります。セキュリティツールを増やせば運用が楽になる、安全になるとは限りません。ここは大きな落とし穴かもしれませんね。
例えば皆さんもパソコンにアンチウイルスソフトを入れていると思いますが、クレジットカード情報を扱っているPCであれば、このアンチウイルスソフトもPCI DSSを準拠しなければいけません。最新のアップデートを実行する、ログは一年分保存するなど、やらなければいけないことがますます増えていきます。しかも、付随するインターネット回線についても不正な通信を遮断する機能が有効になっているかどうか、どのような設定になっているのかまで、チェックされます。PC1台でもこれだけ対応する項目が増えてしまいます。
ツールを選ぶ際は機能だけではなく、PCI DSSの運用をできるかぎり複雑にしないという面からも考える必要があります。
―運用の負担を減らすツールを選ぶにはどうしたらいいのでしょうか。
滝村 やはりPCI DSSに長年関わってきたコンサルタントに相談をするのが一番です。経験やノウハウがありますし、自分たちでリサーチするよりも、いち早く最適解にたどり着けると思います。
傳田 注意しなくてはいけないのは、相談相手の選び方です。システム構築が得意なSIerにPCI DSSの準拠も相談しているケースがよくあります。SIerはシステム開発やECサイトを作るのは得意です。しかし、セキュリティ対策やPCI DSS運用まで、しっかりと考慮、対応できるSIerとなると限られてくると思います。セキュリティやPCI DSSに対してしっかりとしたノウハウを持っているところを選ぶ必要があります。
傳田 運用の部分だと思います。PCI DSSの監査に合格するには、本来365日正しい運用を続ける必要があります。
PCI DSS では、およそ 400 項目の要件があります。その項目を一つ一つ対応していくだけでも大変なのに、それが組み合わさるとなると、担当のエンジニアがとてつもない労力を費やさないと成立しません。
「PCI DSSは、カード情報を安全に取り扱うためには、クリアしなければならない最低限のセキュリティ基準」と言われることがあります。最低限という言葉には、できて当然とか簡単にできるものという意味があると思いますが、エンジニアは誰一人としてPCI DSSを簡単に準拠できるものとは考えていません。そこにかけている手間や時間、さらにコストを考えたら、私自身はこれを最低限と呼ぶことにとても抵抗を感じます。それくらい大変なものです。
滝村 PCI DSSに準拠するには一人のエンジニアのリソースだけの対応では不可能ではないでしょうか。ほとんどの場合、数人以上のチームでないと難しいと思います。さらにv4.0では時間のサイクルの定義が厳格化されたことで、人数を増やして対応する必要があります。例えば、「毎日」「毎週」「毎月」「四半期に1回」など、一定のサイクルで実施しなくてはいけない作業や運用項目があります。v3.2.1では毎日とは書いてあっても週7日とは書かれていなかったので、営業日と解釈して土日は除外している会社もあったはずです。しかし、v4.0では毎日の定義が週7日、365日と明確化されました。週7日の条件を満たすためには土日も対応する必要があります。よりエンジニアへの負担が増えていることに間違いありません。もちろん、人の作業を自動化システムに置き換えることは認められていますが、その分当然コストは必要になるわけです。
傳田 ツール選びもPCI DSSには重要なポイントです。セキュリティを維持するためのツールもPCI DSSの対象になります。セキュリティツールを増やせば運用が楽になる、安全になるとは限りません。ここは大きな落とし穴かもしれませんね。
例えば皆さんもパソコンにアンチウイルスソフトを入れていると思いますが、クレジットカード情報を扱っているPCであれば、このアンチウイルスソフトもPCI DSSを準拠しなければいけません。最新のアップデートを実行する、ログは一年分保存するなど、やらなければいけないことがますます増えていきます。しかも、付随するインターネット回線についても不正な通信を遮断する機能が有効になっているかどうか、どのような設定になっているのかまで、チェックされます。PC1台でもこれだけ対応する項目が増えてしまいます。
ツールを選ぶ際は機能だけではなく、PCI DSSの運用をできるかぎり複雑にしないという面からも考える必要があります。
―運用の負担を減らすツールを選ぶにはどうしたらいいのでしょうか。
滝村 やはりPCI DSSに長年関わってきたコンサルタントに相談をするのが一番です。経験やノウハウがありますし、自分たちでリサーチするよりも、いち早く最適解にたどり着けると思います。
