決済カード業界データセキュリティ基準 (PCI DSS) とは
PCI コンプライアンスとサイバーセキュリティの間の障壁を解消
決済カード業界データセキュリティ基準 (PCI DSS) は、カード会員情報の受付、処理、伝送を受け持つ組織に対する運用と技術に関する数百の要件で構成されています。 PCI DSS コンプライアンスの対象となるのは、加盟店、処理業者、アクワイアラ、保険業者、サービスプロバイダーなどの組織です。
PCI Security Standards Council (PCI SSC) が監督する PCI DSS フレームワークは、決済データを保護し、サイバー犯罪者がその機密情報にアクセスしにくくすることを目的としています。 また PCI SSC は、 決済アプリケーションデータセキュリティ基準 (PA-DSS) でソフトウェア開発者とアプリケーション開発者向けの決済カード基準を監督するとともに、クレジットカード取引デバイスを作成する組織に対する PIN トランザクションセキュリティ (PTS) の義務付けを監督しています。
加盟店、金融機関、サービスプロバイダーが、関連するすべてのテクノロジーとプラクティスのセキュリティを確保する目的で決済プロセスに適用することを求められる PCI セキュリティ基準は 15 個あります。
最新バージョンは、PCI SSC が 2022 年 3 月に公開した PCI DSS v4.0 です。 2018 年夏以来、これらの基準に対して初めてアップデートされたバージョンが 4.0 です。バージョン 3.2.1 は、2024 年 3 月 31 日に廃止されるまでは引き続き有効です。 PCI SSC は、2025 年 3 月 31 日までに v4.0 の要件を満たすよう各組織に求めていきます。
この概要では、PCI DSS の目標を含む最新バージョンの内容、PCI に準拠する必要がある組織や人物、そして実装と管理のベストプラクティスについて詳しく解説します。
レポートの内容
PCI コンプライアンスを日々の業務に
攻撃者は、クレジットカードとデビットカードの情報が脆弱であることをわかっており、これまで以上に複雑で広範な手段を開発してそうした情報を盗み出そうとしています。 そのようなデータを保護することは優れたビジネスプラクティスであるだけでなく、PCI DSS コンプライアンスの要件でもあります。
PCI DSS は、カード会員データを漏洩や盗難から守ることを目的とした、技術と運用に関する基本的なセキュリティコントロールを幅広くカバーします。 これらの基準は、カード会員情報の受付、保存、処理、伝送を受け持つあらゆる組織に適用されるものであり、 POS ベンダー、ハードウェア開発者とソフトウェア開発者、加盟店、金融機関など、基本的には、クレジットカードとデビットカードのデータの処理に関わるすべての人物が対象となります。
このソリューション概要では、PCI 監査に合格する方法だけでなく、PCI コンプライアンスを日々の業務に組み込む方法とそうすべき理由についてのベストプラクティスも探ります。
この概要では、以下について詳しく解説します。
- 業務に対する PCI セキュリティ基準の潜在的な影響
- PCI DSS が単なる監査プロセスではない理由
- PCI コンプライアンスを継続的に評価する方法
- カード会員データに対する潜在的な脅威についてのほぼリアルタイムのインサイトの獲得
- 評価の合間でのコンプライアンスの維持
PCI に関するインサイト
PCI DSS への対応
顧客のカード会員データが漏洩すると、罰金や罰則が科されたり、対応や復旧のコストがすぐに数百万ドルに達したりすることもあります。 そのうえ、顧客が個人情報盗難のリスクにさらされ、ブランドや評判が瞬く間に失われる可能性があります。 そのため、PCI セキュリティ基準を満たすとともに、機密データのセキュリティとプライバシーの維持を非常に重要視しているということを顧客に確信してもらうために、組織に何が求められているのかを正確に理解することが重要です。
このソリューション概要では、PCI の要件を満たすうえでの内外の脆弱性スキャンの役割について詳しく見ていきます。 組織が今もセキュリティコントロールとコンプライアンスコントロールに手動で対応しているのであれば、Tenable One のようなサイバーエクスポージャー管理プラットフォームを使用して組織の効率を向上させ、カード会員データを扱うシステムやアプリケーションの重大な脆弱性を見落とす可能性を減らせるようにする方法を詳しく知ることでメリットを得られるでしょう。
ホワイトペーパーでは、以下について詳しく説明します。
- すべてのカード会員データ環境のシステムの設定基準を策定する方法
- 公開されているウェブアプリケーションの脅威や脆弱性への対処
