こんにちは、PCI DSSの審査やコンサルに日々奮闘しているマネジメントコンサルティング部の髙安です。
今回は、私が講師として登壇した「カードセキュリティフォーラム2024」(6月19日@東京国際フォーラム)の様子をお伝えします。
まずはここから! 「カードセキュリティフォーラム」とは
JCDSC(日本カード情報セキュリティ協議会)が主催する、クレジットカードのセキュリティに関するイベント。カードの会員情報を安全に取り扱うためのセキュリティ基準であるPCI DSSへの準拠やキャッシュレスの安全を支援することを目的に、毎年多くの専門家が講演を行います。2024年のテーマは「~被害防止とPCI DSS v4.0本格運用~」。2024年4月からPCI DSS v4.0への準拠が義務化されました。現時点では新たな要件の一部はベストプラクティス要件(2025年4月以降に対応必須となる要件)となっていますが、クレジットカード情報を取り扱う多くの事業者がベストプラクティス要件に向けて準備・運用を始めており、具体的な対応方法などが注目されました。
JCDSC(日本カード情報セキュリティ協議会)
クレジットカード情報の保護に向けた情報を交換・連携する場として2009年に設立。クレジットカード業界の国際統一基準「PCI DSS」の普及・啓蒙活動などに取り組む。国内企業314社(2024年7月1日 時点)が協力しており、ユービーセキュアは参加企業の一つ。
ネットでは見つからない!? 現場で使える情報をみんなのものに。
ユービーセキュアはPCI DSS準拠審査の実施を認定されている「QSA(Qualified Security Assessor)」であり、PCI DSSで求められる脆弱性スキャンの実施を認められた「ASV(Approved Scanning Vendor)」でもあります。両方の認定を受けている企業は、実は多くありません。
こうした強みを活かし、今回の講演ではPCI DSS v4.0のバージョンアップに伴う新たなセキュリティ対策の要件について、“QSAとASVそれぞれの視点から”解説することにしました。特に認証スキャンや脆弱性スキャン、ペネトレーションテストに焦点を当て、それぞれの具体的な対策を盛り込みました。
講演テーマを決めるうえでこだわったのは、ユービーセキュアならではの情報をお届けすることです。セキュリティコンサルタントとして多様な業界のお客さまをご支援するなかでお聞かせいただく現場の課題や、そこに対する解決策。また社内には「Vex」「VexCloud」の開発担当や脆弱性診断サービスをワンストップで提供する部隊もおり、それぞれの得意分野で専門知識やノウハウが蓄積されています。そうした新鮮な情報を惜しみなく提供することで、参加者にとって価値のある講演にしたいと考えていました。
登壇までの準備期間には、当日ご参加される皆さんが現場で「使える」情報をご提供できるよう、PCI DSS v4.0のバージョンアップに伴う新要件について、どのように説明すれば分かりやすく、かつ実践的な内容になるか議論を重ねました。
クレジットカード情報を取り扱う事業者とQSA/ASV企業であるユービーセキュア
講演の流れ
1. ユービーセキュアについて、講演者について(5分)
講演者:QSA資格所有者である髙安と、ASV資格保有者の生井が登壇しました。
2. 講演の概要説明(5分)
3. QSAの視点からの発表(15分)
主に「PCI DSS v4.0」で変更・追加された脆弱性スキャンやペネトレーションテストの要件に関して、以下のようなポイントを解説しました。
脆弱性スキャンの実施頻度:内部脆弱性スキャンと外部脆弱性スキャンの実施頻度が「四半期に1度」から「3カ月に1度」に変更された。
認証スキャンの重要性:認証スキャンの実施が新たに求められるようになり、管理者権限相当のアクセス権を持つアカウントを使用する必要がある。
ペネトレーションテストの要件:内部および外部のペネトレーションテストの実施方法や、セグメンテーション制御に対するテストの必要性について。
4. ASVの視点からの発表(15分)
認証スキャンの具体的な実施方法について、以下のポイントを解説しました。
認証スキャンの準備:スキャンツールに設定する認証情報の種類や、対象システムの設定変更が必要なこと。
スキャン実施の流れ:スキャンツール(今回はNessus)を用いた認証スキャンの手順と、スキャン結果の確認方法
スキャン結果の分析:認証スキャンによって新たに検出される脆弱性の傾向と、それに対する対策。
5. 本日のまとめ、ユービーセキュアのサービスのご紹介(5分)
当日の様子をチラ見せ!