傳田 注意しなくてはいけないのは、相談相手の選び方です。システム構築が得意なSIerにPCI DSSの準拠も相談しているケースがよくあります。SIerはシステム開発やECサイトを作るのは得意です。しかし、セキュリティ対策やPCI DSS運用まで、しっかりと考慮、対応できるSIerとなると限られてくると思います。セキュリティやPCI DSSに対してしっかりとしたノウハウを持っているところを選ぶ必要があります。
負担を減らすためにSaaSを活用する
―PCI DSSに準拠するのはとても大変だということが分かりました。しかし、クレジットカード情報取扱事業者はこれからv4.0への移行を進めていかなくてはいけません。少しでも負担を減らすにはどうしたらいいのでしょうか。
傳田 コツとしては抽象的な言い方になりますが、対応すべき作業を重くしないということです。これまでPCI DSSの大変なことばかり話してきましたが、実は楽ができるところもあります。それはPCI DSSの適用除外(スコープの対象外)にすることです。
滝村 400項目すべてを対応しなければいけないとなると当然、コストがかかるし、人も手間も時間もかかります。適用除外にすれば、対応要件をどんどん減らしてくことができます。
例えばワイヤレスネットワークを使っていると、無線LANのSSIDが安全かどうかを調べる必要があります。一例ですが、この作業を減らすために、PCI DSSに準拠している範囲では無線LANを使わないことを徹底させて、無線LANに関する項目は全部適用除外ということも可能です。
それ以外にもSaaSを使う方法もあります。私たちのお客さまでクレジットカードユーザーの債務管理アプリケーションを提供しているSaaSの会社があります。これまではクレジットカード会社が自社でシステムを作り、データの管理をしていました。当然、このシステムはPCI DSSに準拠する必要があるので、それも自社でやっていました。ところがこの債権管理用のSaaSを利用すれば、対応範囲内のPCI DSS対応はすべて事業者が行ってくれます。例えば対応する項目が100項目あったとしたら、それを全て適用除外できる。PCI DSSの運用負担を圧倒的に減らすことができます。
傳田 数年前まではPCI DSSの準拠・運用は自社で行うのがほとんどでした。しかし今はクラウドサービスを利用することで、自社の対応項目を減らすケースが増えています。本来ビジネス用のシステムを開発・運用するミッションを持ったエンジニアの方が、PCI DSS準拠・運用で時間を取られてしまい、本来の開発に時間が使えない状況はもったいないところがあると思います。エンジニアに本来の業務に専念するために、任せられる部分は「外部のサービスを利用する」のが PCI DSS 準拠を続けていく上でポイントになると思います。
おそらく多くの会社がv3.2.1からv4.0に対応するためのギャップ分析を始めている段階だと思います。ぜひ、外部サービスを利用して、自社で対応する項目を減らすことを考えてほしいと思います。
v4.0になって対応項目数も増えたことで、エンジニアへの負担はますます大きくなっています。今後もバージョンが進むにつれ、項目が増えることはあっても、減ることはないと思います。今回のv4.0の移行期は今後のPCI DSSの運用を考える絶好のタイミングでもあります。自社の負担を減らす方向に舵を切る会社が一社でも増えてほしいと思います。
傳田 コツとしては抽象的な言い方になりますが、対応すべき作業を重くしないということです。これまでPCI DSSの大変なことばかり話してきましたが、実は楽ができるところもあります。それはPCI DSSの適用除外(スコープの対象外)にすることです。
滝村 400項目すべてを対応しなければいけないとなると当然、コストがかかるし、人も手間も時間もかかります。適用除外にすれば、対応要件をどんどん減らしてくことができます。
例えばワイヤレスネットワークを使っていると、無線LANのSSIDが安全かどうかを調べる必要があります。一例ですが、この作業を減らすために、PCI DSSに準拠している範囲では無線LANを使わないことを徹底させて、無線LANに関する項目は全部適用除外ということも可能です。
それ以外にもSaaSを使う方法もあります。私たちのお客さまでクレジットカードユーザーの債務管理アプリケーションを提供しているSaaSの会社があります。これまではクレジットカード会社が自社でシステムを作り、データの管理をしていました。当然、このシステムはPCI DSSに準拠する必要があるので、それも自社でやっていました。ところがこの債権管理用のSaaSを利用すれば、対応範囲内のPCI DSS対応はすべて事業者が行ってくれます。例えば対応する項目が100項目あったとしたら、それを全て適用除外できる。PCI DSSの運用負担を圧倒的に減らすことができます。
