はじめに この本の第一の意義は、国際ペイメントカードブランド 5 社(American Express, Discover Financial Services, JCB, MasterCard Worldwide, VISA)注)が協力してクレジットカード犯罪の 撲滅を目的にカードデータを処理するにあたってセキュリティを確保するための要求事項をまとめた 基準、PCI DSS(Payment Card Industry Data Security Standard)に関して、ガイドラインが 策定された背景と経緯、PCI DSSに関連する国内外の法制化動向を示すとともに、PCI DSSのすべて の要求事項を実装レベルで実現しなければならないシステム管理者やシステム・エンジニア、あるい は情報セキュリティを統括する立場にある情報セキュリティ管理者の方々への参考に供するため各要 求事項について詳述している点にある。 キャッシュカードやクレジットカードの不正利用がもたらす偽造被害金額は、カードのIC化ととも に急減している。イギリス銀行共同決済機構(APACS)の調査結果によると、イギリスの銀行は2006 年2月14日にカードの完全IC化と100万台の POS端末の対応を成し遂げた結果、前年度まで前年比 29%増を記録していた被害金額が2006年6月末時点で、前年比5%減と劇的に減少していることが分 かる。カードがIC化されたことで、カードやカード情報を入手できたとしても暗証番号のスキミング が不可能となったため、店頭での被害が激減したことが大きく寄与している。一方、カードを提示し ないで行う取引に伴う犯罪、これを業界では、CNP犯罪(Card Not Present Fraud)と呼んでいるが、 この種の犯罪による被害金額は、増加傾向にある。不正に入手したカード情報を使用したオンライン 取引による被害金額は、実にカード犯罪被害金額の45.5%を占める。このことからもオンライン上で 処理されるデータの保護が大きな課題であることが分かる。 この本の第二の意義は、必然的にオンライン上でやりとりされる重要情報の保護という視点からセ キュリティ対策をとらえている点にある。クレジットカード情報や個人情報は、保護されるべき情報 (保護情報)であり、秘匿されるものではない。クレジットカード番号や有効期限といった情報は、カー ドの所有者はもとより、カード決済を受け付ける小売店(加盟店)やデータ処理を請け負うデータセン ター事業者まで広く流通し、共有される情報であり、情報機密区分のどの区分にも該当しない。同様 に個人情報もまた多くの場合、共有され活用される必要がある情報であり、一般にいわれるセンシティ ブ情報としての取り扱いにはなじまない性格の情報である。本書は、PCI DSSの要求事項にしたがっ て、保護情報を保護情報として維持するうえで、実装レベルでのセキュリティ対策について言及した 解説書である。 この本の第三の意義は、サプライチェーンに着目した情報セキュリティ対策としてPCI DSSをとら え、実装レベルでのセキュリティ対策を共通化することで、サプライチェーン全体のセキュリティレベ ルを高度に維持することを目標としなければならないことを指し示している点である。インターネッ ト上の仮想商店を例に挙げるまでもなく、1つの取引(トランザクション)がもはや1つの企業の情報 システムで完結する時代ではない。一方、最近の情報漏えい事件の特徴の1つに、業務の委託先企業 からの情報漏えいが挙げられる。業務のアウトソーシング化が進んでいることがその背景にあるが、 アウトソーシングに限らず、1つの取引を完結するだけでも多数の企業が、すなわち仮想商店はもとよ PCIデータセキュリティ基準 完全対策 り、仮想商店から在庫管理を受託している倉庫会社、配送を司る運送会社、商品代金を回収する決済 代行会社など複数の企業が連携して初めて取引が完結する時代にあって、 「自社がセキュアである」こ とは、リスクをマネジメントすべき対象の一部としてカバーしているにすぎない。だとすれば製販、流 通、決済といった自身のビジネスにかかわるサプライチェーン全体のリスクマネジメントこそが最重 要であり、相手先企業の「自己責任」に委ねるだけでは済まされない。業務委託の前提としてISMSや プライバシーマークの認証取得を条件にする企業が増加傾向にあるが、認証取得だけでは十分でない ことは、認証取得企業からの情報漏えい事件を見ても明らかである。 