- アクティブスキャンとパッシブスキャンの活用方法
- PCI コンプライアンスにおけるリスクベースの脆弱性管理のベストプラクティス
Tenable Connect Community: PCI のあらゆる情報を入手できる頼りになるリソース
PCI コンプライアンスやセキュリティについてわからないことがある場合は、Tenable Community にぜひご参加ください。同じような関心を持つ他のユーザーとつながってやり取りできます。 このコミュニティでは、ASV スキャン、PCI 検証、PCI 監査などの PCI に関する重要なトピックについて詳しく知ることができます。
このコミュニティでは、今まさに次のような会話が交わされています。
PCI 内部スキャンまたは PCI DSS コンプライアンス監査ファイル
PCI 内部スキャンテンプレートを使用したのですが、予想していたとおりパッチ未適用といった脆弱性がいくつか見つかりました。 そこで質問なのですが、四半期ごとに行う内部スキャンで PCI DSS 監査ファイルを実行する必要はあるのでしょうか。
続きを読むTenable.io PCI ASV - 背景とレビュープロセス
認定スキャンベンダー (ASV) は、インターネットに露出している環境の脆弱性スキャンを実行して PCI の要件に準拠しているかどうかを検証する組織です。
続きを読むPCI に関するよくあるご質問
PCI のセキュリティやコンプライアンスになじみがない場合や、 ご質問があり、どこから始めたらよいか分からない場合は、 以下に示す PCI に関するよくあるご質問をご確認ください。
PCI は何の略語ですか。
PCI とは何ですか。
PCI Security Standards Council (PCI SSC) とその役割について教えてください。
PCI はなぜ重要なのですか。
PCI コンプライアンスは法律で義務付けられていますか。
PCI に準拠しているというのはどのような意味ですか。
PCI DSS とは何ですか。
PCI DSS の目的は何ですか。
12 の主な PCI コンプライアンス要件について教えてください。
PCI コンプライアンスには、以下に示す 12 の主な要件があります。
- カード会員データを保護するためのファイヤーウォール設定をインストールして維持する
- システムパスワードなどのセキュリティパラメーターにベンダーから提供されたデフォルトを使用しない
- 保存されているカード会員データを保護する
- オープンな公共ネットワークを介したカード会員データの伝送を暗号化する
- ウイルス対策ソフトウェアやプログラムを使用して定期的に更新する
- 安全なシステムとアプリケーションを開発して維持する
- 業務上の知る必要性に応じてカード会員データへのアクセスを制限する
- コンピューターにアクセスする各個人に一意の ID を割り当てる
- カード会員データへの物理的なアクセスを制限する
- ネットワークリソースとカード会員データへのすべてのアクセスを追跡して監視する
- セキュリティシステムとセキュリティプロセスを定期的にテストする
- すべての担当者の情報セキュリティに対処するポリシーを維持する
PCI に準拠する必要があるのは誰ですか。
PCI コンプライアンスのメリットを教えてください。
PCI コンプライアンスには多くのメリットがあります。 以下にいくつかの例を挙げます。
- 顧客のカード会員データの保全
- データ漏洩などのセキュリティインシデントのリスクの低減
- 顧客の評判や信頼の確立
- 組織やブランドの保護
- コンプライアンス違反に対する罰金や罰則を科せられない
- 競争優位性
PCI に準拠していなければどうなりますか。
PCI コンプライアンスのレベルについて教えてください。
PCI DSS では何がカード会員データ (CHD) とみなされますか。
何が機密認証データとみなされますか。
PCI DSS のカード会員データ環境 (CDE) とは何ですか。
PCI ソフトウェアセキュリティフレームワーク (SSF) とは何ですか。
PCI SSC ソフトウェア基準とは何ですか。
PCI SSC ソフトウェア基準では、どのようなソフトウェアが検証済みソフトウェアとみなされますか。
PCI SSC ソフトウェア基準では、どのようなベンダーが検証済みソフトウェアベンダーとみなされますか。
PA-DSS とは何ですか。
PCI SSC 認定スキャンベンダー (ASV) とは何ですか。
Tenable は正規の認定 ASV ですか。
脆弱性スキャンは PCI コンプライアンスに含まれますか。
PCI で求められる脆弱性スキャンの実施頻度を教えてください。
一般的な PCI 違反としてはどのようなものがありますか。
PCI ASV 脆弱性とは何ですか。
