プロフィール


ミアミン
ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。

藤澤 優志
2023年からユービーセキュアにジョイン。現在はセキュリティコンサルタントとしてPCI DSS準拠支援コンサルティングやリスクアセスメント支援の業務に従事。趣味はサッカー観戦。
ネットショッピング、本当に安全?カード情報が守られる仕組みを学ぼう
キャッ!キャッ!藤澤さん、大変ですミア!今ネットでお買い物しようとしていたら、「カード情報○万件流出!」っていうニュースが流れてきたミア……ミアのカード情報は大丈夫ミア?
藤澤さん
こんにちは、ミアミン。カード情報の不正利用に関するニュースは絶えませんね。でも過度な心配は不要です。クレジットカードを取り扱う事業者は、厳しいルールのもとでセキュリティ対策を行うことが義務付けられているんですよ。今日はその中心となっている国際ルール「PCI DSS(ピーシーアイ・ディーエスエス)」についてお話ししますね。私はQSAという「PCI DSSへの準拠状況を審査する有資格者」として、日々事業者を支援しています。
お、QSAさんの登場ミア!心強いミア。よろしくお願いしますミア!
1. PCI DSSってどんなルール?誰が守るの?
藤澤さん
PCI DSSは、クレジットカードの情報を取り扱う事業者が守らなければならない国際的なセキュリティのルールです。VISAやMastercardといった国際ブランドが設立した団体「PCI SSC」が策定しました。「ウイルス対策ソフトを導入しましょう」「ユーザーアカウントの権限を必要な人にだけ与えましょう」といったセキュリティ対策がたくさん含まれていて、その数は約260個にもなります。
キャッ!?2、260個ミア!?それを全部……?
藤澤さん
そうです。PCI DSSに準拠するためには、これらすべての対策をクリアする必要があります。守るのはカード情報を取り扱うすべての会社で、大きく分けると2種類です。
ひとつは「加盟店」。クレジットカードで買い物ができるお店やネットショッピングサイトの事業者ですね。もうひとつが「サービスプロバイダ」。加盟店と契約し決済処理や精算を担う「アクワイアラ」、決済処理を技術的に代行する「決済代行会社(PSP)」、カードを発行する「イシュア」など、他の会社の代わりにカード情報を処理・保存・伝送する事業者のことです。
カードでお買い物するときって、お店だけじゃなくていろんな会社が裏で動いているミアね……。
藤澤さん
そうなんです。実は審査の現場でも、「うちはカード情報を保存していないから関係ないですよね?」と思っている事業者は少なくありません。でも、カード情報をシステムに入力したり、ネットワーク経路を通過させているだけでも対象になります。「うちは関係ない」という思い込みは要注意なんですよ。
2. なぜ今、PCI DSSが特に重要なの?
最近こういうお話を聞く機会が増えたミア。何か理由があるミア?
藤澤さん
理由は大きく2つあります。ひとつは、サイバー攻撃の手口が日々巧妙になっていること。フィッシングをはじめ、事業者や消費者を狙う被害が増加傾向にあります。だからこそPCI DSSも、最新版であるv4で、フィッシング対策機能を要求する要件や、セキュリティ教育にフィッシング攻撃の内容を盛り込む要件が追加されました。脅威の進化に合わせてルールもアップデートされているんです。
ルールも進化しているミア!
藤澤さん
もうひとつは、法律と国のガイドラインです。2018年に施行された「改正割賦販売法」によって、カード情報を取り扱う事業者にはカード情報の適切な管理が義務付けられました。実務上の指針となる「クレジットカード・セキュリティガイドライン」では、PCI DSSへの準拠か、加盟店内でカード情報を持たない「非保持化」が必須となっています。
法律でも決まっているミア!