ユービーセキュアの講演を聴いてくださる参加者の皆さま
講演には70名の方が応募してくださり、会場はほぼ満席となりました。特に印象的だったのは、参加者の皆さまが熱心に講演を聞いてくださったことです。講演中にメモを取る姿や、講演後に積極的に質問してくださる人……皆さまの反応から、私たちの発表内容がお役に立てていることを実感しました。講演終了時には大きな拍手をいただき、とてもほっとしました。
当日の講演資料を一部ご紹介!
ユービーセキュアの講演資料を一部紹介
来場者への配布物。講演資料、診断サービスのご紹介ツールに加えて、ゼイジャッキーシールを2枚お渡ししました
また、当日は講演資料と診断サービスのチラシ、そしてユービーセキュアのオリジナルキャラクター「ゼイジャッキー(※)」のシールも配布し、多くの方がユービーセキュアに興味を持っていただけたようです。特に「ゼイジャッキー」は大好評! 一般的にかたいイメージを持たれがちなセキュリティの分野ですが、親しみやすさを感じていただくきっかけになったのではないでしょうか。
※「ゼイジャッキー」について詳しくはこちらからご覧になれます
講演資料の中でも「ゼイジャッキー」が活躍
参加者からの反響
講演後には、参加者の皆さまからポジティブなフィードバックをたくさんいただきました。講演内容について積極的にご質問いただいたり、名刺交換が活発に行われたり。特に、PCI DSS v4.0の新要件に関する具体的な対策についての関心が高く、「実際の業務に役立てたい」という声を多くいただきました。たくさんの方と直接お話しするなかで、QSAとASVの両方の資格を持つ企業としてのユービーセキュアの強みや、具体的なセキュリティ対策のノウハウについて関心を寄せていただきました。
登壇を終えて
(左から)生井、髙安
(左から)生井、髙安
初めての社外向け発表で緊張しましたが、事前準備やリハーサルを重ね、本番ではPCI DSS v4.0で新たに求められている要件の内容や具体的な対策について広く知っていただけたことに満足しています。
今後もこうした講演やセミナーを通じて、最新のセキュリティ情報を提供し、皆さまのセキュリティ向上に貢献していきたいと思います。より実践的で役立つ情報を提供できるよう、今回の講演で得たフィードバックをもとに内容をブラッシュアップしてまいります。講演にご協力いただいた全ての皆様に心から感謝申し上げます。これからも、ユービーセキュアをどうぞよろしくお願いいたします。
一緒に登壇した生井さんの感想
サイバーセキュリティコンサルティング事業本部 サイバーセキュリティコンサルティング一部
生井 絢也 さん
外部の講演は初めてで緊張しましたが、参加者の皆さまが熱心にメモを取る姿を見て、次第にリラックスできました。講演後には多くの方々と名刺交換ができ、とても有意義な時間になりました。この講演を通じて、PCI DSSの重要性や具体的な対策を知っていただき、さらにユービーセキュアへの関心や信頼を深めていただけたのではないかと思います。今後も皆さまのセキュリティ向上に貢献できるよう、全力を尽くしてまいります。
ユービーセキュアでは、サイバーセキュリティに関わる多くの実績・ノウハウやQSA/ASVとしての立場を活かし、PCI DSS準拠に向けた審査や支援コンサルティング、スキャンなどさまざまなサービスを提供しています。お客さまの業務内容やシステム規模に応じた最適な対策方法を提案いたしますので、お気軽にお問い合わせください。