PCI ASV スキャンの所要時間はどの程度ですか。
PCI スキャンプロセスの主な段階について教えてください。
Tenable を使用した PCI スキャンプロセスの主な段階は、次のとおりです。
- テンプレートを使用してスキャンを作成する
- スキャンを開始する
- PCI ASV ダッシュボードにスキャンを送信する
- 認証要求のドラフトを作成する
- すべての障害に対処してから、ASV によるレビューのためにスキャン認証を送信する
どのようなシステムを PCI ASV スキャンの対象に含める必要がありますか。
ASV は認定セキュリティ評価機関 (QSA) と同じものですか。
PCI DSS の実装のベストプラクティスについて教えてください。
PCI DSS 加盟店レベルとは
組織は、12 か月間の決済カード取引の量に基づいて 4 つのコンプライアンスレベルのいずれかに分類されます。 これには、PCI SSC 参加ペイメントブランド (PCI SSC 会員または加盟店) のロゴが入ったクレジット、デビット、プリペイド、ギフト、IC、ストアドバリューカードが含まれます。
各クレジットカードブランドは、加盟店レベルに関する独自の基準をさまざまな要因に基づいて設定できるため、加盟店銀行かクレジットカードブランドに該当レベルを直接確認することが重要です。 以下に Visa と Mastercard の加盟店レベルの一例を示します。
-
加盟店レベル 1
クレジットまたはデビットカード取引数、年間 600 万件超。
要件: 毎年内部監査を実施するとともに、四半期ごとに認定スキャンベンダー (ASV) に PCI スキャンを依頼する。
-
加盟店レベル 2
同取引数、年間 100 ~ 600 万件。
要件: 毎年自己評価アンケートを実施する。 場合によっては四半期ごとの ASV PCI スキャンが必要。
-
加盟店レベル 3
同取引数、年間 2 ~ 100 万件。
要件: 毎年自己評価を実施する。 場合によっては四半期ごとの ASV PCI スキャンが必要。
-
加盟店レベル 4
同取引数が年間 2 万件未満、および毎年の取引処理数が 100 万件までのその他すべての加盟店。
要件: 毎年自己評価アンケートを実施する。 場合によっては四半期ごとの ASV PCI スキャンが必要。
PCI SSC によると、ペイメントブランドは他に 3 つあります (JCB、Discover、AMEX)。 これらのブランドは独自の加盟店レベルと要件を定めていますが、多くの場合、一般的には上記の基準を満たすことで各ブランドの基準が満たされます。 ただし、必ず利用しているブランドに詳細を確認するようにしてください。
PCI DSS の要件とは
3 回の Request for Comments (RFC) と 200 を超える企業からの 6,000 件を超えるフィードバックや情報の提供を経て、PCS SSC は 2022 年 3 月に PCI DSS v4.0 を公開しました。 v3.2.1 は 2024 年の第 1 四半期末まで引き続き有効ですが、すでに多くの組織が 4.0 の基準の実装に向けた対応を進めています。 新たな要件は、2025 年 3 月 31 日に発効する予定です。
PCI SSC によると、新たな基準には次の 4 つの主要目標があります。
-
決済業界のセキュリティのニーズに対応
例: 多要素認証の拡大、パスワードの更新、新たな eコマースとフィッシングの要件
-
継続的なプロセスとしてセキュリティを強化
例: 各要件に対する明確に割り当てられた役割と責任、セキュリティを実装して維持する方法に関する詳細なガイダンス
-
さまざまな手法に対応できるよう柔軟性を高める
例: グループ、共有、一般アカウントの許可、的を絞ったリスク分析
-
検証手法を強化
例: レポートと認証に含まれる情報の整合性向上
PCI DSS の要件とは
決済カード情報の受付、保存、処理、伝送を受け持つ組織が顧客の機密データを各自で安全に保護できるよう、PCI DSS v4.0 では 12 の主要要件が定められています。
その要件は次のとおりです。
安全なネットワークとシステムの構築と維持
- ネットワークセキュリティコントロールをインストールして維持する
- すべてのシステムコンポーネントに安全な設定を適用する
アカウントデータの保護
- 保存されているアカウントデータを保護する
- オープンな公共ネットワークでの伝送中に強力な暗号でカード会員データを保護する
脆弱性管理プログラムの維持
- 悪質なソフトウェアからすべてのシステムとネットワークを保護する
- 安全なシステムとソフトウェアを開発して維持する
強力なアクセス制御対策の実装
- 業務上の知る必要性に応じてシステムコンポーネントとカード会員データへのアクセスを制限する
