今話題のPCI DSS:クレジットカード情報のセキュリティとPCI DSSの関係
いま話題のセキュリティ基準「PCI DSS」とは
登場してからおよそ50年、今やショッピング時の一般的な支払い手段として定着したクレジットカード。中でもインターネットの世界では、カード情報を入力するだけで簡単に決済できるため、サービス提供者とユーザの双方から重宝されています。しかし昨今、クレジットカードに関する情報漏えい事件・事故が、しばしばニュースに取り上げられるようになりました。つい最近でも、某大手保険会社から顧客情報が流出し、クレジットカードが不正に使用される事件が起こったのは記憶に新しいところです。
たしかにクレジットカードは便利な存在ですが、その反面、情報が悪意ある第三者の手に渡ってしまうと、持ち主の知らない間に高額な買い物に使われたり、勝手にキャッシングされたりするだけでなく、不正な売買を通じて情報が拡散することで、深刻な被害を引き起こす可能性があります。また、こうした情報の漏えいがひとたび起これば、カード情報を悪用されたユーザが被害を受けるだけでなく、被害者への賠償や緊急対応にかかる費用など、漏えいさせた会社に大規模な損害が発生するおそれがあります。さらに、信用やイメージの失墜という側面から見れば、企業の経営状態、ひいてはその存続にまで大きな影響を及ぼすことも考えられるのです。
そこで2004年12月、サービスプロバイダや加盟店がクレジットカードの会員データを安全に取り扱うことを目的として「PCI DSS(Payment Card Industry Data Security Standards)」が策定されました。
「PCI DSS」とは、American Express、Discover、JCB、MasterCard、VISAの大手国際ブランド5社が共同で設立した「PCI SSC(Payment Card Industry Security Standards Council)」によって運用・管理されており、業界における国際的なクレジット産業向けデータセキュリティ基準のデファクトスタンダードです。
一般的に、セキュリティに関する基準が欧州発であるのに対し、「PCI DSS」は米国生まれです。クレジットカード大国であり、さらには訴訟大国である米国では、その情報の取り扱いについての意識も高く、州によっては罰則付きの法律を制定しているケースが少なくないということが背景にあります。「PCI DSS」も同様で、詳細な12の要件が規定されており、このすべてに準拠することがサービスプロバイダや加盟店に求められています。
準拠の手順については、各カード会社が独自にレベル分けや準拠の期限を設定して進めています。たとえばVISAでは、取引件数のボリュームによってサービスプロバイダを2つのレベルに、加盟店を4つのレベルに分け、それぞれクリアすべき要件を設定しています。具体的には、VISAカードの取引件数が年間600万件を超えるレベル1の加盟店では、QSA(認定セキュリティ評価ベンダ)作成の年次遵守報告書の提出や認定スキャニングベンダ(ASV)による四半期ごとの脆弱性スキャン、遵守証明書といった要件を満たすよう、それぞれ期限を設定しています。仮にこれが守られなかったときは、罰金が課せられることもあります。
日本におけるPCI DSSの現状
このように米国においてはめざましい普及ぶりを見せている「PCI DSS」ですが、現在の日本での状況は、どうなっているのでしょうか?
