PCI DSS徹底解説Prioritized Approachの活用

PCIセキュリティスタンダードカウンシル(以下、SSC)では、2009年3月31に"Prioritized Approach for PCI DSS 1.2"と称した文書とツールを公開しました。
https://www.pcisecuritystandards.org/education/prioritized.shtml

※上記リンク先では2つのファイルがダウンロード可能となっています。

　①Prioritized Approach for PCI DSS 1.2 (PDFファイル、英語)

　②Prioritized Approach for PCI DSS 1.2 (XLSファイル、英語)

この文書では、PCI DSSの12要件を6つの"Milestone"に分類し、リスクを早期に排除するためのアプローチ方法が示されています。今回はこの文書における考え方、と注意点、また、活用方法を説明します。

Prioritized Approachとは、PCI DSS12要件の優先順位付けを行うための参考資料です。注意しなければならないのは、これはあくまで優先順位を示すだけのものであり、対応すべき要件を取捨選択するものではありません。つまり、この文書で示された優先順位の高い要件に対応すれば、優先順位の低い要件は実施しなくても良いというわけではありません。
優先順位は、6つの"Milestone"に分類されます。それぞれのMilestoneは以下の通りです

Milestone(1)
センシティブ認証データを削除し、データの保持を制限すること

Milestone(2)
境界、内部、無線ネットワークを保護すること

Milestone(3)
ペイメントカードアプリケーションを安全にすること

Milestone(4)
システムへのアクセスを監視し、制御すること

Milestone(5)
保存されたカード会員データを保護すること

Milestone(6)
残りの準拠努力を完了し、すべての制御が実施されていることを確認すること

一方、Milestone1では、以下の要件が分類されています。

• 1.1.2 ワイヤレスネットワークを含む、カード会員データへのすべての接続を示す最新ネットワーク図
• 3.1 保存するカード会員データは最小限に抑える。データの保存と廃棄に関するポリシーを作成する。データ保存ポリシーに従って、保存するデータ量と保存期間を、業務上、法律上、規則上必要な範囲に限定する。
• 3.2 承認後にセンシティブ認証データを保存しない（暗号化されている場合でも）。
• センシティブ認証データには、以降の要件 3.2.1 ～ 3.2.3 で言及されているデータを含む。
• 3.2.1 磁気ストライプのいかなるトラックのいかなる内容も保存しない（カードの裏面、チップ内、その他に存在する）。このデータは、全トラック、トラック、トラック 1、トラック 2、磁気ストライプデータとも呼ばれる。
• 3.2.2 カードを提示しない取引の確認に使用されるカード検証コードまたは値（ペイメントカードの前面または裏面に印字された 3 桁または 4 桁の数字）を保存しない。
• 3.2.3 個人識別番号（PIN）または暗号化された PIN ブロックを保存しない。
• 9.10 次のように、ビジネスまたは法律上の理由で不要になったカード会員データを含む媒体を破棄する。
• 9.10.1 カード会員データを再現できないよう、ハードコピー資料を裁断、焼却、またはパルプ化する。
• 9.10.2 カード会員データを再現できないように、電子媒体上のカード会員データを回復不能にする。
• 12.1.1 すべての PCI DSS 要件に対応する。

Milestone1の目的として「センシティブ認証データを削除し、データの保持を制限すること」とある通り、CVV2/CVC2/CID、完全な磁気ストライプデータ、PINまたはPINブロックなどのセンシティブ認証データの非保持を達成するための要件が分類されています。つまり、カード会員データを扱う企業のもつリスクを排除するために最も優先すべきことはセンシティブ認証データを持たないようにすることである、という考え方が読み取れます。

このように、Milestone(1)～(6)では、リスクの高い順に要件が再整理されているため、同じ「完全準拠」を目指すとしても、より早い段階でリスクを排除するアプローチをとることができます。

Prioritized ApproachツールはExcelシートとなっており、3つのシートからなっています。それぞれのシートの説明をしたいと思います。ここでは便宜上、日本語版を使用しますが、PCI SSCから公開されているものではありませんので、PCI SSCからダウンロードできる英語版の内容と読み替えていただくか、個別にお問い合わせください。

シート(1) 使い方
使い方のシートには、このExcelシートの使用方法が記載してあります。このツールの使い方の流れの概要が記載されていますので、このシートでおおよその使い方がわかります。ここで示されたステップに従って作業を進めます。

まず、ステップ1に示された通り、Excelの設定を変更する必要があります。

• 

次に、ステップ2およびステップ3を実施しますが、ここではこれから実施するマイルストーンをフィルタ機能で選択します。優先アプローチマイルストーンのシートを開き、マイルストーンのセルの「▼」をクリックし、実施するマイルストーンを選択してください。

マイルストーンを選択したら、それぞれの要件の「状況」セルに「Yes」もしくは「No」を入力します。対策済項目にはYes、未対策項目にはNoを入力します。特にNoの項目については現在どのような状況か、また、対応はいつ頃までに行うのか、対応者なども記入しておくと、後程役に立つはずです。また、Yesの場合も、参照するドキュメントや担当者を記入しておくことで、再確認する際にも非常に役に立ちます。

上記手順を実施した後、「優先アプローチサマリ」シートを確認することで、各マイルストーンおよび全体における「完了率」を確認することができます。

 

優先アプローチサマリは、あくまでPCI DSSに準拠しようとする組織が高いリスクを優先的に排除するためのツールです。加盟店やサービスプロバイダにおけるサービスレベルの定義や、バリデーション手続き（準拠証明に何が必要かがブランド毎に定められた手続き）に従って対応、報告をしなければなりませんが、自主的な診断であるとはいえ、どのように対応が進んでいるのか内部で情報を共有するためにも、経営層に報告するためにも、後々審査を行うQSAに確認してもらうためにも使えるでしょう。

また、今のところこの証明書を使用した正式なバリデーション手続きについてはまだ聞いたことがありませんが、今後、このようなツールが使用されるケースもあるかもしれません。テスト手順までは細かく記載されていない、全体の概要を把握するためのツールですので、うまく活用し、リスクの早期排除とPCI DSS対応状況の把握と情報共有のために活用していただくことをお勧めします。