この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
クレジットカードを取り扱っているなら、知っておきたいのがPCI DSSです。PCI DSSはクレジットカード情報に関するセキュリティ基準です。
「クレジットカード情報を取り扱っているのでPCI DSSに関する知識を深めたい」
「セキュリティを強固にするためにPCI DSSの基礎知識や要件について学びたい」
このような方に向けて、本記事ではPCI DSSの概要や準拠のメリット、認証取得の方法をわかりやすく解説します。
PCI DSSとは何か?
PCI DSSとは、クレジットカード情報に関する国際的なセキュリティ基準です。Payment Card Industry Data Security Standardの頭文字を取ってPCI DSSと呼ばれています。
PCI DSSは国際カードブランドであるAmerican Express、Discover、VISA、MasterCard、JCBの5社によって策定されました。現在はこれらの5社が共同で設立したPCI SSC(PCI=Security Standards Council)がPCI DSSを運用しています。
PCI DSSが設立された背景
もともと、リスク管理はそれぞれの国際カードブランド会社で個別に運用されていました。しかし、加盟店は複数のカードを扱っているのが一般的なため、カード会社ごとに異なるルールに対応しなければならないのが負担です。
また、ネット決済が一般的になり、世界的にクレジットカード被害が増加したため、既存のセキュリティ対策が不十分であることが問題視されることとなったのです。この状況を打破するため、国際カードブランド5社は連携し、PCI DSSを策定しました。
PCI DSS準拠のメリット
PCI DSSに準拠するメリットを解説します。
セキュリティの強化
PCI DSSに準拠することで、ハッカーなどさまざまな不正アクセスからサイトを守ることができます。なぜなら、PCI DSSは世界各国のセキュリティ専門家が策定したものだからです。
セキュリティポリシーが詳細に記載されているので、どのような対策を実施すべきか迷うことがなくなります。PCI DSSに準拠することで、企業はセキュリティリスクを軽減できるため、事業を継続させるためには欠かせない取り組みといえます。
信頼性の向上
PCI DSSに準拠することは最新のセキュリティ基準を守っていることになるため、顧客から信頼を得ることができます。それによって企業価値を向上させることが可能です。顧客は、個人情報や支払い情報などが保護されていることを求めています。
実際、クレジットカードで買い物をする際、業界共通の最新のセキュリティ基準に準拠した企業のほうが幅広く被害に対応できそうで安心感があるでしょう。顧客が安心して取引できる環境を整えることで信頼性が向上し、売上にも繋がるのです。
PCI DSSの対象となる事業者
PCI DSSに準拠しなければならない事業者は以下の通りです。
- カード発行会社(イシュアー)
- カード加盟店契約会社(アクワイアラー)
- カード情報を管理・伝送するカード加盟店
- 決済代行など行うサービス・プロバイダー
業界別に具体例を挙げます。
業界 | 企業 |
金融業 | クレジットカード会社、クレジットカード発行金融機関 |
流通業 | 百貨店、スーパー、鉄道、航空会社 |
通信業 | 携帯電話会社、通信会社、 |
製造業 | 石油会社 |
カードの取引量がPCI DSSの基準に達していなかったとしても、各カード会社が策定しているセキュリティ基準を満たすことが求められます。
PCI DSSで定められている6つの目標と12の要件
PCI DSSには6つの目標と12の要件が規定されています。ここで大事なのがPCI DSSに準拠する範囲を明確にすることです。
範囲を設定しないと、ネットワーク全体が評価の対象になるので注意が必要です。その場合、人件費やシステムへの投資など、コストが増大してしまいます。評価対象を明確にすることで保護が必要な箇所が特定されるので、効率的に対応していくことが可能です。
PCI DSSで定められている6つの目標と12の要件は以下の通りです。
|
目標 |
要件 |
|
1.安全なネットワークとシステムの構築と維持 |
1.ファイアウォールなどのセキュリティ対策を行いカード会員情報を保護する 2.システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
|
2.アカウントデータの保護 |
3.暗号化やマスキング、ハッシュなどによってカード会員情報を保護する 4.公衆ネットワークでデータを送信する際、強力な暗号化技術でデータの機密性や完全性、非否認性を確実に保持する |
|
3.脆弱性管理プログラムの維持 |
5.マルウェアなどの悪意のあるソフトウェアからシステムとネットワークを保護する 6.システムの構成要素すべてに対して、脆弱性を修正するセキュリティパッチを適用することで、安全なシステムを維持する |
|
4.強力なアクセス制御の実施 |
7.許可された者だけが重要なデータにアクセスできるように業務上必要な適用範囲(Need to Know)に基づいて、アクセスを制限する 8.パスワードや生体認証、多要素認証などを活用して、ユーザーを識別してアクセス認証を行う 9.カード会員データを保護するため、物理的なアクセスを制限する |
|
5.ネットワークの定期的な監視とテスト |
10.カード会員データに対するあらゆるアクセスをログに記録・監視することで情報漏洩リスクを抑える 11.システムとネットワークのセキュリティを定期的にテストすることで、サイバー攻撃に対応する |
|
6.情報セキュリティポリシーの維持 |
12.すべてのセキュリティ担当者に、情報セキュリティのポリシーを浸透させる |
PCI DSS準拠の流れ
次に、PCI DSSに準拠する流れを解説します。
1. PCI DSSに準拠する対象範囲を確定する
まずはどの範囲でカード会員情報を取り扱うのかを明確にし、PCI DSSに準拠する対象範囲を確定します。対象範囲の大小によって、必要となる人材や投資が大きく異なってくるので非常に重要な項目です。
2. 現状分析を行う
現在のシステムや運用方法を確認して、PCI DSSで求められる要件とのギャップを把握します。後から改善点が出てくると二度手間になるので、厳しくチェックしましょう。
3. 改善策を立案する
分析結果をもとに、現在のギャップを埋めるための改善策を立案します。改善計画書を作成することで、社内でスケジュールや改善点を共有しやすくなるのでおすすめです。
4. システムへ実装する
改善計画にもとづいて、システムへの実装や運用方法の変更を実施します。実装後、PCI DSSの要件を満たしているか確認しましょう。
5. テストを実施する
次に、以下のようなテストを実施することで正しくシステムが運用できているか確認しましょう。PCI DSSが四半期ごとに義務づけているASVスキャンでは、以下のことができます。
- 運用するシステムの脆弱性をスキャンし、セキュリティレベルを報告
- ペネトレーションテスト(模擬ハッキング)
脆弱性への対応ができており、ホワイトハッカーによる模擬ハッキングにも適切に対応できていれば合格といえます。
6. 認証を取得する
PCI DSSの要件を満たしていることが確認できたら認証取得に進みましょう。
PCI DSSの認証を取得する方法
PCI DSSの認証を取得する方法は、3つに分かれます。
3つのうち1つだけ行えばいいというものではなく、カード会員情報の取り扱い量や事業の形態によって、複数の実施が必要です。
種類 | 認証取得方法 | 事業規模 |
自己問診 | アンケートに回答 | 小規模 |
サイトスキャン | スキャンツールで四半期に1度以上の点検 | 中規模 |
訪問審査 | QSA(認定審査機関)による訪問審査 | 大規模 |
それぞれについて詳しくみていきましょう。
自己問診
アンケート形式の問診で、PCI DSSの要求事項に回答します。すべての項目に当てはまれば、PCI DSSに準拠していると認定されます。カード会員情報の取り扱い件数が比較的少ない一般加盟店などが、自己問診の対象です。年に1回行われます。
自己問診の日本語版のダウンロード手順は以下の通りです。
1.PCI SSCの英語版サイトにアクセスします。
2.上段のタグから「Resources」から「Document Library」をクリック。
3.「Filter by:PCI DSS」の矢印をクリックして「SAQ」をクリック。
4. 右側の言語選択タブから「Japanese」を選択して、オレンジ色のアイコンをクリックすればダウンロードできます。
サイトスキャン
PCI国際協議会が認定したベンダーのスキャンツールを用いて、安全性を確認する方法です。四半期に1度以上の点検を受けて、Webサイトが個人情報を外部に漏らしてしまうような脆弱性がないことを認定してもらいます。カード会員情報の取り扱い量が中規模である事業者や、インターネットを活用している事業者が対象です。
認定ベンダーはASV(Approved Scanning Vendor)と呼ばれ、PCI国際協議会のWebサイトで確認することが可能です。
QSA(認定審査機関)による訪問審査
PCI国際協議会が認定した審査機関(QSA:Qualified Security Assessor)による訪問審査で、12要件が準拠されているか審査が行われます。具体的には、セキュリティの状況についての聞き取りや記録文書・機器の確認などです。対象はカード発行会社や大量のカード会員情報を取り扱っている事業者です。
QSAはPCI国際協議会のWebサイトで確認することが可能です。
PCI DSSの認証取得にかかる費用
一般的に、PCI DSSの認証取得にかかる費用は初期費用1,000万円以上かつ月額費用100万円以上とされています。もちろん、事業者の規模やセキュリティ対策のレベルによって異なります。
取得までに要する期間は半年~1年程度です。
自社のリソースのみでPCI DSSを取得するのは費用の面でも時間の面でも非効率といえます。その場合、PCI DSS認証の取得をサポートしてくれる会社に認証取得のコンサルティングを依頼することをおすすめします。
カード会員情報の非保持化
クレジットカードを取り扱う事業者は、PCI DSSに準拠するかカード会員情報を非保持化するかのいずれかを選択しなければなりません。決済サービスや提供企業が多様化したことにより、情報漏洩のリスクが高まっているので、強固なセキュリティ環境が求められているためです。
PCI DSSに準拠するのが難しい場合はカード会員情報を非保持化しましょう。非保持化とはカード会員情報を「保存しない」「処理しない」「通過しない」ことを指します。
具体的には、PCI DSSに準拠した決済システムを利用することによって、カード会員情報の非保持化が可能です。小規模事業者や中規模事業者にとっては、もっとも現実的な方法といえます。
まとめ|PCI DSSに準拠してセキュリティ対策を強化しよう
今回はPCI DSSの概要や準拠するメリット、認証取得までの流れについて解説しました。
クレジットカードは重要な情報を多く含んでいます。顧客が安心してクレジットカードで買い物するためにも強固なセキュリティ環境を整備しなければなりません。
その際、セキュリティの国際基準であるPCI DSSに準拠することで、セキュリティを強化し、顧客の信頼性を向上させることが可能です。
PCI DSSに準拠するのが現実的でない場合、PCI DSSに対応した決済サービスを利用するなどして情報を非保持する必要があります。KOMOJUは、PCI DSSに完全準拠した決済サービスで、世界基準のセキュリティを備えています。ぜひKOMOJUの導入を検討してみてください。
この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
