PCI SSC(Payment Card Industry Security Standards Council)が主催するPCI SSC Community Meetingが、北米、欧州、アジア太平洋の3地域で開催されました。PCI SSCは、主にクレジットカード情報のセキュリティ基準(PCI DSSなど)を策定・管理する組織です。
本記事では、ユービーセキュアのQSA(Qualified Security Assessor : PCI DSS審査員)が、2025年11月5日(水)~11月6日(木)にタイのバンコクで開催されたAsia-Pacific Community Meetingsに初めて現地参加した際のレポートをお届けします。
PCI SSC Community Meetingの概要
PCI SSC Community Meeting は、PCI DSSをはじめとするPCI SSCのセキュリティ基準や取り組みについて、最新情報を共有し、意見交換を行うことを目的としたイベントです。内容は、基調講演、パネルディスカッション、アジア太平洋地域特有のトピックを含む講演やベンダショーケースで構成されています。
参加者としてはQSA、加盟店、イシュア、アクワイアラ、ペイメントブランド、サービスプロバイダ、セキュリティベンダ等の企業や政府機関となり、アジア太平洋地域での決済セキュリティの最新動向と対策について情報共有が行われました。セッションは約20講演、ベンダブースは約15社が出展していました。また、ベンダショーケース会場ではビュッフェスタイルの食事も提供されており、参加者同士が気軽に交流できる時間も設けられていました。
▲ ベンダショーケース会場の様子
▲ PCI SSC リージョナル・ディレクター(日本&韓国)坪井 淳一氏(中央)との写真
注目テーマ
ここからは、弊社QSAが現地で聴講する中で特に注目した4つのトピックを紹介していきます。
【トピック1】PCI基準のこれまでとこれからについて
まず一つ目に取り上げるのは、PCI SSCの基調講演で語られた「PCI基準のこれまでとこれから」です。
これまで
初期の PCI DSS は、非常にシンプルで、わずか17ページ程度の文書でしたが、それから今日に至るまでに世界中の関係者から寄せられたフィードバックをPCI SSC が取り込み続け、約400ページある現在のPCI DSS v4.0.1へ成長したとPCI SSCは語っております。
これから
決済業界ではトークン決済の活用により、PANそのものを扱わない設計が広がりつつあります。トークン化はカード情報の漏洩リスクを低減する手段として注目されており、PCI SSCとしてもトークンのような様々なテクノロジーを許容しつつ、安全性を追求していくとしており、今後もますます拡大していくことが予想されます。
PCI SSCはPCI DSSの今後について、PANの有無に関わらず、顧客の環境に応じたリスクベースの基準に進化していくと述べておりました。現在、PCI DSSを含む17個の決済セキュリティ基準がPCI SSCより公開されておりますが、これらについても以下の図の通り基準の統合や再編により8つのターゲット領域を目指して変化を予定しているとのことです。
※画像内の日本語は、筆者による翻訳です
【トピック2】PCI基準の近代化について
本セッションでは、PCI SSCがどのように基準や関連文書を開発し、公開し、維持していくのかという、運用の裏側の部分について講演がされました。
特に注目したポイントは、今後のPCI DSSの改訂にて文書そのものを AI に読み込ませることができる形式へと作り変えようとしていた点です。現在のPCI DSSは人間が読みやすいフォーマットを意識して作られておりますが、AIがそのまま読み取るには構造が分かりにくく、適切な解釈が難しい点があり、PCI SSCとしても課題として認識しておりました。
そのため、今回の改訂では「XML」「JSON」「HTML」といったマークアップ言語で記載することで、改善を図ろうとしているとのことです。
既に以下の図のタイムラインの通り計画されており、2026年末の公開を目標として準備が進められているとのことです。
【トピック3】AI時代のセキュリティ課題
今回のCommunity Meetingでは、急速に進化する AI がセキュリティにもたらすメリットとデメリットについて、テーマとして多く取り上げられました。
まずはメリットとして、ある講演者は「鍵管理」を例に挙げました。 AIを活用した異常検知において、機械学習モデルに「鍵の正常な使用パターン」を学習させることで、潜在的な誤用や侵害をリアルタイムで特定できるといいます。AIは、人間では気づけない微細な違和感を察知する強力な盾となります。
今回、講演者は鍵管理を例に挙げていましたが、AIの活用はPCI DSS の他の要件にも応用できるのではないかと感じました。
たとえば、要件 10.4.1 が求めるログレビュー、要件 10.7.2 が求めるセキュリティシステムの障害検知、さらには要件 12.9 が求めるインシデントレスポンスなど、いずれも侵害や異常をリアルタイムで検知することが極めて重要です。
その点、AIによる微細な変化の検知や異常兆候の早期発見は、より高度なセキュリティ運用を実現するうえで大きな効果を発揮すると感じました。
一方で、AIの普及は新たなセキュリティリスクも生み出しています。ある講演では、AIを悪用した攻撃の具体例が紹介されました。
- ディープフェイクや音声フィッシング(Vishing)
- AI駆動型マルウェア
- 生体認証スプーフィング(偽装)
- AIによる大量のスパムメール送信
上記のとおり、音声フィッシングでは電話を通じてクレジットカード情報を盗み出す手口が存在します。また、生体認証スプーフィングによって顔認証や指紋認証といった本人認証を偽装し、利用者になりすましてアプリへ不正アクセスを行うといった攻撃も確認されています。AIの活用によって、攻撃の精度とスピードが劇的に変化しているのが現状です。
