PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報の保護を目的に策定された、クレジットカード業界の国際的な情報セキュリティ基準です。2024年6月11日に、発行元であるPCI SSC(PCI Security Standards Council)よりPCI DSS v4.0からv4.0.1へのアップデート情報が公開されました。このブログでは、PCI DSS v4.0.1の主な変更点とその影響について、PCI SSCが公開しているPCI DSS Summary of changes (v4.0 to v.4.0.1) をベースに解説します。
※最新のPCI DSS基準書、PCI DSS Summary of ChangesはPCI SSCサイトからダウンロード可能です。
https://www.pcisecuritystandards.org/document_library/
※本ブログ執筆時点でPCI DSS v4.0.1、および、PCI DSS Summary of changesの日本語版は公表されておりません。本ブログにおいて当該資料から引用している文言は筆者にて邦訳したものとなります。
v4.0からv4.0.1への変更概要
PCI SSCより公表されたタイムラインによると、v4.0.1は即時有効であり、2024年8月現在ではv4.0とv4.0.1が並行して有効である状況となっています。なお、v4.0は2024年12月31日に廃止となることも併せて公表されています。
v4.0.1への切り替え対応が必要ではありますが、今回のアップデートで新しく追加、または、削除された要件はなく、主な変更点は書式の変更や誤植の修正と一部の要件の詳細化や表現の明確化となっています。
※出典:PCI SSC 「PCI DSS v4.0 Development Timeline」
PCI DSS v4.0からv 4.0.1への変更点の説明
- 誤字脱字やその他軽微な修正(フォーマットの誤りやヘッダー欠落など)
- 関連文書(v4.0クイックリファレンスガイドや最近公開されたFAQなど)との整合性を図るための変更を含む、ガイダンスを更新、明確化
- ガイダンス内の用語定義が用語集にも含まれている場合、定義を削除し、付録Gの用語集にて参照
- 新しく定義された用語やこれまで参照先の無い既存の用語に関する、用語集への追加
- 基準全体を通じて、適切な箇所において「CDEのセキュリティに影響する」から「カード会員データと(または)機密認証データのセキュリティに影響する」へ、表現を変更
- 必要に応じた、変更された要件との整合性を取るためのテスト手順の更新
変更点の紹介
本項では、今回のアップデートの中で準拠対応に影響する可能性が想定される変更点を2つ抜粋して紹介します。今回のアップデートの全内容について確認したい場合は、PCI SSCが公開しているブログ※やPCI DSS Summary of Changesなどの文書をご参照ください。
※PCI SSCブログ
全てのCDEへのアクセスに対するMFA実装:要件8.4.2
v4.0ではカード会員データ環境(CDE)への全てのアクセスに多要素認証(MFA)を実装することが要求されていましたが、v4.0.1へのアップデートに際しては下記2点の変更点がありました。
- この要件が全ての非コンソールアクセスに対してCDEに適用されることを明確化
- この要件がフィッシング耐性のある認証要素でのみ認証されるユーザアカウントには適用されないことを示す「適用に関する注意事項」を追加
また、関連する変更として、付録Gの用語集に下記用語が追加されています。
- フィッシング耐性のある認証
ユーザが認証しようとしている正当なシステム以外の第三者に認証情報が漏洩したり使用されたりするのを防ぐように設計された認証(中間者攻撃やなりすまし攻撃への耐性)。
フィッシング耐性システムでは、多くの場合、コアセキュリティ制御として非対称暗号化が実装されています。
パスワードやワンタイムパスワード(OTP)などの知識ベース、または時間制限のある要素のみに依存するシステムは、フィッシング耐性があるとは見なされません。SMSやマジックリンクも同様です。フィッシング耐性認証の例には、FIDO2などがあります。 - 想定される影響
v4.0ではCDEへの全てのアクセスにMFA実装が要求されていたのに対し、v4.0.1では上記のアップデートにより、フィッシング耐性のある認証要素でのみ認証されるユーザアカウントには本要件が適用されないようになりました。認証強度を高める(本人であることの真正性の担保)という目的は変わらないものの、利用する認証要素によっては、MFAが不要となる条件が追加されたことにより、PCI DSSの新バージョンへの対応方針などに変更が発生する可能性が想定されます。
TPSPとの契約書の維持:要件12.8.2
v4.0ではサードパーティサービスプロバイダ(TPSP)の管理として書面による契約書を維持することが要求されていました。同要件の「適用に関する注意事項」では、「TPSPがPCI DSS要件を満たしている証拠(例えば、PCI DSSコンプライアンスに関する証明書(AOC)や企業のウェブサイト上の宣言)は、この要件で指定されている書面による契約書と同じものではない。」と記載がありましたが、今回のアップデートにより書面(契約書など)として認められない例が追加されました。
追加された書面(契約書など)として認められないエビデンスの例
- ポリシーステートメント
- 責任マトリクス
- 書面による契約に含まれないその他の証拠
※「PCI DSS 準拠証明書(AOC)」と「企業のウェブサイト上の宣言」についてはv4.0から引き続き書面(契約書など)として認められません。
- 想定される影響
今回のアップデートにより追加された認められない例に該当するエビデンスをもって本要件の対応をしていた場合には、改めて書面(契約書など)での契約を行うなどの対応を行う必要がありますので、早めの対策の検討が必要となります。 - 補足(要件12.9.1の変更)
要件12.9.1はサービスプロバイダ用の要件となりますが、要件12.8.2と同様に「適用に関する注意事項」へ書面(契約書など)として認められない例が追加されております。
※v4.0では認められない例の記載がありませんでしたが、「PCI DSS 準拠証明書(AOC)」と「企業のウェブサイト上の宣言」と合わせて追加されました。
まとめ
PCI DSS v4.0からv4.0.1へのアップデートでは、新しく追加、または、削除された要件は無いため、大きな影響を受ける可能性は低いと言えます。しかしながら、今回変更のあった一部要件の詳細化や表現の明確化による要件解釈の変化から、対策方針に変更が発生する可能性はありますので、v4.0.1への準拠対応が未確認の場合にはお早めに確認することをオススメ致します。また、v4.0.1へのアップデートとは別にベストプラクティス要件への対応期限も2025年3月31日と迫ってきています。
PCI DSSの準拠について何かお困りの点がございましたらQSA(PCI DSS審査員)資格を有する弊社コンサルタントにご相談いただくことも可能ですので、ぜひお問い合わせください。