残念ながら、まだガイドラインとして普及している状況にはないというのが現状です。
我が国でもクレジットカードを利用したオンライン決済はすでに一般化しており、情報漏えいリスクへの対応としてPCI DSSの必要性が訴えられています。しかし、インターネット上のショッピングモールに出店している企業などは、カード会社と直接契約をせずに、別途カード決済の処理を行うサービスや企業を利用していることも少なくありません。
このため、ユーザの視点から見ると自身のクレジットカードの情報がどのように取り扱われ、流通しているか見えづらい、またサービス提供者の視点からは、セキュリティはカード会社あるいは決済代行会社が提供するインフラに大きく依存せざるを得ないというのが現状です。
個人情報保護施行とプライバシーマークの普及により、個人情報に関する重要性は浸透してきました。しかし、ことクレジットカード情報のセキュリティについては、情報漏えい事故が発生した際のブランドの毀損、損害賠償といった大きなリスクを抱えているにもかかわらず、総務省による「改正割賦販売法」など、あくまで周辺法の整備が予定されているにとどまっており、結果として民間が各自の思惑に沿ってバラバラに展開している印象は否めません。
ITセキュリティの観点から見た「PCI DSS」
このように日本では思うように普及が進んでいない「PCI DSS」ですが、情報漏えいに対する危機意識の高い業界が作成した基準だけあって、その内容は非常に的確で、ITセキュリティの観点からも非常に参考になります。ここでは、「PCI DSS」で定義されている12の要件の中から、企業が顧客情報など機密情報を扱う際に役に立つと思われるものをご紹介しますので、ぜひ参考にしてみてください。
「PCI DSS」では12の要件を6つのグループに分けて定義しています。
■「安全なネットワークの構築と維持」
□(要件1)カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
ファイアウォールは、社内とインターネットの境界に設置するもので、主に外部から社内に侵入しようとする攻撃を防ぎます。ファイアウォールを設置していないと、インターネットから社内のネットワークに侵入され、機密情報にアクセスされてしまうおそれがあります。
■「カード会員データの保護」
□(要件4)公衆ネットワーク上でカード会員データを送信するときは暗号化すること
これは、社外の公衆無線LANサービスなどを利用して機密情報を送信する際は、必ず暗号化を行えということです。不特定多数が利用する公衆ネットワークにおいて、暗号化せずに重要なデータを送ってしまうと、内容を第三者に盗み見られる可能性があるからです。
■「脆弱性を管理するプログラムの整備」
□(要件5)アンチウイルス・ソフトウェアを利用し、定期的に更新すること
今ではさすがに企業におけるウイルス対策ソフトの導入率は高くなっていますが、そのすべてが常に最新の状態に保たれているかというと疑問です。たとえウイルス対策ソフトが全てのコンピュータにインストールされていたとしても、最新の状態に更新されていない状態では最新の脅威からの攻撃を防ぐことはできません。特に近年の「Webからの脅威」は、コンピュータの持つぜい弱性など多彩な攻撃方法を駆使する上、ひとたび侵入すると、次々に悪意のあるファイルをインターネットからダウンロードし、ネットワークやUSBメモリなどを経由して感染の拡大を図ります。さらには悪意のある犯罪者から、別の攻撃に悪用されてしまう可能性もあるのです。
□(要件6)
安全性の高いシステムとアプリケーションを開発し、保守すること
ぜい弱性(セキュリティホール)のないシステムやアプリケーションを使用しなさいということです。ぜい弱性を放置しておけば、侵入や攻撃によりシステム上でコードを実行され、機密情報にアクセスされる可能性がありますし、ここ数年多発しているSQLインジェクションやクロスサイト・スクリプティングによる被害も考えられます。これらの攻撃は主にWebアプリケーションを狙うため、ここでのぜい弱性対策は目下の課題といえるでしょう。
■「定期的なネットワークの監視およびテスト」
□(要件10)ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
この要件は、アクセス制限やログ管理を徹底するべしと言い換えることができます。これらの対策が不十分だと、機密データに誰もがアクセスできてしまい、持ち出されてしまう可能性があります。また、万が一そのような事態が発生したとき、原因や経路を特定することができません。ユーザごとに適切なアクセス制限を設定し、ログを管理することは、社員のセキュリティ意識を高めることにもつながります。
以上のように、「PCI DSS」はITセキュリティの観点から見ても効果的な施策といえます。たとえクレジットカードに縁のない会社でも、「PCI DSS」を参考に対策を進めていけば、高度なセキュリティ環境を構築できるのです。
トレンドマイクロでも「PCI DSS」には高い関心を持っており、自社製品が「PCI DSS」に対応できるかどうかの検証を現在進めています。次回の当コラムでは、トレンドマイクロの「PCI DSS」に対する考え方や、各要件に対応する製品についてご紹介する予定です。
