PCI DSS、一番身近で一番深刻なセキュリティ問題 (2) 「PCI DSS Ver1.1 の代表的な変更ポイント」

取材・文：SCAN編集部

PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカードのカード情報を格納・処理・伝送するすべてのメンバー機関、加盟店、サービスプロバイダを対象に、VISA、MasterCard、JCB、AmericanExpress、Discoverの5大国際カードブランドが策定したセキュリティ基準だ。

PCI DSSでは「安全なネットワークの構築・維持」「カード会員情報の保護」「脆弱性管理プログラムの整備」「強固なアクセス制御手法の導入」「定期的なネットワークの監視およびテスト」「セキュリティポリシーの整備」に関し12項目について要件を定める。たとえば加盟店は、クレジットカードの決済の規模や件数に応じて段階的に、システム脆弱性スキャンや、Webからの自己診断、訪問による実地検査などを受け、合格証が発行される。VISAブランドの場合、200万店といわれるVISAカードを使う加盟店全てが対象となると言われている。

クレジットカードは最も身近でクリティカルなセキュリティ問題だが、韓国などと比較して、3D Secureの導入すらまだまだ遅れている日本国内のクレジットカードのセキュリティ事情で、PCI DSSの普及活動にどのように取り組んでいくのか。ビザ・インターナショナル日本地区リスクマネージメントディレクター井原亮二氏に聞いた。

──

＞＞　クレジットカードの安全を普及させる課題

SCAN：
今後、日本でPCI DSSを普及させていく課題は何でしょう。

井原：
ビザ・インターナショナルが大手加盟店、情報処理会社を対象に実施した調査によれば、日本国内でのPCI DSSの認知度は70％と調査対象となった11カ国中2番目に高い認知度を示していますが、実際に利用している率は43％にとどまっています。

今後の日本におけるPCI DSS普及の課題として、「認知度の一層の向上」「利用度の向上」「情報セキュリティの新しい常識の創造」が挙げられます。

これまで認知度の向上のためには、セミナーやワークショップなどによる各種広報活動や、2006年11月にMasterCard、VISA、JCBの3ブランドが合同で開催した「ペイメントカード情報セキュリティフォーラム2006」のようなイベントを開催してきました。

また、利用度の向上を図るためには、利用者にとってインセンティブとなる、PCI DSSを利用する目に見えるメリットの開発が欠かせないものとなるでしょう。

「情報セキュリティの新しい常識の創造」とは…

(本稿は2007年2月16日、NTTデータ・セキュリティ株式会社が開催したセミナーで、ビザ・インターナショナル日本地区リスクマネージメントディレクター井原亮二氏が行った講演と追加取材を元に構成した)

【取材・文：SCAN編集部】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm