【レポート】クレジットカードの国際セキュリティ標準PCI DSSの全体像とソリューションを一堂に紹介

PCI DSSによる顧客データ保護と安全な取引の実現に貢献

MasterCard Worldwide セキュリティーリスクサービス 　 日本/韓国担当 ビジネス・リーダー 荒川 明良氏

　基調講演に立ったマスターカードワールドワイド ジャパンオフィス セキュリティー・リスクマネジメント 日本／韓国／グァム ビジネスリーダー荒川明良氏は、「クレジットカード不正使用の国内での発生状況は、ピークの2000年当時に300億円を超えた被害額が、2007年には100億円を下回りました。これは、ICカードの普及が偽造カードを駆逐した成果によるところが大きいといえます。しかし被害額全体の中で、非対面取引（CNP）の比率はむしろ確実に増えてきています。今後はここにフォーカスした取り組みが重要視されてくるでしょう」と指摘する。

　CNPとは、取引時にカードが対面で提示されない取引をさす。インターネットのオンラインショッピングなどの拡がりにあわせて、CNPでの被害が増えているというのだ。

　「グローバルでの取引が拡がる中で、たとえばアメリカと日本のクレジット加盟店のセキュリティ対策に格差があっては、大切な顧客情報を確実に守れません。そこで国際ペイメントブランド5社が共同で国際標準のデータセキュリティ基準を作ろうということになり、PCI DSSが生まれました」。

　荒川氏はPCI DSSを遵守することで、クレジットカード業界以外のITを利用する業界にも大きなメリットが期待できると強調する。

　「PCI DSSのもっとも大きな特徴は、クレジットカードのセキュリティ保護に必要な達成項目と、その実現に必要な手順をきわめて詳細かつ具体的に示している点にあります。具体的には、顧客データを扱うシステムを適切に管理するための6つの『コントロールの目的』と、その実践に必要なネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメントなどの基準として『12の要件』が決められています。さらにこの要件はシステムの実装レベルにいたる約200項目に細分化され、具体的な手順や数値を示しています」。

　クレジットカード加盟店は規模も業態もさまざまであり、セキュリティの専門家を置いているところもけっして多くない。その点でまさにPCI DSSは、「セキュリティ実施の手引き」として有効なのである。

セミナー当日の会場の様子。 クレジット業界注目のPCI DSSというテーマに、 大勢の受講者が耳を傾けた

　「PCI DSSでは、『自己診断』、認定審査機関による『脆弱性セキュリティスキャン』、『訪問調査』という3つの診断の結果にもとづいて自店のセキュリティ体制を改善・整備すればよいようになっています。改善の手法は標準化されており、店によってセキュリティ格差が生ずるリスクもありません」。

　加盟店以外にも、サービスプロバイダなど各関係機関向けに最適化された診断項目が用意され、クレジットカードの使用環境全般にわたるセキュリティが確保できるのもPCI DSSならではのメリットだ。

　「PCI DSSの最新動向としては、2008年2月に自己問診票の細分化が実施されました。また2009年1月からは最新バージョンであるversion1.2が施行されることが決まっています。今後もクレジットカード加盟店の皆様はもちろん、データセキュリティに関心をもつ多くの方々にPCI DSSを積極的にアピールして、データ保護と安全な取引環境の実現に貢献していきたいと考えています」と荒川氏は語り、基調講演を締めくくった。

シマンテック ビジネス開発統括本部 エヴァンジェリスト 有吉 純氏

　シマンテック ビジネス開発統括本部 エヴァンジェリスト 有吉純氏は、「シマンテックはすでに米国でPCI DSS対応ソリューションを精力的に展開し、認証をとるべきところはほぼ網羅しました。これからは日本での展開に向けて力を注いでいきます」と表明する。

　同社ではPCI DSS向けにさまざまなソリューションを提供しているが、今回のセッションではSEP（Symantec Endpoint Protection）とDLP（Symantec Data Loss Prevention）の2製品をメインに紹介した。

　「アンチウィルスは、やはりエンドポイント単位で行わないと効果がありません。SEPを使って定期的にウィルス／スパイウェア対策ソフトを最新の状態に保つことが重要です。またデータ保護を徹底して行うには、そもそも重要なデータがどこに存在するのかを知らなくてはできません。DLPはカード会員データなどをストレージ、ネットワーク内のあらゆる場所から探し出し、同時にエンドポイントからの不正な流出を検知することで、強固なデータセキュリティを提供します」。

