個人情報を取り扱う企業なら知っておくべきセキュリティ基準が「PCI DSS」です。このセキュリティ基準は定期的に更新されており、2015年4月15日にv3.1が公開され、2016年にはv3.2が公開される予定となっています。ここではこのPCI DSSの基本的な知識から最新のv3.1やv3.2の概要のほか、古いPCI DSSから新しいPCI DSSに移行する必要性やSSLとの関係性についても説明します。

情報化社会が浸透していくにつれて個人情報の安全な取り扱いは企業にとっての至上命題です。ここでその基本について理解しておきましょう。

クレジットカードの国際セキュリティ基準「PCI DSS」

PCI DSSとは一体何なのか？

PCI DSSはPayment Card Industry Data Security Standardsの略称で、加盟店やサービスプロバイダがクレジットカードの個人情報を安全に取り扱うための国際セキュリティ基準です。もともとPCI DSSはクレジットカード業界のためのセキュリティ基準としてスタートしました。

これには世界中の情報セキュリティのスペシャリストが議論を重ねた上で、策定・運用等が行われているうえ、他のセキュリティ基準に比べて具体的で短い期間で導入できるというメリットがあります。そのため企業の機密情報や顧客等の個人情報保護の観点から、あらゆる企業のセキュリティを強化するためのガイドラインとして参考にすることもできます。

PCI DSSの運用機関「PCI SSC」とは？

PCI DSSはPayment Card Industry Security Standards Council（PCI SSC）によって運用、管理されています。この組織はAmerican Express、Discover、JCB、MasterCard、VISAの主要国際カードブランド5社が共同設立したものです。

かつては各社が独自のセキュリティ基準を設けていましたが、1つの店舗で複数のカードブランドを扱うようになると、加盟店の負担が大幅に増加します。これを受けて加盟店の運用コスト及びリスク軽減を目的に、PCI SSCが設立されたのです。

PCI DSSとSSLの関係性とは？

多くの企業が導入しているSSL（暗号化システム）は、このPCI DSSにおいても必須のシステムとされています。PCI DSSには全部で12の要件が設けられていますが、そのうちの要件4は「オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する」です。暗号化のためにはSSL/TLSのほか、IPSEC、SSHなどのようなセキュリティプロトコルを使用するように、とまで書かれています。

SSLは情報保護のためには必須のシステムですが、PCI DSSを導入するにあたっても必要不可欠なものなのです。

最新バージョン「PCI DSS Version3.1」

PCI DSS v3.1における変更内容

2015年4月15日に公開されたPCI DSS v3.1（以下、v3.1）では、脆弱性を理由にSSLのすべてのバージョン及びTLSの初期のバージョン（1.0及び一部の1.1の実装）がPCI DSSの定義する「強力な暗号技術」として不十分だとされ、クレジットカードを保護するセキュリティ対策としては使用できないことになっています。したがってこれまでこれらの暗号化システムを採用していた企業は、v3.1を満たそうとすると新たなシステムを導入しなくてはいけません。

SSL/TLSの脆弱性とは何か？

2014年10月SSL及びTLSにシステム上の致命的な脆弱性が見つかります。それが「Padding Oracle On Downgraded Legacy Encryption（POODLE）」です。この脆弱性を考慮した場合、SSLのすべてのバージョン及びTLSの初期のバージョン（1.0及び一部の1.1の実装）では現在のPCI SSCの要求するセキュリティ水準を満たさないのです。そのためPCI SSCはPCI DSS v3.1でこれらの暗号化システムを、適切なセキュリティ対策ではないとしました。

PCI DSS v3.2で予定されている変更点

2016年の3月または4月のリリースを予定されているPCI DSS v3.2（以下、v3.2）では、UNIX上の共通デスクトップ環境である「Common Desktop Environment（CDE）」内での管理者に対する多要素認証を追加するなどの変更が予定されています。v3.2の発表に伴い、v3.1はその三ヶ月後に失効する予定です。クレジットカード情報を扱う企業はもちろん、より高い水準のセキュリティを維持しておきたい企業は早急な対応を求められます。

PCI DSS v3.1への移行までの期限と必要性

PCI DSS v3.1への移行期限と例外

v3.0以前のものからv3.1への移行には期限があります。それはリスク低減・移行計画の作成です。これらをしている企業については移行期限が2018年6月30日以降となっています（当初は2016年6月30日でしたがビジネス的制約および技術的制約の観点から延長が決まりました）。それ以降になるとクレジットカードの情報を保護するセキュリティ対策を「していない」と判断されてしまいます。

例外はSSL及びTLSの初期のバージョンの既知の脆弱性に対する攻撃の影響を、受けないことが確認できるPOS、POIデバイスです。これらに関しては2018年6月以降も使用可能とされています。

PCI DSS v3.1への移行の必要性

SSL及びTLSの POODLE（SSLバージョン3.0の脆弱性）を突かれた場合、システムへの攻撃者が企業の持つ情報を解読できる可能性があります。これはクレジットカード番号や、その他の個人情報にアクセスできるということです。その危険性がある限り、情報セキュリティを重視する企業はPCI SSCが要請するように「一刻も早く強力な暗号プロトコルにアップグレードする」必要があるでしょう。

PCI DSSで求められる12の要件

最後にPCI DSSで求められている12の要件を「Payment Card Industry（PCI）データセキュリティ基準」から引用しておきます。

安全なネットワークの構築と維持

要件1：カード会員データを保護するために、ファイアウォールをインストールして構成を維持する.
要件2：システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない..

カード会員データの保護

要件3：保存されるカード会員データを保護する
要件4：オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持

要件5：すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する.
要件6：安全性の高いシステムとアプリケーションを開発し、保守する.

強力なアクセス制御手法の導入

要件7：カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8：システムコンポーネントへのアクセスを確認・許可する
要件9：カード会員データへの物理アクセスを制限する.

ネットワークの定期的な監視及びテスト

要件10：ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11：セキュリティシステムおよびプロセスを定期的にテストする。

情報セキュリティポリシーの維持

要件12：すべての担当者の情報セキュリティに対応するポリシーを維持する。

引用：Payment Card Industry（PCI）データセキュリティ基準

「データセキュリティ基準」では各要件についての考え方のほかに、「テスト手順」「ガイダンス」などの項目が設けられ、より短期間での導入ができるように配慮がされています。ただし、PCI DSSはセキュリティ基準を提示するものであり、リスク管理についての具体的な対策の提示ではありません。

そのためPCI DSSを導入する際は、情報セキュリティマネジメント（ISMS）やプライバシーマークなどを導入し、互いの長所・短所を補完しあえるような体制を整えることが重要です。

自社のセキュリティの確認と適切な対応を！

PCI DSSのバージョンアップに伴いクレジットカード情報はもちろん個人情報を扱う企業は、セキュリティ環境の強化が求められています。特にSSLのすべてのバージョン及びTLSの初期のバージョン（1.0及び一部の1.1の実装）を現在使用している企業は、早急な対策が必要でしょう。貴社のセキュリティの状況と移行期限の延長条件を確認し、適切な対応を取ってください。