傳田 数年前まではPCI DSSの準拠・運用は自社で行うのがほとんどでした。しかし今はクラウドサービスを利用することで、自社の対応項目を減らすケースが増えています。本来ビジネス用のシステムを開発・運用するミッションを持ったエンジニアの方が、PCI DSS準拠・運用で時間を取られてしまい、本来の開発に時間が使えない状況はもったいないところがあると思います。エンジニアに本来の業務に専念するために、任せられる部分は「外部のサービスを利用する」のが PCI DSS 準拠を続けていく上でポイントになると思います。
おそらく多くの会社がv3.2.1からv4.0に対応するためのギャップ分析を始めている段階だと思います。ぜひ、外部サービスを利用して、自社で対応する項目を減らすことを考えてほしいと思います。
v4.0になって対応項目数も増えたことで、エンジニアへの負担はますます大きくなっています。今後もバージョンが進むにつれ、項目が増えることはあっても、減ることはないと思います。今回のv4.0の移行期は今後のPCI DSSの運用を考える絶好のタイミングでもあります。自社の負担を減らす方向に舵を切る会社が一社でも増えてほしいと思います。
ギャップ分析の段階で導入を前提に検討を
―リンクでもPCI DSSの準拠をサポートする「PCI DSS Ready Cloud」というサービスをこれまで提供してきました。v4.0の移行期に合わせ新たに「PCI DSS Ready Cloud マネージドモデル」という新サービスが始まったそうですが、詳しく教えてください。
滝村 リンクでは以前から、我々のクラウドサービスもしくはAWSを利用しているお客さまを対象にPCI DSS に準拠するために必要なリソースを全てクラウド上で提供するPCI DSS Ready Cloudというサービスを展開していました。ところがお客さまからMicrosoft Azureなどのメガクラウドや自社で用意しているオンプレミスのサーバーでも利用したいという要望が多数寄せられました。そこで、新たにマルチインフラに対応したのがマネージドモデルになります。
さらにマネージドモデルでは、PCI DSSの運用が格段に楽になっています。PCI DSS Ready Cloud マネージドモデルは、多くの機能がアップデートされ、セキュリティコンポーネント部分のPCIDSS運用はすべてリンクが行います。
傳田 つまり、PCI DSS準拠、運用に必要なセキュリティコンポーネントを手軽にサービスとして利用いただけるようになりました。お客さまは、リンクが提供するサービスを活用して運用負荷を下げて頂き、お客様が本来対応すべき領域に専念していただけるよう進化しています。
滝村 PCI DSS Ready Cloud マネージドモデルは、オプションでお客さまのサーバー運用代行サービスもスタートしました。このオプションサービスを利用するとPCI DSSを運用していくために自社でやらなければいけないことは劇的に減らせるのではないでしょうか。
傳田 例えば、対象サーバーが20台ある内の5台だけ運用代行をお願いしたいといった使い方もできます。エンジニアのリソース状況やコストに合わせた調整ができるので、お客さまのニーズや予算に合わせて利用することが可能です。
滝村 リンクでは以前から、我々のクラウドサービスもしくはAWSを利用しているお客さまを対象にPCI DSS に準拠するために必要なリソースを全てクラウド上で提供するPCI DSS Ready Cloudというサービスを展開していました。ところがお客さまからMicrosoft Azureなどのメガクラウドや自社で用意しているオンプレミスのサーバーでも利用したいという要望が多数寄せられました。そこで、新たにマルチインフラに対応したのがマネージドモデルになります。
さらにマネージドモデルでは、PCI DSSの運用が格段に楽になっています。PCI DSS Ready Cloud マネージドモデルは、多くの機能がアップデートされ、セキュリティコンポーネント部分のPCIDSS運用はすべてリンクが行います。
傳田 つまり、PCI DSS準拠、運用に必要なセキュリティコンポーネントを手軽にサービスとして利用いただけるようになりました。お客さまは、リンクが提供するサービスを活用して運用負荷を下げて頂き、お客様が本来対応すべき領域に専念していただけるよう進化しています。
滝村 PCI DSS Ready Cloud マネージドモデルは、オプションでお客さまのサーバー運用代行サービスもスタートしました。このオプションサービスを利用するとPCI DSSを運用していくために自社でやらなければいけないことは劇的に減らせるのではないでしょうか。