- ユーザーを識別してシステムコンポーネントに対する認証を行う
- カード会員データへの物理的なアクセスを制限する
ネットワークの定期的な監視とテスト
- システムコンポーネントとカード会員データへのすべてのアクセスをログに記録して監視する
- システムとネットワークのセキュリティを定期的にテストする
情報セキュリティポリシーの維持
- 組織のポリシーとプログラムで情報セキュリティをサポートする
これらの要件の適用対象
- カード会員データ環境 (CDE)
- カード会員データおよび/または機密認証データを保存、処理、伝送するシステムコンポーネント、人員、プロセス
- CHD/SAD を保存、処理、伝送しない可能性があるものの、CHD/SAD を保存、処理、伝送するシステムコンポーネントに無制限に接続できるシステムコンポーネント
- CDE のセキュリティに影響を与える可能性があるシステムコンポーネント、人員、プロセス
カード会員データの保存、処理、伝送をしない組織にも PCI DSS の要件が適用されることがあります。 たとえば、カード会員データ環境 (CDE) を管理している組織や決済処理を第三者に外注している事業体がこれに該当します。 自組織がそのような第三者への外注を行っている場合は、その外注先での PCI DSS の基準適合を確実化することによりカード会員データを保護する責任も負うことになります。
PCI DSS コンプライアンスの確保
PCI DSS v3.2.1 と PCI DSS v4.0 のどちらに準拠する必要があるかについて、お悩みの方もいるのではないでしょうか。
組織がまだ PCI DSS に準拠していない場合は、バージョン 4.0 の要件を満たすことにコンプライアンスの取り組みを集中させます。 なお、PCI DSS v4.0 の発効日は 2025 年 3 月 31 日となっています。
組織がバージョン 3.2.1 に準拠しているのであれば、今こそバージョン 4 で設けられる基準を満たすことに注力すべきときです。
PCI コンプライアンスを確保するにあたっては、まず加盟店レベルを設定することから始めます。 前述のように、加盟店レベルは 12 か月間の決済カード取引の件数に基づいたものであり、各クレジットカードブランドは各レベルと関連する要件について独自の基準を設定できます。
取引量に基づいた PCI DSS コンプライアンスの検証の観点から見ると、組織は自己評価アンケート (SAQ) に答えてコンプライアンスレポート (ROC) を完成させることができる場合もあれば、独立した第三者の認定セキュリティ評価機関 (QSA) との連携を求められる場合もあります。 PCI 認定を取得するには、QSA と連携する必要があります。 QSA は、組織が PCI DSS を満たしていることを証明する承認を PCI SSC から受け、評価のすべての要件が満たされている場合は準拠証明書 (AOC) を発行できます。
自組織で自己評価を行えるのか QSA と連携する必要があるのかどうかを判断するには、クレジットカードブランドかアクワイアラに相談してください。
自己評価を行える場合は、環境の種類に基づいて適用されるいくつかの自己評価アンケートがあるという点に注意しなければなりません。 PCI SSC によると、各アンケートには、そのアンケートに当てはまる環境について説明する、適格基準などが記載された「開始する前に」というセクションがあります。
適切なアンケートを選択して環境基準を確認したら、SAQ と各 SAQ に含まれる各 AOC のすべてのセクションを完成させる必要があります。 AOC は、独立したドキュメントとしても使用できます。
組織が外部脆弱性スキャンを行う必要がある場合は、ASV との連携によって、脆弱性管理手法の評価とスキャンプロセスが PCI DSS に適合していることの確認を行えます。 認定 ASV からはスキャンレポートの提供を受けられます。
SAQ、AOC、スキャンを完了したら、必要なドキュメントのすべてをペイメントブランドかアクワイアラに送信します。
繰り返しになりますが、各ペイメントブランドが最終的に組織の分類とリスクレベルを決定します。しかし PCI SSC によると、PCI コンプライアンスには一般的に 6 つの重要なステップがあります。 大まかに言うと、PCI DSS 評価には次のステップが含まれます。
範囲
PCI DSS の対象になるシステムコンポーネントとネットワークを把握します。
評価
PCI DSS の各要件の手順をテストしてから、対象となるシステムコンポーネントのコンプライアンスを調査します。
レポート
評価機関および/または事業体が、必要なドキュメント (自己評価アンケート (SAQ) やコンプライアンスレポート (ROC) など) を、すべての補完的コントロールに関するドキュメントも含めて完成させます。