PCI DSSは、クレジット決済に関するすべての事業会社を対象に実装レベルでのセキュリティ対策 を要求している点で、まさにサプライチェーン全体に存在する脅威の発現を低減しようとする試みで あり、注目すべきアプローチである。今後、クレジットカード業界に限らず、業界横断的に実装レベル でのセキュリティ要求規格を策定する企業集団が登場することは、間違いない。 本書は、大きく1章・2章・3章に分けた構成となっている。1章は主に「PCI DSSとは何か」という 観点で、PCI DSSの歴史からPCI DSSコンプライアンスの概要について解説している。PCI DSSの 入門編として全体の概要をとらえるのに役立てていただきたい。2章はPCI DSSの要件解説である。 PCI DSSの12要件と付録部分に関して、個々の要件をどのように理解すべきか、またその要件に対す る実装の方法はどうあるべきか、という観点で要件を解説している。実際にPCI DSSに準拠したシス テムを構築する際に、一般に普及している技術対策をベースとしてPCI DSSの要件を満たす方法を示 すとともに、運用管理フェーズでもPDCAサイクルを回しながら準拠性を維持していく方法を解説し ている。また、ここで解説していることはセキュアなシステム構築の際の1つのベンチマークになると 考えている。PCI DSSに関連しないシステム構築でも役立つ内容なので参考にしていただきたい。3 章はPCI DSSの監査を想定し、どのようなポイントを押さえておくべきかを監査人の視点をもとに解 説している。実際の監査を受ける際に一読されることをお勧めする。 目的に応じてどの章から読んでいただいても理解を進めるのに役立てるようになっているが、PCI DSS全体を理解するためには最初からすべてを通してお読みいただくことをお勧めする。 文末になりましたが、出版に際してこの本の意図するところの社会的な意義について理解を示して いただいた日経BP社 古沢美行常務取締役、出版企画に骨を折っていただいたコンピュータ・ネット ワーク局長 中島久弥執行役員、執筆陣の遅筆にもかかわらず最後まで編集にお付き合いいただいた 菊池様、読者の視点から貴重なアドバイスをくださった林様、尾上様ほか関係者各位に謝辞を述べさ せていただきます。 2008年4月吉日 監修者 山崎 文明 注)正 式社名はそれぞれ、American Express Co., ジェーシービー (JCB Co., Ltd.), MasterCard Inc. Visa Inc. ですが、本書中ではAmerican Express, JCB, MasterCard Worldwide, VISAと表記いたします。 PCIデータセキュリティ基準 完全対策 1 PCI DSS の 概要と構成 主に「PCI DSS とは何か」という観点で、PCI DSS の歴史および PCI DSS コンプライアンスの概要に ついて解説する。PCI DSS の入 門 編として、PCI DSS 全体の概要をとらえるのに役立てていただきた い。 (執筆:ネットワンシステムズ株式会社、 ビザ・インターナショナル アジア・パシフィック・リミテッド) PCIデータセキュリティ基準 完全対策 11 1-1. カード業界 PCI DSSの機能を理解するためには、まず 呼び、1つの権利のみを持つ会社もあれば両 カード業界の構造を理解する必要がある。こ 方の権利を持つ会社もある。カードブランド こではカード業界を構成するプレーヤーにつ としては、ブランドイメージの維持向上のみ いて説明し、PCI DSSを巡る関係について整 ならず、消費者(カード会員)とカード会社・ 理する。 加盟店をビジネス全般にかかるリスクから保 護するため、事故防止のための仕組み作りの 1-1.1. カードブランド 必要性に迫られている。ちなみに、イシュウ (issue)およびアクワイア(acquire)はとも に英語であり、それぞれ「 (手形などを)発行 American Express、Diners Club、JCB、 する」、 「 (努力によって)獲得する」という意 MasterCard、VISA、といった私たちになじ 味である。 み深いクレジットカードは、それぞれのカー ドブランドの商標権を持った会社(American 1-1.2. Express、Discover Financial Services、 カード会社 JCB、MasterCard Worldwide、VISAなど) 12 からカード発行権を与えられた金融機関など クレジットカードを発行する会社で、大別 が発行しているクレジットカードである。