傳田 例えば、対象サーバーが20台ある内の5台だけ運用代行をお願いしたいといった使い方もできます。エンジニアのリソース状況やコストに合わせた調整ができるので、お客さまのニーズや予算に合わせて利用することが可能です。
―多くのクレジットカード関連の事業者がPCI DSS v4.0への移行を進めていると思います。PCI DSS Ready Cloud マネージドモデルは、どのタイミングで導入を検討するのがいいのでしょうか。
滝村 さきほどギャップ分析のお話がありましたが、そのタイミングがベストです。PCI DSS Ready Cloud マネージドモデルでできることをイメージしながら、自社で対応すべき領域はどこか、ギャップ分析をしてもらうのが一番良いので、今すぐにでもお問い合わせください。足りない要件があっても、マネージドモデルで十分カバーできるとなれば、PCI DSSに関わるエンジニアの人数や時間、手間、そしてコストも大きく減らすことができます。
傳田 コスト削減という意味でもPCI DSS Ready Cloud マネージドモデルはこだわって開発しています。さまざまな会社が、セキュリティソリューションを提供されています。多機能で便利な分、数千万もする高級な製品があれば、逆に安くても、PCI DSS 準拠に必要な機能を持っていない製品もあります。PCI DSS Ready Cloud マネージドモデルは、より多くのお客さまに利用いただけるサービスであることを第一に考えています。価格を抑えつつ、最高のものを組み合わせて、最高のサービスを作り上げていますので、PCI DSS v4.0への移行に頭を悩ませている方にぜひ活用いただきたいと思います。
滝村 クレジットカードの情報をクラウドで扱うなんてセキュリティ上ありえないと言われていた時代もありました。ところが今は、クラウドが主流となっています。PCI DSSもSaaSを活用した運用が今後スタンダードになっていくはずです。
PCI DSS Ready Cloudは、2013年のサービス開始以来、多くの企業の PCI DSS 準拠を支援し、お客さまのシステム構築・運用コスト削減に貢献してきました。我々にはノウハウや知見があるので、ぜひ活用していただきたいと思います。まずはお気軽にご相談ください。
滝村 さきほどギャップ分析のお話がありましたが、そのタイミングがベストです。PCI DSS Ready Cloud マネージドモデルでできることをイメージしながら、自社で対応すべき領域はどこか、ギャップ分析をしてもらうのが一番良いので、今すぐにでもお問い合わせください。足りない要件があっても、マネージドモデルで十分カバーできるとなれば、PCI DSSに関わるエンジニアの人数や時間、手間、そしてコストも大きく減らすことができます。
傳田 コスト削減という意味でもPCI DSS Ready Cloud マネージドモデルはこだわって開発しています。さまざまな会社が、セキュリティソリューションを提供されています。多機能で便利な分、数千万もする高級な製品があれば、逆に安くても、PCI DSS 準拠に必要な機能を持っていない製品もあります。PCI DSS Ready Cloud マネージドモデルは、より多くのお客さまに利用いただけるサービスであることを第一に考えています。価格を抑えつつ、最高のものを組み合わせて、最高のサービスを作り上げていますので、PCI DSS v4.0への移行に頭を悩ませている方にぜひ活用いただきたいと思います。
滝村 クレジットカードの情報をクラウドで扱うなんてセキュリティ上ありえないと言われていた時代もありました。ところが今は、クラウドが主流となっています。PCI DSSもSaaSを活用した運用が今後スタンダードになっていくはずです。
PCI DSS Ready Cloudは、2013年のサービス開始以来、多くの企業の PCI DSS 準拠を支援し、お客さまのシステム構築・運用コスト削減に貢献してきました。我々にはノウハウや知見があるので、ぜひ活用していただきたいと思います。まずはお気軽にご相談ください。
株式会社リンク
セキュリティプラットフォーム事業部
事業部長
滝村 享嗣
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。
株式会社リンク
セキュリティプラットフォーム事業部
新サービス開発部マネージャー
傳田 直也
リンク入社以前は、SESで活動しインフラエンジニアとして、複数のプロジェクトに携わる。
2012年リンク入社し、2013年から PCI DSS Ready Cloud の開発に参加。
セキュリティプラットフォーム事業部の技術責任者を経て、現在はサービス開発責任者/技術営業責任者を務める。
