2009年のPCI DSS審査を振り返って (株式会社TIプランニング)
〜「PCI DSS バージョン1.2」取得企業の反応は?〜
2009年1月1日以降、PCI DSSのすべての審査は、2008年10月発行の「PCI DSSバージョン1.2」を用いて行われている。それ以前に認定を取得した企業も、更新に際しては、バージョン1.2で臨む必要がある。
昨年1年間でVer.1.2を経験した企業の反応はマチマチだが、総合すると旧バージョンに比べ、厳密さが増し、認定審査機関(QSA)の対応にも若干の変化が見られるようだ。取得企業数社へのヒアリングから2009年のPCI DSS審査を振り返ってみよう。
バージョン1.2の審査では
より詳細なチェックが行われる
PCI DSSバージョン1.1から1.2への変更により、アンチウィルスソフトの対象範囲拡大、
LAN環境へのペネトレーションテスト実施など、要求が厳しくなった項目がいくつかあった。
要件自体の内容に加えて、審査対象の抽出に際し、サンプリングした明確な根拠が求められるなど、 QSA(認定審査機関)が実施する審査の手順、方法にも厳密さが加わっている。
PCI SSC(PCI DSSの推進・管理組織)によるQSAに対する監査プログラムも実施され、QSAの質も問われるようになった。
2009年の更新審査をクリアした各社は、バージョン1.2の各要件に対しては、運用体制の強化、ツールの新規導入、 あるいは代替コントロールの適用などの方法で乗り切っている。このプロセスにおいて、対応方法自体に大きな変更はなくとも、 レギュレーションがより厳密になったとの指摘が、複数の企業から聞かれた。
例えば、無線LANアクセスポイントの証跡の確認、ログの保管期間の延長といった内容が挙げられる。 カード情報が流れる経路、データベースの種類についても、以前よりも綿密なチェックが入るようになったという。 また、事前の提出書類もバージョン1.1での審査時に比べ、より詳細なものを要求され、この作業に工数を費やしたとの声も聞かれた。
こうした状況は、要件自体がレベルアップしていることに加えて、国内外での情報漏洩事故の多発、また前述したQSAに対する監査も関係していると思われる。
要件自体の内容に加えて、審査対象の抽出に際し、サンプリングした明確な根拠が求められるなど、 QSA(認定審査機関)が実施する審査の手順、方法にも厳密さが加わっている。
PCI SSC(PCI DSSの推進・管理組織)によるQSAに対する監査プログラムも実施され、QSAの質も問われるようになった。
2009年の更新審査をクリアした各社は、バージョン1.2の各要件に対しては、運用体制の強化、ツールの新規導入、 あるいは代替コントロールの適用などの方法で乗り切っている。このプロセスにおいて、対応方法自体に大きな変更はなくとも、 レギュレーションがより厳密になったとの指摘が、複数の企業から聞かれた。
例えば、無線LANアクセスポイントの証跡の確認、ログの保管期間の延長といった内容が挙げられる。 カード情報が流れる経路、データベースの種類についても、以前よりも綿密なチェックが入るようになったという。 また、事前の提出書類もバージョン1.1での審査時に比べ、より詳細なものを要求され、この作業に工数を費やしたとの声も聞かれた。
こうした状況は、要件自体がレベルアップしていることに加えて、国内外での情報漏洩事故の多発、また前述したQSAに対する監査も関係していると思われる。
変わらない正攻法は
PCI DSSの精神を理解すること
要件自体、そしてQSAの対応はよりシビアになっているとしても、完全準拠に至るまでの正攻法は変わらない。
PCI DSSの目的は、準拠自体にあるのではなく、不正行為やミスによる事故からカード会員情報を守り、企業全体のセキュリティレベルを上げることにある。
つまり、要件の背後にある目的を理解し、それを満たすことが重要なのだ。この命題を前提に対応を進めるとすれば、ドキュメントの文言とは完全に一致しなくとも、要件をクリアできるケースもある。
例えば、要件3のカード会員情報を読取不能にする要求に対しては、ファイアウォールでのフィルタリングや2因子認証の実施など、「代替コントロール」で対処できる。同じ要件3の「暗号化キーの管理」に関しても、ある加盟店では暗号化ではなく、アクセス・コントロールを厳密にすることで対応している例もあった。
ただし代替コントロールは、要件に関連するリスクを十分に軽減していることが必要になる。また、その評価はQSAに委ねられているので、PCI DSS付録Bを参考に慎重に検討を行うべきである。
PCI DSSの目的は、準拠自体にあるのではなく、不正行為やミスによる事故からカード会員情報を守り、企業全体のセキュリティレベルを上げることにある。
つまり、要件の背後にある目的を理解し、それを満たすことが重要なのだ。この命題を前提に対応を進めるとすれば、ドキュメントの文言とは完全に一致しなくとも、要件をクリアできるケースもある。
例えば、要件3のカード会員情報を読取不能にする要求に対しては、ファイアウォールでのフィルタリングや2因子認証の実施など、「代替コントロール」で対処できる。同じ要件3の「暗号化キーの管理」に関しても、ある加盟店では暗号化ではなく、アクセス・コントロールを厳密にすることで対応している例もあった。
ただし代替コントロールは、要件に関連するリスクを十分に軽減していることが必要になる。また、その評価はQSAに委ねられているので、PCI DSS付録Bを参考に慎重に検討を行うべきである。
同時審査で工数、コスト削減を
「カード情報非保持」も広がる
2009年の審査を振り返ると、旧バージョン下での審査に比べ、若干ではあるがハードルが高くなった印象は残る。
もう1つは、ISMS(情報セキュリティマネジメントシステム)との同時取得の効用だ。PCI DSSの課題の1つは、コストとシステム部門などの業務にかかる負荷とされる。重なる部分も多いISMSとの同時審査を実施することで、コストと工数削減に結びつく点は実証されている。
審査を受けた企業、QSA側にも経験が蓄積されてきており、このノウハウは業界全体に広がっていきそうだ。近いうちに、プライバシーマークと合わせ、3つの認証を同時取得する事例も出るかも知れない。
加盟店の対応としては、カード会員情報を持たない「非保持システム」の増加が挙げられる。非保持は、システム構成、オペレーションも複雑になるため、コストは高めになる。これまでの決済システムは、処理スピードとコストが優先だったが、昨今の情報漏洩事件の多発とその影響を考慮すると、セキュリティを重視せざるを得ない。
決済代行事業者には、新規だけでなくカード会員情報を保持している既存加盟店からの問い合わせも増えているとされ、この傾向は加速すると思われる。
もう1つは、ISMS(情報セキュリティマネジメントシステム)との同時取得の効用だ。PCI DSSの課題の1つは、コストとシステム部門などの業務にかかる負荷とされる。重なる部分も多いISMSとの同時審査を実施することで、コストと工数削減に結びつく点は実証されている。
審査を受けた企業、QSA側にも経験が蓄積されてきており、このノウハウは業界全体に広がっていきそうだ。近いうちに、プライバシーマークと合わせ、3つの認証を同時取得する事例も出るかも知れない。
加盟店の対応としては、カード会員情報を持たない「非保持システム」の増加が挙げられる。非保持は、システム構成、オペレーションも複雑になるため、コストは高めになる。これまでの決済システムは、処理スピードとコストが優先だったが、昨今の情報漏洩事件の多発とその影響を考慮すると、セキュリティを重視せざるを得ない。
決済代行事業者には、新規だけでなくカード会員情報を保持している既存加盟店からの問い合わせも増えているとされ、この傾向は加速すると思われる。
ICMSの瀬田氏が執筆
バージョン1.2国内初の解説書が登場
最後に、2010年の審査に向けお勧めしたいのが、「PCI DSS Version1.2徹底解説」だ(http://www.ti-plan.co.jp/sub4.html)。執筆は国際マネジメントシステム認証機構 代表取締役社長の瀬田陽介氏。国内では早くからQSAの活動を行い、現場で多くの実例に接している同社が、日々の活動で得た準拠のためのノウハウ、エッセンス、アップツーデートな情報を執筆している。準拠を目指す加盟店やサービスプロバイダの実務担当者、カード会社、コンサルタントなどの現場が活用できるPCI DSSバージョン1.2国内初の解説書となっている。