PCI DSSの監査と適合性:今日の課題

クレジットカードやデビットカードの支払い決済に関係する各種加盟店、銀行、その他の関係者は、主要な企業目標を実現するとともに、今日最も詳細かつ包括的なデータプライバシー標準のひとつであるPCIデータセキュリティ標準(PCI DSS)に定める義務を果たすために、アカウントデータのプライバシーを保護する手段を講じなければなりません。PCI DSSには、アカウントデータの処理、保存、および伝送に関する厳密な要求事項が定められています。標準への適合性については定期的に妥当性を確認しなければならず、適合していない場合は罰金が課される他、クレジットカードの扱いが停止されることもあります。 PCI DSSは決済エコシステムに特化されたものですが、多くの関係者から、取扱に注意を要するさまざまなタイプのデータに対して払うべき注意に関する一般的な標準のセットを具体化したものと見なされており、ヘルスケアなどの他産業のモデルになるものと捉えることができます 

詳しくはこちら

PCI DSSへの適合を実現しようとする組織は、以下のような複数の課題に直面することになります。

  • 事前監査が実施される: PCI DSSの監査手順には、認可監査員による年次現場検査または自己評価と、定期的な侵入テストが含まれます。これに対し、プライバシーに関する他のほとんどの要求への適合性については、違反事由が発生した場合のみ監査が行われます。
  • 適合性はさまざまなシステムやプロセスに影響を与える可能性がある: PCI DSSは、企業内のあらゆる場所にあるカード所有者データにアクセスするあらゆるITシステムに適用されます。このため、よく調整された機能横断的なアプローチが求められますが、任意の一領域において柔軟性が制限されることがあります。  
  • 可能であれば適合性の範囲を最小限に抑える:PCI DSSの範囲と影響を最小限に抑えようとする一定の動機がきっかけとなって、暗号やトークン化の使用に関するガイドラインが発行されましたが、範囲を最小限に抑えながら適合性を確保するにも、やはり十分な注意が必要です。
  • 新技術がコストと複雑さを増大させる恐れがある: PCI DSSは比較的特殊なものであり、暗号などの新技術の展開、既存ビジネスアプリケーションの変更、新しいセキュリティプロセスやアクセス制御の確立などを誘起する可能性があります。
  • 標準の進化によって不確実性が増大する: すべてのデータプライバシー要求と開示義務は、脅威と地域的な法律の変化に応じて進化しなければなりません。組織は、適合性に関する義務と、セキュリティに関する一般的な目標を整合させようとする際に、かなりの不確実性に直面します。 

セクションを隠す

リスク

  • 適合していない場合は罰金や会費の増額が求められ、クレジットカードの扱いが停止されることもあります。
  • PCI DSSへの適合を他と切り離して考えることはできません。各組織は、複数のセキュリティ要求とデータ漏洩開示に対応しなければなりません。その一方で、PCI適合プロジェクトは、より広範なセキュリティへの取り組みによって、本来の主題からそれてしまいがちな傾向にあります。
  • PCI DSSには、すでに実施されている可能性のある一般的な方法が含まれています。しかし側面によっては、具体的には暗号に関連する側面は、その組織にとって新しいものである可能性があり、正確な設計を行わないと、実装時に混乱が生じて業務効率に悪影響を及ぼす恐れがあります。
  • PCI DSSに関する義務の範囲を狭めることで、コストと影響を減らすことができる場合があります。ただし、新しいシステムとプロセスが実際に標準に適合しているものとして受け入れられるように注意を払わないと、時間と資金を無駄にしてしまう恐れがあります。

PCI DSSの監査と適合性
タレスe-セキュリティソリューション

銀行や金融機関による業界の要求への適合を支援してきた数十年の経験を生かして、タレスe-セキュリティは、カード所有者データの保存、伝送のための暗号化、そして知る必要のある者だけに限定するアクセス制限を可能にする製品とサービスを提供しています。さらにタレスは、標準への適合に関する負担の範囲を減らすことのできる幅広いソリューションを提供するために、各種パートナーと密接に協力しています。また、証明を受けたPCI DSS認定審査機関(Qualified Security Assessor:QSA)として、タレスはその専門知識を展開し、事前評価やコンサルティングサービスを通じてお客様の標準適合作業を支援することができるほか、一定の領域において正式なPCI DSS監査を行うことも可能です。 PCIデータセキュリティ標準(www.pcisecuritystandards.org)には200を超えるテストに対する評価が規定されており、これらのテストは、6つの主要原則が反映された12の一般的セキュリティ領域に分類されています。これらのテストは、暗号、鍵管理、その他のデータ保護方法などの技術に加えて、幅広い一般的セキュリティ手法に及んでいます。

タレスは、組織によるPCI DSSの6つの主要原則への対応を支援する、幅広いソリューションを提供しています。

  • カード所有者データの保護: 標準への適合にあたっては、カード所有者データを公共ネットワークで伝送する場合の暗号化や、保存されたカード所有者データの保護が求められます。組織は、伝送時のデータを保護するネットワーク暗号化とSSL/TLS暗号化の展開に加えて、静止データを保護して標準適用の範囲を狭めるために、ストレージ暗号化、データベース暗号化、アプリケーションレベル暗号化、トークン化、および「ポイントツーポイント」暗号化などの技術も展開します。
  • 強力なアクセス制御手段の実装: すべてのデータ保護手法は、アクセス制御と連携しています。PKIやデジタル証明書などの暗号技術は、ユーザーやシステムの認証のために、パスワードによるセキュリティの範囲を越えて広く使われています。さらに、暗号化されたデータのロックを解除するためのデータ復号鍵へのアクセス制御を、知る必要のある者だけに限定することで、強力な追加セキュリティ層が実現されます。
  • 安全なネットワークの構築と維持:ネットワークレベルの暗号化に加えて、ネットワークセキュリティにおける重要なコンポーネントのひとつが、ネットワークデバイスの高強度認証です。デジタル認証情報は、デバイスレベルでのネットワークアクセス制御に採用されることが多くなっており、企業のPKIにとってはセキュリティに関する重要な検討事項です。
  • ネットワークの定期的なモニターとテスト:暗号化使用の増大における課題のひとつは、ネットワークベースのモニタリングでは、暗号化による保護よりも下層で行われる攻撃によって、弱点をつかれる恐れがあることです。このため、暗号化という覆いを一時的に取り除くことによってデータを安全に解析することのできるイベントモニタリングシステムや、データ喪失防止システムが必要になります。
  • 脆弱性管理プログラムの維持: マルウェアを侵入させてビジネスアプリケーションを破壊することを意図したAPT攻撃の増加により、ビジネスシステムおよびアプリケーションソフトウェアの完全性と信憑性を証明するための方法として、デジタル署名やコード署名の使用が注目されるようになりました。
  • 情報セキュリティ方針の維持: PCI DSSは、内部関係者による攻撃のリスクを最小限に抑えるために、スタッフメンバーの業務を明確に区別することを特に重視しています。暗号の使用は、この区別を実行し、信頼できるイベント記録を作成して適合性を実証するための強力なメカニズムを提供します

利点:

  • 適合義務の範囲を狭めることによって、標準適合のコストを大幅に削減します。
  • 世界の決済取引の80%以上のセキュリティ確保を支援する、現場で実証された技術を利用します。
  • レガシーシステムやクラウドベースの展開を含め、実質的に企業内のあらゆる場所のカード保有者データを保護します。