ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2008/08/11 掲載

PCI DSSから学ぶグローバルセキュリティ標準(1)PCI DSSとは何か

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
クレジットカード会員情報を保護するための事実上の国際標準規格で、2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている「PCI DSS:Payment Card Industry Data Security Standard」。本連載では、ビジネスアシュアランス 代表取締役社長で、ネットワンシステムズ セキュリティ事業推進本部本部長をつとめる山崎文明氏に、PCI DSSについて解説いただくとともに、そこから学べる情報セキュリティ対策についての戦略をご紹介いただく。
執筆:山崎 文明
連載一覧

▲ 閉じる ▼ すべて表示

 PCI DSSとは、「Payment Card Industry Data Security Standard」の略で、クレジットカード会員情報を保護するための事実上の国際標準規格である。2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている。一般には、「クレジットカード会社のセキュリティ基準」と理解されているが、PCI DSSは、直接クレジットカードの決済業務に関係しない一般企業でも応用できる実装レベルのセキュリティ対策基準であり、直面している情報セキュリティ対策上の課題解決に大いに役立つものとして、米国でも広く普及を促す動きがある。本稿でPCI DSSを理解するとともに、情報セキュリティ対策への戦略を見直す機会として頂ければ幸いである。

PCI DSSとは何か

 PCI DSSとは、クレジットカード・ブランドをカード会社に供与することをビジネスとする企業(国際カードブランドと呼ばれる)の大手5社(Visa Inc.、MasterCard Worldwide、American Express、Discover Financial Services、JCB International)が共同して作成したクレジットカード会員情報を保護するためのセキュリティ実装対策基準である。元々は、国際カードブランド各社がそれぞれ個別にクレジットカード会員情報を保護するための規格を策定し、運用していたものが、2004年12月に統合され、クレジットカード業界の統一規格としてPCI DSS バージョン1.0として公表されたのが最初である。

 現在は「PCIセキュリティ標準協議会(PCI Security Standards Council:PCI SSC)」が基準の策定、改良、普及、導入支援を実施している。PCI SSCは、2006年9月に設立された団体で、現在、全世界で446社が加盟している。筆者も協議会のメンバーであり、同基準の実効性を確保するための改善提案を行う役目を担っている。米国でもPCI DSSが注目を集めるようになったのは、PCI SSCが設立されてからである。

 筆者は、毎年、春と秋の最低2回は渡米し、CSI SX(旧名:NetSec)をはじめとする情報セキュリティに関するカンファレンスへ参加し、米国における情報セキュリティに関する動向を調査している。CSI SXは、CSI(Computer Security Institute)が主催する情報セキュリティに特化したカンファレンスで、講演者は、大手企業のCISO(Chief Information Security Officer)やセキュリティを専門とするコンサルタントなど、実務家が多いのが特徴である。

 CSI SXで取り上げられる講演テーマは、間違いなく米国における情報セキュリティに関する最新の関心事を示しており、そこで語られるテーマは、米国企業が直面する情報セキュリティ上の重要な問題である。ここでのテーマは、私たち日本人にとっても多少の時間差こそあれ、近い将来必ず対応を迫られる課題を暗示している。PCI DSSがCSI SXでテーマとして最初に取り上げられたのは、2006年6月12日から14日にかけて米国アリゾナ州スコッツデールで開催された時である。

 この年のPCI DSSに関する講演は、おそらくすべてのセッションの中で最も関心が高かったのではないだろうか。講演者は高級な音響機器で有名なBOSEのCISO、質問者はPCI DSSの認証審査を間近に控えたカジュアル衣料のGAPのCISOといった名だたる大手企業であり、その熱心さにただごとではない予感がしたことを記憶している。筆者は、いずれ日本でも対応が迫られるとの確信のもとにPCI DSSに関する情報収集やPCI SSCのゼネラルマネジャーBob Russo氏との意見交換を行ってきた。

PCI DSSは止むことのないカード情報の漏えいの切り札

 PCI DSSが策定された背景には、止むことのないクレジットカード会員情報の漏えいと漏えいしたクレジットカード会員情報が悪用されるクレジットカード犯罪の急増がある。2005年、米国で発覚したカードシステムズソリューション社(本社:アリゾナ州)における4000万件にものぼる大量のクレジットカード会員情報漏えい事件は記憶に新しいだろう。

 クレジットカード会員情報の漏えい事件が頻発すれば国際カードブランドとしての信用が低下するだけでなく、カード利用者のカード再発行コストや損害金の補填費用が増大し、カード会社そのもの死活問題にも発展しかねない。そこで国際カードブランドとしては、自らのブランドを守るためにクレジットカード会員情報を処理するすべての企業にセキュリティ上の要求事項を遵守することを求めているのである。

 クレジットカードの不正利用犯罪にまつわる被害金額は、クレジットカードのICカード化が偽造カードの作成を困難にしたことから、ここ数年ドラスティックに減少している(図1)。

図1 クレジットカード不正使用被害の発生状況
クレジットカード不正使用被害の発生状況
(※クリックで拡大)
出典:(財)日本クレジット産業協会


関連コンテンツ

JALのセキュリティマネジメント「弱点は人」と断言するワケ、3つの具体策も解説

なぜ「闇バイト強盗」対策で「時間稼ぎ」が有効?サイバー視点で防犯対策を考えてみた

東海大・三角教授が「経験」基に徹底解説、生成AIなど「リスクマネジメント」実践手順
関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample