自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー) | ScanNetSecurity
2024.05.18(土)

自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー)

国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

調査・レポート・白書・ガイドライン ブックレビュー
facebookLINE
国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

PCI DSSは、Visa、MasterCard、JCB、American Express、Discoverの国際カードブランド5社が定めた、ペイメントカード業界のセキュリティ基準だ。国際カードブランドが付与されたカード情報を「処理、伝送、保存」するすべての加盟店、サービスプロバイダが遵守する最低限のルールが定められている。

PCI DSSの準拠で先行する米国では、年間600万件以上の取引があるビザ・ワールドワイド(Visa)のレベル1加盟店で97%の準拠率がある。また、全世界の平均をみても約80%が遵守しているそうだ。しかし、国内においては、米国型のインセンティブを伴う法改正は難しいなどの課題があり、海外の平均からみても加盟店の準拠率は低いと言えるだろう。

2012年までの国内のPCI DSS の準拠企業は、約70社(システム)程度だといわれている。また、そのうち約9割が、決済代行事業者、情報処理センター、カード会社といったサービスプロバイダの準拠となっており、加盟店の準拠は一部のショッピングモールやインターネット・サービス・プロバイダ、保険会社などに留まっている。

楽天の「楽天市場」、ヤフーの「Yahoo!ウォレット」のインターネットショッピングモールは、早い段階から準拠を果たしている。PCI DSSへの対応は、一般的に膨大なコストがかかると言われているが、両社では準拠前から強固なセキュリティ対策を実施しており、他の加盟店に比べコストをかけずに対応を果たしている。NECビッグローブ、ニフティ、メットライフアリコといった企業は、システム規模が大きく、またカード会員情報をセグメントする作業を行ったため、準拠に向けてはそれなりのコストを有した。

また、リアルの大型店舗が準拠するためには、POSの入れ替えなど、膨大なコストが発生するため、準拠のハードルがさらに高くなっている。

従来、国内におけるPCI DSSの推進は、Visaを中心に、各ブランドが個別にアクワイアラを通して加盟店に要請するケースが一般的だったが、2009年以降は、クレジット関係団体、協議会などを中心に、業界挙げての取り組みが活発化している。また、国際ブランドやアクワイアラ(加盟店開拓企業)を中心に「タスクフォースプログラム」を結成し、加盟店に推進する取り組みも行われた。カード会社によっては独自に加盟店に訪問し、PCI DSSの準拠を勧める動きも出てきている。最近では、業界団体が、加盟店などに対し準拠期限を設けて、推進を行っている。

国際ブランドやカード会社によると、大手を中心に加盟店のPCI DSSに対する認知は広がり、取り組む姿勢も前向きになっているそうだ。また、国内の情報漏洩事件の多くは中小零細企業から発生しているため、インターネット決済代行事業者などでは、カード情報を保管しない「非保持化」を行うことで、リスクを回避する方法を中小加盟店に提案している。

PCI DSS普及に向けた最大の課題は、準拠および維持コストの低減であると言われているが、準拠企業によると「国内で展開するQSAが増えたことにより、監査コストは当初より格段に下がっている」という声もある。また、一般財団法人日本情報経済社会推進協会が運営する「ISMS(情報セキュリティマネジメントシステム)」とPCI DSSのブリッジ審査を行うことで、監査の負荷およびコストを軽減することに成功した企業も増えてきた。最近では、カード情報に置き換わる別のID番号(乱数)で情報処理を進める「Tokenization(トークナイゼーション)」方策など、PCI DSSの対象範囲を狭め、情報漏えいのリスクを軽減する手法もクローズアップされている。

今春、株式会社TIプランニングは、ペイメントカード情報を保持する企業のカードセキュリティ強化に向け、書籍「PCI DSSのすべて」を発行した。

PCI DSSのすべて
http://www.paymentnavi.com/book/22183.html

本書では、実際にPCI DSSに準拠した大手加盟店やサービスプロバイダなどの事例を中心に、準拠に向けた対策やコストなど、今後準拠が必要となる企業にとって参考となるような情報を掲載している。また、ヤフーなど、早くから準拠している企業については、準拠後の継続した取り組みについても紹介している。PCI DSSに準拠した多くの企業では、PCI DSSに準拠するのはもちろん、最も大切なのは、「セキュリティレベルを維持・向上」させることであると語っており、継続的な対策に力を入れている。

書籍の構成としては、「PCI DSSを取り巻く背景と関連プレイヤー」、国内で活動するVisa、MasterCard、JCB、American Expressの「国際ブランドの取り組み」、Version2.0に対応した「PCI DSSの12要件概観」、国内において普及に取り組む主要団体の取り組みを紹介した「関連プレイヤーの動向」、カード会員情報非保持やトークナイゼーションをはじめとした「カード会員情報を保護するセキュリティ最新動向」、加盟店、カード会社や情報処理センター、決済代行事業者などのサービスプロバイダの事例といったように、PCI DSSに関連した情報をさまざまな角度からまとめている。

本書の発行が国内におけるPCI DSSの普及の後押しにつながれば幸いである。
(株式会社TIプランニング 代表取締役 池谷貴)

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  5. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  6. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  7. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  8. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  9. DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

    DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

  10. runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)

    runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)

ランキングをもっと見る
ホーム 調査・レポート・白書・ガイドライン ブックレビュー 記事
TOP