【今、専門家に聞く】PCI DSS完全解説 v4.0対応とベストプラクティス要件の課題とは?
PCI DSS v3.2.1の運用は2024年3月31日をもって終了し、それ以降は対象事業者にとってPCI DSS v4.0に基づく運用が求められます。なお、v4.0への技術的な対応に時間を要する要件や、運用設計や実施に大きな負担がかかる要件については、2025年3月31日までの猶予期間がベストプラクティス要件※として設けられています。 その期限が近づく中、ベストプラクティス要件対応に向けて何をすべきか。NRIセキュアテクノロジーズ 株式会社 決済セキュリティコンサルティング部 部長 須田 直亮氏と、株式会社リンク セキュリティプラットフォーム事業部 事業部長 滝村享嗣氏が、PCI DSSv4.0についてと、ベストプラクティス要件に関して、現在行うべきことについて解説しました。
※ベストプラクティス要件:バージョンアップによって企業に大きな負担がかかる新要件に対して、特定の期日までの猶予期間を設ける措置。期限までは対応していなくても不適合にならないが、その期日以降は正式な要件になるという考え方。
1. ベストプラクティス要件のカウントダウンがスタート
―2024年3月31日にPCI DSS v3.2.1が終了し、4月1日からv4.0の運用が始まっています。2025年4月1日にはベストプラクティス要件の運用も開始されますが、事業者の対応状況について教えてください。
滝村 須田さんが所属するNRIセキュアテクノロジーズ株式会社は、コンサルティングとしてのPCI DSS導入・運用支援から、QSA(PCI DSSの準拠性の審査を行う認定セキュリティ評価機関)としての準拠審査まで、多くの事業者に対してサービスを提供しています。各社のPCI DSS v4.0の運用状況はいかがでしょうか?
須田 v4.0の運用がスタートして約3ヶ月が経過しましたが、この4〜6月でv4.0の審査を受けた事業者は感覚値として2〜3割程度ではないでしょうか。残りの7〜8割はこれから審査を受けることになるので、現在は審査期日に向けて順次対応を進めている段階です。ベストプラクティス要件については、今後、より本格的な取り組みが始まるという状況ですね。
滝村 期日までに運用を開始している事業者はまだまだ少ないのかもしれません。前回のアップデートも同じような状況でした。61の新要件のうち、51要件がベストプラクティス要件であるため、現時点で対応が進められていない場合、期日までの対応は少しずつ厳しくなっている状況と言えますね。
須田さんはベストプラクティス要件に限らず、v4.0対応のどのあたりの難易度が上がったと感じていますか。
須田さんはベストプラクティス要件に限らず、v4.0対応のどのあたりの難易度が上がったと感じていますか。
須田 v4.0対応について、これまでと大きく違うポイントが3つあると思っています。
1つ目は『リスクベースの考え方の導入』です。
例えば、システムにおけるウイルス対策として定期的にマルウェアのスキャンを行う運用があったとします。v3.2.1では、実施頻度を決める上でのアプローチが定まっていなかったため、明確な根拠に基づくことなく、事業者で頻度(例えば、週1回など)を決めることができました。つまり、v3.2.1までは、頻度を決める上での具体的要件が明文化されていなかったので、事業者が任意に決めてその通りに実行するだけでも良かったのです。
ところが、v4.0からは、取り扱う情報の重要度やシステムの特性などに応じて、リスクを定量的に測ったうえで、事業者でスキャン頻度を決定すべきということが定められています。これは柔軟性がある一方で、自分たちでリスクを適切に評価したうえで、決めなければならないという難しさもあります。
2つ目は「カード情報漏洩の傾向を踏まえた新要件の追加」です。例えば、オンラインスキミングやフィッシングへの対策などが新たに要件として追加されています。
そして3つ目は「既存要件のアップグレード」です。例えば、監査ログの確認の要件は、これまで目視チェックによる対応方法でもその内容次第で要件を満たすことができていたものが、v4.0では自動化への対応が求められるようになっています。
この3つはv4.0対応の大きな特徴ですね。
1つ目は『リスクベースの考え方の導入』です。
例えば、システムにおけるウイルス対策として定期的にマルウェアのスキャンを行う運用があったとします。v3.2.1では、実施頻度を決める上でのアプローチが定まっていなかったため、明確な根拠に基づくことなく、事業者で頻度(例えば、週1回など)を決めることができました。つまり、v3.2.1までは、頻度を決める上での具体的要件が明文化されていなかったので、事業者が任意に決めてその通りに実行するだけでも良かったのです。
ところが、v4.0からは、取り扱う情報の重要度やシステムの特性などに応じて、リスクを定量的に測ったうえで、事業者でスキャン頻度を決定すべきということが定められています。これは柔軟性がある一方で、自分たちでリスクを適切に評価したうえで、決めなければならないという難しさもあります。
