QSA監査基準からPCI DSSの原則を見る

　PCI DSSには、PCI DSSへの準拠性について監査し、証明するためのQSA（Qualified Security Assessor：認定監査機関）という仕組みが用意されている。QSAとは、企業とその企業に従業員の双方が、PCI DSSに準拠していることを認定された機関となる。

　PCI DSSがセキュリティに関する実装基準であり、要求事項が具体的に示されていることは何度か述べたが、実は、PCI DSSをより正確に理解しようとするならQSA監査基準を理解する必要がある。なぜならば監査基準には、より具体的な例が記述されているからだ。

　たとえばPCI DSSの要求事項9.1では、「9.10.1 カード会員データを再現できないよう、ハードコピー資料を裁断、焼却、またはパルプ化する。」と定められており、不要になったカード会員データを含む媒体を破棄することを求めている。

　この要求事項に対してQSA監査として実施すべきテスト手順には「9.10.1.a ハードコピー資料が、再現できないことを合理的に保証するように、クロスカット裁断、焼却、またはパルプ化されていることを確認する」と記述されており、「裁断」が「クロスカット裁断」でなければならないことがわかる。一見非常に細かいようだが、クロスカットではなく、いわゆるスパゲティカットで裁断してしまった場合、裁断片をイメージリーダーで読み取り、自動的に裁断片を元通りに配列して修復してしまうツールが出回っていることに配慮した結果である。

　こうしたテスト手順の理解が要求事項の正確な理解につながるとの判断から、2008年10月1日から適用が開始されたPCI DSSの新バージョン1.2からは、要求事項とテスト手順が並列に記載されている。

　このように、PCI DSSをQSA監査の視点で捉えるとセキュリティに対する「原則」がさらに見えてくるのである。