藤澤さん
そして、QSAとして審査をしていて、事業者がv4で特に苦労しているなと感じるポイントが2つあります。ひとつは多要素認証の対象範囲が広がったこと。v3.2.1までは管理者やリモートアクセスに限定されていましたが、v4からは社内ネットワーク経由でシステムにアクセスする業務担当者にも多要素認証が求められるようになりました。もうひとつはログレビューの自動化。これまで手動でログ確認していた事業者は、システムによる自動検知・分析を前提とした運用への見直しが必要です。
対応する側もどんどん大変になっていくミア……。
3. カード情報はどうやって守られているの?
ところでQSAって、具体的に何をしているミア?
藤澤さん
事業者がPCI DSSに準拠していることを審査する立場です。準拠までの流れは、ざっくり次のとおりです。
- スコープ(範囲)の確定:どのシステム・どのネットワークが対象なのかを明確にする
- 現状の洗い出し:12要件のうち、何ができていて、何が未対応かを確認する
- 対策の実施:未対応の事項に必要な対策を行う
- QSAによる審査:文書による机上確認と現地訪問での目視確認を実施。併せて机上確認で生じた不明点や不足点についてはインタビューを実施。
- 審査レポートの発行:審査で必要な要件を満たした運用やシステム設計がされていることが確認でき次第、審査レポートが発行され、準拠完了となります。
書類だけじゃなくて、ちゃんと現地まで見に行くミアね!
藤澤さん
はい。机上で確認することが難しい物理セキュリティ等は、現地で目視確認します。
藤澤さん
そして審査をしていると、事業者がやりがちな運用ミスにもよく遭遇します。
ひとつ目は、スコープの間違い。直接カード情報を処理しないサーバを「スコープ対象外」と整理されている事業者がいますが、同じネットワーク内にあればスコープに含まれることがあるんです。もうひとつは、要件を満たしている「つもり」になっている運用。例えばパスワード運用について、規定はしっかり要件を満たしているのに、社内への継続的なアナウンスがされておらず、運用が形骸化しているケースですね。
ルールを決めることと、ルールが守られていることは別問題ミア!
藤澤さん
そのとおり。だからこそ、文書と実運用の両面から十分準備を整えて審査に臨むことが大切なんです。
4. ユービーセキュアの「QSA + ASV」だからできること
藤澤さんの会社、ユービーセキュアはQSAだけじゃないんですよね?
藤澤さん
よくご存じですね。ユービーセキュアはQSAに加えて、PCI DSSの要件で必要となる外部脆弱性スキャンを実施できるASV(認定スキャニングベンダー)の認定も保有しているんです。お客様のカード情報の取り扱い状況に応じて、ASVスキャンのご提案から、診断対象の洗い出し、診断結果の共有、指摘事項への対策方針の合意まで、一気通貫で支援できます。
コンサルから審査、診断まで、ぜんぶ同じ会社でできるミアね!
藤澤さん
そうです。さらにセキュリティベンダーとして、内部脆弱性スキャンやペネトレーションテストといったPCI DSSで要求される各種診断サービスもご提案できます。準拠に向けたご相談から完了まで、窓口がひとつで済むのは大きなメリットになると思っています。
5. まとめ:安心してカードを使うために
今日はたくさん教えてもらったミア!PCI DSSは、ミアたち消費者が安心してクレジットカードを使えるための土台になっているミアね。
藤澤さん
そのとおりです。PCI DSSは、消費者が安心してクレジットカード決済を利用できる環境を確保するために、事業者が遵守すべきセキュリティ基準です。脅威や不正手口の進化に対応するため、内容は継続的に見直し・更新されています。各事業者は利用者の目に触れない部分でカード情報の保護に取り組んでいて、私たちQSAも、安全なカードセキュリティ体制の構築を支援するため、適切かつ厳正な審査を実施しています。
キャッ!ニュースを見ておびえていた自分が恥ずかしくなってきたミア。これからは安心してお買い物できるミア!
藤澤さん
もしPCI DSSについてより詳しく知りたい方や、PCI DSS準拠を検討・計画されている方は、お気軽にご相談くださいね。
今日はありがとミア★これからもセキュリティの勉強、がんばるミア!
もっと詳しく知りたい方はこちら