さらにAI専門家の講演者は、Eコマース決済におけるリスクに警鐘を鳴らしました。例えば、決済時にPAN(カード番号)などの機密情報をAIに入力してしまうと、その情報が学習等を通じて悪用され、「フェイクアイデンティティ(偽の個人情報)」の作成に繋がる恐れがあります。
パネルディスカッションでも、多くのパネラーがAI利用のリスクについて注意を呼び掛けていました。特に、イシュア(カード発行会社)がAIを導入する際、トランザクションやアイデンティティ管理にまでAIが深く関与することへの警戒感も示されました。
AIは素晴らしいテクノロジーですが、企業内外においてそのリスクを正しく理解し、慎重に扱う必要があります。「便利さ」の裏側にあるリスクを常に意識し、経営者・開発者・運用者・外部ベンダ等のサプライチェーンが一体となってAI利用について必要な対策を講じることが、これからのセキュリティの鍵となると強く感じたセッションでした。
【トピック4】モバイル決済に潜む新たなセキュリティ上の課題
急速なデジタルシフトは、同時に新たなセキュリティリスクも生んでいます。講演内では、モバイル特有の脅威として以下のカテゴリが提示されました。
モバイル決済による新たなセキュリティ上のリスク
| リスク カテゴリ |
具体的なリスク | 具体的な脅威 |
|---|---|---|
| デバイス リスク |
紛失、盗難 | 端末の物理的なアクセスによる不正利用 |
| マルウェア | デバイスに潜伏する悪意のあるソフトウェアによる情報窃取や不正操作 | |
| 脆弱なデバイスセキュリティ | 不十分な設定や古いOSによるセキュリティホール | |
| ソフトウェアとハードウェアのリスク | 公衆Wi-Fiの脆弱性 | 暗号化されていないネットワーク上での通信傍受 |
| アプリ固有の脆弱性 | 決済アプリ自体の設計ミスやバグを利用した攻撃 | |
| フィッシング、ソーシャルエンジニアリング | 偽サイトや偽情報を用いてユーザを騙し、機密情報を抜き取る | |
| ユーザの行動リスク | アプリのサイドローディング | 公式ストア以外からのアプリインストールによるマルウェア感染 |
| セキュリティ警告やアップデートの無視 | 既知の脆弱性を放置 | |
| 脆弱なパスワード使用 | 推測されやすいパスワードによる不正アクセス |
これらの課題に対し、講演者は「攻撃対象の最小化」といった基本対策の徹底に加え、「セキュリティ・バイ・デザイン」の重要性を強く主張しました。設計段階からセキュリティを組み込み、ユーザ体験を損なわないシームレスな認証技術を実装することこそが、デジタル決済取引における信頼の礎となります。
近年スマートフォンの発展からモバイル決済の発展が著しいですが、モバイル決済の事業者のみならず、モバイル決済を利用する加盟店もこのようなリスクを把握したうえで事業を推進すべきと感じました。
開催地タイ・バンコク市内の決済事情について
PCI SSC Asia-Pacific Community Meetingsの開催地であるタイ・バンコクを訪れると、都市部を中心にキャッシュレス決済が想像以上に浸透している実態を目の当たりにします。
観光客が多く訪れる高級デパートや大型スーパー、ホテルでは、日本と同様にクレジットカードの決済端末が設置されており、スムーズに決済できます。
次に交通機関です。タイの地下鉄に相当するMRT(メトロポリタン・ラピッド・トランジット)では改札でクレジットカードのタッチ決済が日常的に利用されており、チケット購入の列に並ぶ必要がないこの利便性は、既に市民生活に深く根付いています。日本で交通系ICカードを利用するのと左程変わらない感覚で利用できました。
また、小規模な屋台や飲食店においても、タイ独自のQRコード決済(PromptPay連携)が政府の推進により広く普及しています。これは現地の銀行口座と連携しており、国民の生活インフラとして機能している点が印象的でした。
筆者は2020年頃にもバンコクを訪れましたが、当時は地下鉄でのタッチ決済や屋台でのQR決済はほとんど見られませんでした。ところが近年ではキャッシュレス化が一気に進み、その発展を肌で感じることができました。
まとめ
今回のPCI SSC Asia-Pacific Community Meetingsでは、最新の決済セキュリティの動向を把握することができました。
技術の進歩とともに、決済セキュリティを取り巻く環境は変化し続けており、PCI 基準についても継続的なアップデートが行われることが想定されます。今回のイベントに参加し、PCI 基準だけでなく、それを扱う私たち自身も、継続的に知識や考え方をアップデートしていく必要があると感じました。
また、決済環境が複雑化し、AIによる利便性とリスクが共存する今、企業にはこれまで以上に高度で多角的なセキュリティ対策が求められていると強く感じました。
ユービーセキュアでは、QSAとしての知見を活かしたPCI DSS準拠支援はもちろんのこと、決済ビジネスやPCI DSS対策を進めるうえでAIを利用する際のリスク分析等、幅広く対応しております。
自社での対応に不安や課題を感じていらっしゃる方は、ぜひお気軽にご相談ください。
この記事を書いた人
加川 拓也
2023年からユービーセキュアにジョイン。現在はセキュリティコンサルタントとして主にPCI DSS準拠支援コンサルティングの業務に従事しています。いつでも気軽に相談できる身近なセキュリティコンサルタントとなるべく日々勉強中です!
藤澤 優志
2023年からユービーセキュアにジョイン。現在はセキュリティコンサルタントとしてPCI DSS準拠支援コンサルティングやリスクアセスメント支援の業務に従事。趣味はサッカー観戦。