な すると銀行系(三井住友カード、三菱 UFJニ お、American Express、Diners Club、JCB コス、UC カード、シティカードジャパンな については、自らクレジットカードを発行し ど)、信販系(ライフ、セントラルファイナン ている。カードブランド会社は、カード発行 ス、オリエントコーポレーション、ジャックス 権以外に加盟店開拓権を管理しており、やは など)、流通系(イオンクレジットサービス、 りカードブランド会社から加盟店開拓権が与 クレディセゾン、オーエムシーカード、エポス えられた金融機関などが加盟店を開拓するこ カード、伊勢丹アイカードなど)、メーカー・ とで決済の世界的な仕組みが構築されている。 物流系(トヨタファイナンス、ソニーファイナ 国際的に使用できるクレジットカードの仕組 ンスインターナショナル、JALカード、出光 みが構築されているクレジットカードのブラ クレジットなど)などに分けられる。海外展 ンドは、国際ペイメントカードブランドと呼 開をするために、国際ペイメントカードブラ ばれており、先に挙げた5社に加え、中国を中 ンドのメンバーとなっていることが多い。基 心に利用が拡大しているChina Union Pay(銀 本的にカード会社はイシュアーであるが、ア 聯、ぎんれん)などがある。カード発行権を持 クワイアラを兼ねている場合も多い。カード つ会社をイシュアー (Issuer) 、加盟店開拓権 会社のクレジットカード業務から得られる収 を持った会社をアクワイアラ(Acquirer)と 益源は、会員から得られる年会費や分割払い PCIデータセキュリティ基準 完全対策 PCI DSS の 概要と構成 手数料、加盟店から得られる加盟店手数料、 種類がある。通信ネットワーク提供会社は、 キャッシングサービスに伴う金利収入などが 加盟店とカード会社との間の通信経路を提供 ある。 する事業者であり、NTT データ(CAFIS)、 1 ジー・ピー・ネット(GPnet) 、日本カード・ネッ 1-1.3. トワーク(JCN)が代表的である。決済処理代 加盟店 行会社は、カード決済を代行して実施する事 業者であり、大別すると銀行系(SMBCファ 加盟店とは、カード会社と加盟店契約を結 イナンスサービスなど)、通信系(NTTデー び、支払い方法としてカード決済を受け付け タ、GMOペイメントゲートウエイなど)、物 てくれる物販・サービスなどの小売事業者を 流系(ヤマトフィナンシャルなど)などに分け いう。小規模なECサイトから、鉄道、ガソリ られる。最近ではインターネットの普及に伴 ンスタンド、百貨店、スーパーのような大規 い、仮想店舗向けのオンライン決済を代行す 模店舗まであり、規模も形態もさまざまであ る決済処理代行会社が増加している。サービ る。一昔前は実在の店舗が主であったが、近 スメニューは多種多様であり、事業者の規模 年のインターネットの普及に伴い、仮想の店 もさまざまである。カードプロセシング業務 舗が加盟店となる場合も増加している。仮想 代行会社は、カードの申し込み事務処理やコー 商店街ではカード会社との間に包括加盟契約 ルセンター業務の代行を実施する事業者であ を結ぶ場合もあるが、店舗側では商品配送の り、クレディセゾン、オーエムシーカードなど 利便性を考慮して、物流系決済代行会社との が代表的である。 加盟店契約を優先する場合もある。さらには、 Suica(スイカ)やEdy(エディ)に代表される 電子マネーや、Visa Touch(ビザタッチ)の ような非接触ICカード決済サービスが登場す 1-1.5. PCI SSC(Payment Card Industry Security Standards Council) るなど、クレジットカードの利用形態がさら 2006 年 9 月、国際ペイメントカードブラ に進化する可能性が大きく、今後小額商品を ン ド 5 社(American Express、Discover 扱う実在店舗の加盟が促進される可能性があ Financial Services、JCB、MasterCard る。 Worldwide、VISA)は共同で、独立機関で あるPCI SSC(PCIセキュリティスタンダー 1-1.4 ド協議会)を設立した。PCI SSCはPCI DSS プロセサ の 維 持、管 理、審 査 機 関(QSA : Qualified Security Assessor)および脆弱性スキャニ プロセサとは、カードに関連する業務の代 ングベンダー (ASV : Approved Scanning 行を実施するデ ータ処理業者のことであり、 Vendors)の認定管理を主な任務としてい 通信ネットワーク提供会社、決済処理代行会 る。PCI DSSに基づくバリデーション(遵守 社、カードプロセシング業務代行会社などの 状況確認)は、PCI SSCが認定した審査機関 PCIデータセキュリティ基準 完全対策 13 (QSA)と脆弱性スキャニングベンダー (ASV) いた。そこで、国際ペイメントカードブラン を採用し実施することを要件としている。 ドはこれらの加盟店・プロセサの負荷を軽減 かつて、PCI DSSが策定される以前は、国 するため協議し、国際的なカード業界統一基 際ペイメントカードブランドは各々独自に情 準を策定することになった。これがPCI DSS 報セキュリティ基準を設定し普及に努めてい であり、この統一基準とかかわる審査の品質 た。ところが、受診する加盟店(merchants) ・ を維持・管理していくための枠組みとして設 プロセサ(service providers)では各カード 立されたのがPCI SSCである。 ブランドの基準が異なるため、すべての基準 したがってPCI DSSは、もともと、国際ペ をそれぞれレビューし、対応しなければなら イメントカードブランドにより策定されたも ず、結果的に過分のコスト負荷をもたらして のであるが、現在はPCI SSCによって管理さ 図 1-1◉ PCI DSS を巡る各プレーヤーの関係 認定 PCI SSC (PCI Security Standards Council) 利用者の利害を 代表するお目付け役 国際ペイメントカードブランド 加盟店開拓権利 カード発行権利 審査機関 (QSA) 仕組みの提供 カード会社 審査 テスト PCI DSSの遵守が求められるプレーヤー 加盟店 利用 プロセサ 事故発生時の責任 凡例 契約などの関係 PCI DSSの遵守状況を確認するための仕組みに関係するもの PCIデータセキュリティ基準 完全対策 脆弱性スキャニング ベンダー (ASV) 管理 加盟店契約 14 認定 PCI DSS の 概要と構成 れている。国際ペイメントカードブランドは、 求めらているが、立場的には上記のプレーヤー 加盟店などのカード情報取り扱い規模に応じ の間に位置付けられ、事故が発生した場合、 たバリデーション基準とPCI DSSの遵守状 国際ペイメントカードブランドに対する一義 況を確認するための仕組みを提供するが、事 的な責任あるいは義務を負う可能性が高い。 故が発生した場合の責任あるいは義務を負う このため、カード会社からの PCI DSS 遵守 ことはない。PCI DSSの遵守が求められるプ 依頼に基づき、加盟店およびプロセサがPCI レーヤーは、クレジットカード情報および取 SSCから認定を受けた審査期間(QSA)を使 引情報を取り扱う加盟店およびプロセサなど い審査を受ける(図1-1) 。 1 である。カード会社自身もPCI DSSの遵守が 1-2. PCI DSS に関連するセキュリティ対策強化の動き PCI DSSの策定に最初からかかわり、その 2005年4月 内容に大きな影響を及ぼした2 大カードブラ ・V ISAが加盟店・プロセサを対象に無料脆弱 ンドVISA、MasterCardは、歩調を合わすか 性診断サービスを開始。 のようにそれぞれセキュリティ強化プログラ ムの構築を行ってきた。以下にPCI DSS策定 このほかの国際ペイメントカードブラン までの国際ペイメントカードブランドの取り ドの動きとしては、American Express が 組みを示す。 DSOP(Data Security Operating Policy) 、 Discover が DISC(Discover Information 2001年 Security and Compliance)というプログラ ・VISAがAIS/CISPの運用を開始。 ムを策定し、加盟店への普及を目指している。 ・M asterCardがSDPプログラムの運用を開始。 2004年 ・V ISA USAがCISPに準拠した企業名を公 表。 ・V ISAがオンラインによる無料の自己診断 サービスを開始。 ・V ISA お よ び JCB が「Payment Card Industry Data Security Standard Version 1.0 December 2004」の日本語版(PCI DSS Ver1.0−日本語版)を公表。 PCIデータセキュリティ基準 完全対策 15
© Copyright 2024 Paperzz