　また有吉氏は、「PCI DSSとひとくちに言うことは簡単ですが、これを実装レベルで徹底しようとすると、ユーザー自身だけでは非常に大変です。当社はDLPなどのツールを活用して、リスクアクセスからシステム構築までをトータルに提供するコンサルティングサービスを用意しています」と紹介。今後のわが国におけるPCI DSSの実践に尽力したいと述べた。

シスコシステムズ システムエンジニアリング シニアシステムエンジニア 松田直彦氏

　シスコシステムズ システムエンジニアリング シニアシステムエンジニア 松田直彦氏は、PCI DSSを実践するにあたって、ネットワーク機器に求められる機能要件を挙げる。

　「まず必要なのはファイアウォールの導入、パスワードなどを出荷時のデフォルトのまま使用しないこと、保存するカード会員データは最小限におさえること、公衆ネットワークでカード会員データを送信する場合は暗号化すること、アンチウィルスツールの利用と定期的な更新など初歩的な項目です」。

　さらに必要なのは、安全性の高いシステムとアプリケーションを開発し、保守することだと松田氏は指摘する。

　「つねにアプリケーションにベンダによる最新のパッチが適用されているかを確認し、あらたにリリースされた追加パッチは必ず1か月以内に適用します。セキュリティ脆弱性の警告サービスなどに加入するといった継続的な取り組みが重要になってきます。カスタマイズしたアプリケーションコードについては、セキュリティ専門の組織の検証を受けることも忘れてはなりません」。

　さらに松田氏は、ユーザー内部の運用体制に関しても規範を設定する必要があると述べ、「コンピュータにアクセスする一人ひとりに個別のIDを付与する、会員データへの物理的アクセスを制限・監視する、ネットワーク資源や会員データへのアクセスログを取り、追跡・監視が行えるようにする、情報セキュリティのポリシーと管理手順を定期的にテストするといったことが必要です。これにはネットワークやハードウェアだけでなく、組織としての包括的な取り組み姿勢が不可欠になります」と強調した。

NEC 第一システムソフトウェア事業部 シニアエキスパート 柴田浩一氏

　最終セッションに臨んだNEC 第一システムソフトウェア事業部 シニアエキスパート 柴田浩一氏は、「PCI DSS準拠のためにまず行うべきは、対策の実施にいたるまでのプロセスを確実に行っていくことです。なかでも大切なのは、最初にどこに何のデータがあるのかを洗い出す現状調査でしょう。加えて、業務プロセスの洗い出しを行います。これらを徹底的に行うことで、どこにどのようなリスクが存在するのかが見えてくれば、具体的にどんな対策を講じていけばよいかが明らかになるのです」と語った。

　このリスク分析にあたっては詳細な自己チェックを行い、出てきたリスクを分野別、対策別に整理して、「PCI DSS準拠のためのセキュリティ対策マップ」にまとめた上で検討を行うことが欠かせない。こうした基本チェックが済んだら、さらに一歩踏み込んだセキュリティ対策を考えたいと柴田氏は言う。

　「PCI DSSそのものはクレジットカードのための標準なので、これをカード以外の自社業務に適用する場合は、PCI DSSがカバーする範囲と自社として必要な範囲のすり合わせが必要です。PCI DSSは非常に細かな手順までを網羅しているため、単純にすべての項目を実行しようとすると、肝心の業務のサービス性や利便性を制限することにもなりかねません。存在するリスクに応じて対策の必要度を見きわめ、『何をどこまで実施すべきか』を決めることが重要です」。

　PCI DSSのメリットを享受し、なおかつ本来の業務を伸ばしていく上でも、「PCI DSSと自社の要件との整合を入念に検討し、実施プランを最適化していくことが求められます。さらにこれをトップダウンとボトムアップの双方から進めていくことが望ましいでしょう」と柴田氏は述べ、PCI DSSのより深い可能性を示唆した。


　当日は、クレジット関連業界におけるセキュリティのキーパーソンが講演を行ったセミナーとあって、大勢の来場者が熱心に受講する様子がうかがわれ、PCI DSSに対する注目度の高さを実感させるものとなった。