セキュリティ対策コラム - ソーシャルガバナンス確立に向けて -クレジットカードのセキュリティ基準【PCI DSS】(第2弾)

前回のコラムクレジットカードのセキュリティ基準【PCI DSS】(第1弾)では、社会基盤的サービスに求められるソーシャルガバナンスという新しい概念を紹介しました。クレジットカード決済サービスは、社会基盤サービスとして安全・安心なサービスが特に求められるものの一つです。このようなクレジットカード業界(PCI)では、サービス提供に関連した全事業者(プレイヤー)を対象としたソーシャルガバナンスが求められてきます。そんな中、ガバナンスを構築するためのキーともなるセキュリティ基準(PCI DSS)が注目されていますので、制度のしくみや基準の内容を中心に説明いたします。

【1】セキュリティ基準の策定

クレジットカード業界におけるセキュリティ基準として、PCI DSS(Payment Card Industry Data Security Standard)と呼ばれる業界の統一基準を国際カード会社5社(American Express、Discover、JCB、MasterCard、VISA)が2004年12月に共同で策定しました。

このセキュリティ基準は、国際ブランドであるVISA, MasterCardのセキュリティ基準を基に策定されたもので、セキュリティマネジメントが中心であったVISAのAIS(Account Information Security、米国ではCISP)と対不正アクセスが中心であったMasterCard のSDP(Site Data Protection)とを統合させたものです。

【2】セキュリティ基準の内容

PCI DSSはクレジットカード情報保護に関する国際基準で、 ネットワークの設定やパスワードの管理、ウイルス感染の防止、データ暗号化等、以下に示しますように12項目を挙げ、カード加盟店や決済代行事業者等が遵守すべき最低限の基準を定めています。

<セキュリティ基準>

  • 安全なネットワークの構築・維持
    要件 1: データを保護するためにファイアウォールを導入し、最適な設定を維持すること
    要件 2: システムまたはソフトウェアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと
  • カード会員情報の保護
    要件 3: 保存されたデータを安全に保護すること
    要件 4: 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること
  • 脆弱性を管理するプログラムの整備
    要件 5: アンチウイルス・ソフトウェアを利用し、定期的にソフトを更新すること
    要件 6: 安全性の高いシステムとアプリケーションを開発し、保守すること
  • 強固なアクセス制御手法の導入 要件 7: データアクセスを業務上の必要範囲内に制限すること
    要件 8: コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
    要件 9: カード会員情報にアクセスする際、物理的なアクセスを制限すること
  • 定期的なネットワークの監視およびテスト
    要件10: ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
    要件11: セキュリティシステムおよび管理手順を定期的にテストすること
  • 情報セキュリティ・ポリシーの整備
    要件12: 情報セキュリティに関するポリシーを整備すること

【3】セキュリティ基準の適用対象と検証方法

カード会員情報を格納、処理、または伝送する全てのメンバー機関、加盟店、サービス・プロバイダに対して適用されます。検証方法(表1)は、自己問診、脆弱性スキャン、 訪問調査(オンサイトレビュー)がありますが、事業者の業種やトランザクション規模等により検証方法(表2)が異なります。

またセキュリティ基準を検証するセキュリティ事業者を認定しており、VISAではQSA(Qualified Security Assessor)と呼び専門技術者による IT セキュリティ監査を提供し、AIS 基準(PCIDSSを実現するためのプログラム)順守を確認することができるサービス提供者としており、MasterCardではNSV(Network Security Vendor)と呼び、スキャニングテストを提供する企業向けのMasterCardの試験に合格した事業者としています。

(表1)PCI基準の検証方法

(表2-1)サービスプロバイダを対象とした検証方法

(表2-2)加盟店を対象とした検証方法

【4】セキュリティ基準の普及状況

既に米国では普及が進んでいるようで、2004年までのVISAの例では、 トップ100e コマース加盟店、トップ50小売等、231レベル1加盟店(*1)、1800レベル2,3加盟店(*2)とういうように急速に拡大しているようです。日本においても大手カード処理事業者や石油元売会社等の大手事業者より拡大が進められているようです。

※1 レベル1の加盟店:年間取引件数600万件以上の加盟店
※2 レベル2、3の加盟店:インターネットで年間取引件数2万件以上の加盟店

【5】高く評価される安全・安心の認定制度

PCIデータ・セキュリティ基準の策定・維持管理・普及を推進するための、独立した監督組織「PCI Security Standards Council」 が本年9月に設立されました。制度・体制等の確立を通じて有効なソーシャルガバナンスを構築・運営し、業界全体でセキュア化を図ろうとするPCI DSSは高く評価されるところです。セキュリティ基準が拡大し、維持されるためには、セキュアレベルが維持される他に、対象事業者へのインセンティブや基準が満足されない場合のペナルティも不可欠であります。また基準が満足されているかを消費者が容易に認知可能にすることも必要なことでしょう。

次回予告

クレジット業界での脅威や対策について、さらに詳しく説明していく予定です。

東京大学
国際・産学共同研究センター
客員教授
林 誠一郎

このページの最上部へ