オンラインでの商取引やサービス購入が広がるにつれ、キャッシュレス決済、特にクレジットカード決済は当たり前のように利用される時代となりました。クレジットカード情報を取り扱う企業として考慮しなければいけないのが、国際的なセキュリティ標準「PCI DSS」(Payment Card Industry Data Security Standard)です。
ユービーセキュアはこの2023年10月に、PCI DSSに準拠しているかどうかの審査を行うことができる「QSA」(Qualified Security Assessors:認定セキュリティ評価機関)として認定され、準拠に向けたコンサルティングや支援にはじまり、実際の審査までを行う「PCI DSS準拠支援コンサルティングおよび審査サービス」を開始しました。その審査員の資格を持つ髙安が、PCI DSSを巡る5つの疑問に答えます。
プロフィール
コンサルティング事業本部 マネジメントコンサルティング部 髙安 雅己さん
2022年10月にシステム開発会社からユービーセキュアに転職。現在はQSA審査員資格を所有しPCI DSSに関する業務をメインに従事している。ベースを弾くことが趣味。
「PCI DSS」とは何でしょう。なぜ今、注目されているのでしょうか。
髙安:PCI DSSとは、 国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が設立した業界団体、PCI SSC(PCI Security Standards Council)がまとめた、クレジットカード情報を漏洩から防ぐためのセキュリティ標準です。技術的な対策だけでなく物理的なセキュリティや文書整備、人に対する教育に至るまで、幅広い領域にまたがり、12要件、400件を超える具体的な 評価項目が定められています。
PCI DSSが注目される背景には、クレジットカード情報の漏洩による被害が年々増加している状況があります。日本クレジット協会によると、国内の被害額は2021年には約330億円、2022年には約437億円 と過去最悪となりました。その後も被害がとどまる気配は見えず、2023年前半だけでも、前年同期を上回る262億円の被害が生じています。こうした被害を食い止め、ユーザーを保護するために、PCI DSSの重要性はいっそう増しています。
政府もこうした背景を踏まえ、2018年6月に施行された改正割賦販売法において、クレジットカード情報を取り扱うECサイトやオンラインサービスを提供するサービスプロバイダ、加盟店といった事業者に対し、PCI DSSに準拠するよう求めました。加盟店に対してはPCI DSSに準拠する代わりにクレジットカード情報を取り扱わない「非保持化」という対策も認められています。
現行のPCI DSSはv3.2.1ですが、2024年4月からはv4.0という新たなバージョンに準拠する必要があります。一部の要件については猶予期間が設けられていますが、今後、PCI DSSの審査、準拠は基本的に新バージョンに準ずる必要があります。
2022年3月にリリースされたPCI DSS v4.0は約8年ぶりのメジャーバージョンアップ でした。新たにいくつかの要件が追加されたほか、昨今の脅威動向を踏まえ、認証の強化、自社のリスクに基づく実施頻度の見直し(ターゲットリスク分析 )など、既存の要件も強化されています。
中でも、クレジットカード情報の漏洩につながる直接的な脅威の一つであるフィッシング攻撃について検知・防御の仕組みを実施する要件が追加されたり 、従業員向けセキュリティトレーニングの中にフィッシングに関する内容が組み込 まれるなど、昨今の脅威に即した対策が取り入れられている点が特徴です。
クレジットカード情報を取り扱う企業は、どのようにしてPCI DSSに準拠すればいいのでしょうか。
髙安:PCI DSS準拠にはいくつかの方法があります。自己問診票(SAQ)を作成したり、自社の監査を行うPCI 内部セキュリティ評価人(ISA)による審査を行う方法もありますが、PCI SSCが認定した審査機関であるQSA の審査員による準拠審査を受ける方法が一般的です。
ただ、勉強もせずに受験してもなかなか合格できないのと同じように、PCI DSSにおいても事前の準備が必要です。まず実際の業務などをヒアリングしてシステム構成を確認し、PCI DSSに準拠すべき範囲、スコープを明らかにします。次に、そのスコープに対して、現状とPCI DSSで求められている要件とのギャップを分析し、その結果を踏まえて対策方針を決めます。審査をクリアするには実際に対策を講じ、ギャップを埋めていく必要があります。
システムの規模にもよりますが、一連の準備作業に2〜3カ月、そして審査自体にも2〜3カ月程度の期間を要することが一般的です。 開発を伴うシステム変更が必要な場合などは、さらに対応期間が必要です。
自力で自己問診票(SAQ)を作成し、PCI DSSに準拠していくアプローチもありますが、PCI DSSの要件の中には抽象的な内容も含まれています。それらをすべて自力で適切に解釈し、対策に落とし込むのはなかなか難しく、解釈のズレが生じかねません。やはり、QSAの審査員資格を持った専門家の支援を得て、PCI DSSに対する理解を深めながら適切な対策を進めていく方が、確実に準拠できるのではないでしょうか。事実PCI DSSの準拠企業を見ていると、SAQ作成支援や準拠支援及び審査など、全般的にQSAに依頼するケースが多いように思います。
QSAによる支援や審査の内容は一律ではないのでしょうか。だとしたら、ユービーセキュアの特徴は何ですか。
髙安:ユービーセキュアがQSAの資格を取得したのは2023年10月ですが、実はそれ以前から、ASV(Approved Scanning Vendors:認定スキャンベンダー)として活動してきました。
PCI DSSの要件の一つに「外部からの脆弱性スキャンの実施」がありますが、そのスキャンはASVが実施する必要があります。ユービーセキュアはこのPCI DSS準拠スキャンに関して、多くの実績を積んできました。
そして今回、ASVに加えQSAとしての資格を持つことで、PCI DSS準拠に必要なプロセスを一気通貫で支援でき、一つの窓口で対応できるようになります。これまで脆弱性診断に関して支援してきたお客様も、ASVとQSA、両方の視点から支援できます。たとえばスキャンの際に適切なスコープを設定することで、漏れなくスキャン を実施できることがメリットになると考えています。
またセキュリティベンダーとしても、脆弱性スキャンツールのVexをはじめ、幅広いセキュリティソリューションを活用してお客様を支援してきました。PCI DSSの要件とのギャップを埋めるため、さまざまな選択肢の中から適切な方法を提案するなど、単なる審査だけでなく、一歩踏み込んでセキュリティに関する広い知見を提供できると考えています。
さらにユービーセキュアはNRIグループの一社であり、グループ企業間でさまざまな情報やノウハウを共有、蓄積してきました。それらを活かして支援できる ことも強みになると考えています。
ユービーセキュアではどんなことに留意して審査業務を行っているのですか。
髙安:当たり前ですが、審査する環境はお客様ごとに異なります。時にはコスト面、あるいは業務効率や使い勝手の面で、PCI DSSが求める要件とお客様との環境との間で、折り合いの付けにくい部分が出てくることもあります。
そうした時、単純に「要件だからこうせよ」とお伝えするのではなく、過去の開発現場での経験なども生かしながら、「どうすれば最も負荷の少ない形で準拠できるか」を一緒に考えながら提案することを心がけています。PCI DSSの「代替コントロール」という概念も生かしつつ、リスクと対策コストや運用負荷のバランスが取れた対策方針を決めることに留意しています。場合によっては「PCI DSS準拠に取り組むよりも、そもそも非保持化する方がベターではないか」といった判断も含め、適切な提案をしていきたいと考えています。
ユービーセキュアのこれまでの実績を教えてください。また、審査を受けるに当たってのアドバイスもお願いします。
髙安:自社のサービスを開始してからの日は浅いですが、以前より、同じくQSAとして活動しているNRIセキュアとは密に連携し、業界を問わずさまざまなお客様の支援を行ってきました。
PCI DSS v4.0に基づく審査開始が近付くにつれ、皆様の関心も高まっており、引き合いも増えています。実際には猶予期間が設定されている要件もあるためまだ先のことのように思われるかもしれませんが、PCI DSSの審査・準拠には時間がかかります。ギリギリになって腰を上げ、審査を受けても、指摘を受けた事項について対策を取る時間的余裕がなくなることも考えられますので、できるだけ前もって取り組んでいただくのがいいと思います。
ただ、PCI DSSを取得すればゴールというわけではありません。サイバーセキュリティが経営課題として認識され、日本はもちろん米国、ヨーロッパなどでも、セキュリティに関するさまざまな法規制やガイドラインが定められています。企業としてはPCI DSSだけでなく、こうした動向にも目を配る必要があります。
ユービーセキュアは広くこうした法規制への対応を支援するとともに、「自社はどこまでできているのか、同業他社と比べてどのような位置にあるのか」を判断し、目標までの道筋作りの支援も行っています。そもそも何から手を付ければいいかわからない場合には、無料の相談会も実施していますので、気軽にご相談いただければと思います。
ユービーセキュアは審査員という形で上からアドバイスするのではなく、お客様と協力しながらPCI DSS準拠に向けた支援・審査を実施し、身近なセキュリティの専門家として気軽に相談できる関係性を構築し、今後もお客様に寄り添い続けていきたいと考えています。