証明
適切な準拠証明書 (AOC) を完成させます。
送信
SAQ、ROC、AOC、その他の補足ドキュメント (ASV スキャンレポートなど) をアクワイアラ (加盟店の場合) か、ペイメントブランドまたはリクエスタ (サービスプロバイダーの場合) に提出します。
修正
(必要に応じて) 要件に対応するための修正を新たに加えてから、更新したレポートを提出します。
PCI に関するブログ記事
脆弱性管理プログラムを成功に導くためのベストプラクティス
組織が PCI DSS コンプライアンスを満たすには、今環境内に存在する重大な脆弱性、それらの脆弱性を修正するための対策、そしてそれらの脆弱性に対する今後の対応についてのインサイトが必要です。 このブログでは、脆弱性管理プログラムを維持して PCI の基準を満たす方法を解説します。
クラウドセキュリティ: SANS DevSecOps 調査の 5 つの重要ポイント
今日の組織は、規模の大小にかかわらず、PCI のような複数のセキュリティフレームワークとコンプライアンスフレームワークを管理していますが、ベストプラクティスを使用しているかどうかを把握するには、どうすれば良いのでしょうか。このブログでは、PCI コンプライアンスのプラクティスに対する自信を深める方法についてのインサイトなど、「SANS 2022 DevSecOps 調査」の結果を詳しく考察します。
サイバーハイジーン: 最大のリスク軽減効果を発揮する 5 つの先進戦術
今日の企業のほとんどは、何らかの種類のクレジットまたはデビットカード決済に応じています。 そのような企業であれば、おそらく PCI DSS に準拠する必要がありますが、 そうした決済のデータを保護していなければ、顧客ならびに自社業務をリスクにさらすことになります。 このサイバーハイジーンシリーズのブログでは、ネットワークの包括的な可視性を確保する方法を概説します。
PCI オンデマンド
Microsoft Azure クラウドデプロイメントをコードからランタイムまで効果的に保護
設定ミスなどのエラーは、PCI コンプライアンスに影響する可能性があります。 そのため、セキュリティ脆弱性を特定して最初に対処する必要があるものを優先順位付けし、クラウドセキュリティのリスクを効果的に分析して修正できるよう、クラウド環境を包括的に可視化することが重要です。
このウェビナーでは、以下について詳しく説明します。
- ユーザー管理やクラウドリソースなどの Microsoft Azure のセキュリティに関する主な考慮事項
- Azure デプロイメントをランタイムからポリシーまで効果的に保護する方法
- 組織の Azure の攻撃経路を特定、評価、防御する方法
クラウド環境で PCI DSS を確実に満たす
システムやアプリケーションをクラウドに移行する組織が増加する中、PCI SSC は PCI DSS のガイダンスの一部としてクラウドコンピューティングに関するコントロールと考慮事項を含めました。 作業場所がプライベート、コミュニティ、パブリック、ハイブリッドのクラウド環境のいずれであっても、Tenable One なら、PCI DSS コンプライアンスの基準を満たしながら、顧客の決済カードのデータを確実に保護するのに必要とされる包括的な可視性を得られます。
範囲を評価
PCI DSS コンプライアンスの一部として、組織はシステムとネットワークの範囲を把握する必要があります。 多くの組織はすべての資産を可視化していないため、その点で頭を悩ませていますが、 Tenable One を使用すれば、サーバー、ウェブアプリケーション、ネットワークデバイス、データベースなどの範囲内の資産のすべてを検出できます。
自信を持って文書化
適切なドキュメントの作成と提出は、PCI DSS コンプライアンスを達成するプロセスの一部です。 今もなお、スプレッドシートやその他の GRC ツールを使用して手動でそのデータを追跡しているのであれば、時間がかかるうえに重要な情報を見落とす可能性があります。 Tenable One は、標準装備のレポートテンプレートとスキャンテンプレートで文書化を容易にします。
脆弱性を検出して優先順位付け
決済カードのデータを確実に保護するには、脆弱性がどこにあるのかだけでなく、それ以外のことも把握する必要があります。 また、最初に修正すべき脆弱性を把握できるよう、コンプライアンスに対する潜在的な影響についてのインサイトも必要です。 Tenable One を使用すれば、リスクを評価して、オンプレミスとクラウドのセキュリティの問題を検出、優先順位付け、修正することが可能です。
- Tenable Cloud Security
- Tenable One
営業チームに問い合わせる