2つ目は「カード情報漏洩の傾向を踏まえた新要件の追加」です。例えば、オンラインスキミングやフィッシングへの対策などが新たに要件として追加されています。
そして3つ目は「既存要件のアップグレード」です。例えば、監査ログの確認の要件は、これまで目視チェックによる対応方法でもその内容次第で要件を満たすことができていたものが、v4.0では自動化への対応が求められるようになっています。
この3つはv4.0対応の大きな特徴ですね。
滝村 須田さんが指摘した3つのポイントのうち、「既存要件のアップグレード」は、ベストプラクティス要件の中でも比較的対応が取りやすいですよね。一方で、「カード情報漏洩の傾向を踏まえた新要件の追加」は、一からリサーチを始める必要が多く、時間がかかると思います。
須田 「リスクベースの考え方の導入」については、特に各事業者が頭を悩ませています。自社でリスクを可視化して評価した上で、運用頻度を決定するとなると、PCI DSSへの取り組みだけでなく、全社的な情報セキュリティの考え方にも大きく依存するため、企業として適切な解を導くのは大変だと思います。新しい試みであるため、それなりの時間がかかると思います。
引用元: JCDSCセミナー資料より抜粋
2. ハードルが高いベストプラクティス要件
―やはり、v3.2.1の時よりも対応のハードルは上がっているのでしょうか。
滝村 相当な難易度が上がっていると思います。新たな脅威に対抗するためには、各事業者が高度な技術や対策を導入する必要があり、自社だけで対応していくのは難しくなっています。
須田 専門チームを組織して、必要なソリューションを自社で開発するなど内製化を進める事業者もあります。ただし、実際に効果があり、要件を満たしているかどうかを見極めるのは簡単ではありません。一方で、外部のソリューションを導入する場合でも、多くの選択肢の中から本当に必要かつ最適なソリューションを選定する作業が求められます。
滝村 我々は、v4.0に準拠するために必要なリソースをすべてクラウド上で提供するサービスを展開しており、ベストプラクティス要件も含め、v4.0準拠に必要なソリューションをすべてラインナップしています。
「今、ベストプラクティス要件に対応するソフトウェアや仕組みを探しているのですが、何が有効なのか検証できないので本当に困っています。選定した理由を教えて欲しい」といった質問もよくいただきますね。
「今、ベストプラクティス要件に対応するソフトウェアや仕組みを探しているのですが、何が有効なのか検証できないので本当に困っています。選定した理由を教えて欲しい」といった質問もよくいただきますね。
須田 我々もお客様のニーズや要件に応じて、適宜ご提案させていただいています。昨今の脅威トレンドに鑑みたソリューションの種類は非常に多岐にわたるため、経験やノウハウがないと、なかなか費用対効果の判断が難しいと思います。
―これまで挙げて頂いた以外に難易度が高い要件や、問い合わせが多いものを教えてください。
須田 多要素認証の対象範囲が変わったことで、お客様の業務形態によっては大きな負担が発生することがあります。例えば、コールセンターのオペレーターがクレジットカード情報を参照しなければならない場合、これまでは多要素認証の導入は必要ありませんでしたが、v4.0では必要となります。
また、診断方法にも一部変更が加わり、特権アクセスを用いた検査方法によって、対象システムの詳細情報を取得する認証スキャンが必要になりました。脆弱性診断自体、相当の費用がかかるものでしたが、認証スキャンが加わったことでさらに費用が高くなる上に、追加での環境整備も必要になります。
また、診断方法にも一部変更が加わり、特権アクセスを用いた検査方法によって、対象システムの詳細情報を取得する認証スキャンが必要になりました。脆弱性診断自体、相当の費用がかかるものでしたが、認証スキャンが加わったことでさらに費用が高くなる上に、追加での環境整備も必要になります。
滝村 確かに、我々にも多要素認証や認証スキャンの相談は多いですね。
それ以外では、フィッシング対策としてのベストプラクティス要件であるDMARCに関する問い合わせが増えました。経済産業省、総務省、そして警察庁からもDMARCの導入とポリシー強化が要請された※こともあり、関心が非常に高まっているのを感じます。
今後は、クレジットカード事業者として自社を守るだけでなく、ユーザーを守ることまで考える必要があります。そういう時代になってきたということだと思います。
それ以外では、フィッシング対策としてのベストプラクティス要件であるDMARCに関する問い合わせが増えました。経済産業省、総務省、そして警察庁からもDMARCの導入とポリシー強化が要請された※こともあり、関心が非常に高まっているのを感じます。
今後は、クレジットカード事業者として自社を守るだけでなく、ユーザーを守ることまで考える必要があります。そういう時代になってきたということだと思います。
3. 2025年3月31日に向けてPCI DSSの専門家に相談を
―多くの事業者がベストプラクティスへの対応を進める中、2025年3月31日の期限に向けて、何を行うべきでしょうか。
須田 v4.0の新規要件と自社の状況を分析し、ギャップを洗い出す作業が必要です。残された時間は限られていますが、早めの対策が大事ですね。
滝村 2024年度の下期に予算を計上し、進めるという事業者が多いですね。ギャップ分析後、対応ソリューションを選定する段階まで進めておく必要があると思います。
須田 PCI DSSは準拠だけでなく、維持・運用していかなければなりません。移行にかかるイニシャルコストだけでなく、ランニングコストも考慮しておかないと、ソリューションを自社で開発するのか、外部から導入するのか、どのソリューションがフィットするかを判断できません。オーバースペックなものを選んでしまうと、機能を持て余し、無駄なランニングコストがかかる可能性もあります。
滝村 我々のクラウドサービス「PCI DSS Ready Cloud」は厳しい基準に合わせながらも、コストはぐっと抑えられる、v4.0向けマネージドモデルを用意しています。
須田 私たちのお客さまのなかにも「PCI DSS Ready Cloud」を利用されている事業者がいらっしゃいますが、PCI DSSに準拠したソリューションがすべて揃っている環境があるというのはすごく便利ですよね。
運用に関しても、自社の責任範囲や工数をかなり少なくすることができるので効率的です。実際に必要なソリューションを自社で開発し、維持運用するとなるとかなりの企業体力が必要ですし、すべての事業者ができるかと言ったら難しいですよね。「PCI DSS Ready Cloud」は、準拠への対応だけでなく、運用の負担を大きく軽減するという意味でも、選択肢の一つになり得るサービスだと思います。
運用に関しても、自社の責任範囲や工数をかなり少なくすることができるので効率的です。実際に必要なソリューションを自社で開発し、維持運用するとなるとかなりの企業体力が必要ですし、すべての事業者ができるかと言ったら難しいですよね。「PCI DSS Ready Cloud」は、準拠への対応だけでなく、運用の負担を大きく軽減するという意味でも、選択肢の一つになり得るサービスだと思います。
―最後にお2人から今、ベストプラクティス要件への対応を進めている、考えている担当者の方にメッセージをお願いします。
滝村 PCI DSSの専門家に相談してください。
専門家に相談すれば、スケジュールや予算、体制、多くのお客さまが抱える課題への対応など、さまざまな面でアドバイスがもらえます。
専門家に相談すれば、スケジュールや予算、体制、多くのお客さまが抱える課題への対応など、さまざまな面でアドバイスがもらえます。
須田 本当にその通りですね。やはり専門家に相談するのが最適な回答だと思います。計画を立案する前に専門家に相談し、それもなるべく早く行うことで、準拠までの道筋が整理できると思います。
v4.0のポイントとして「リスクベースの考え方」の話をしましたが、良い意味で捉えれば、その会社の情報セキュリティに対する考え方や事業環境に合わせて柔軟な対応が選択できるので、まずは自社で抱えているセキュリティ課題や目指したい方向性をコンサルタントや専門的な知識のある方にぶつけてみると良いでしょう。
PCI DSSはクレジットカードの取扱いに関わる事業者の情報漏洩を防ぐためのものですが、会社全体の情報セキュリティに生かせる方針や取り組みが含まれています。そういった視点でPCI DSSに取り組むことで、自社の情報セキュリティの高度化にもつなげることができると思います。
v4.0のポイントとして「リスクベースの考え方」の話をしましたが、良い意味で捉えれば、その会社の情報セキュリティに対する考え方や事業環境に合わせて柔軟な対応が選択できるので、まずは自社で抱えているセキュリティ課題や目指したい方向性をコンサルタントや専門的な知識のある方にぶつけてみると良いでしょう。
PCI DSSはクレジットカードの取扱いに関わる事業者の情報漏洩を防ぐためのものですが、会社全体の情報セキュリティに生かせる方針や取り組みが含まれています。そういった視点でPCI DSSに取り組むことで、自社の情報セキュリティの高度化にもつなげることができると思います。
滝村 本当にその通りですね。今回はありがとうございました。
NRIセキュアテクノロジーズ株式会社
決済セキュリティコンサルティング部
部長
須田 直亮
大手外資系ベンダーにて、クレジットカード会社や決済ネットワーク事業会社におけるミッションクリティカルシステムの基盤設計・構築・運用に従事。
2014年より現職。現在はセキュリティコンサルタントとして、PCI系全般(DSS/P2PE/TSP/3DS)の準拠支援や、暗号鍵の運用管理に関するリスク評価、QR決済サービスのリスク評価等の業務に従事している。
株式会社リンク
セキュリティプラットフォーム事業部
事業部長
滝村 享嗣
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。
その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、
クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。
