PCI DSS 関連用語集（PCI DSS対策研究所）

2要素認証
ユーザが所有しているもの（例：スマートカード、ハードウェア・トークン）、知っているもの（例：パスワード）、ユーザ自身を示すもの(例：指紋や虹彩など）のうち、2種類を使用した認証を指します。PCI DSSでは、リモートアクセスを行うための認証には2要素認証が求められます。（2008/10/20）

3DES(Triple DES)
共通鍵暗号方式のひとつ。Triple DES とも表記されます。DES暗号を3回施すブロック暗号を指します。鍵を2種類使う方式と3種類使う方式がありますが、PCI DSSでは必ずしも3種類の鍵を使う必要はありません。また、PCI DSSでは、3DESを使用する場合、128ビットの鍵長が必要とされていますが、数え方の違いもありますが、実際にはDESで使用される鍵長は64ビットのうちパリティビットを除いた56ビットであるため、56ビット×2＝112ビットの鍵長、つまり2つの鍵を使用する方式で問題ありません。（2008/10/20）

AES
Advanced Encryption Standardの略で、共通鍵暗号方式のひとつです。2001年11月、NISTに承認された、ブロック暗号を指します。アルゴリズムはFIPS PUB 197に示されています。PCI DSSでは、AESを使用する場合、256ビット以上の鍵長が必要とされています。つまり、AESでカード会員情報を暗号化していたとしても、128ビットの鍵長だった場合、対応済みとすることができません。（2008/10/20）

ASV
Approved Scanning Vendorの略です。PCI DSS要件11の中で求められる外部からの脆弱性スキャンは、ASVが実施する必要があります。ASVはPCISSCが認定を行い、ホームページで世界中にあるASVのリストを管理しています。ASVリストは頻繁に更新されます。最新の情報を取得するためには、以下URLを参照してください。https://www.pcisecuritystandards.org/pdfs/asv_report.html　（2008/10/20）

CVC2
MasterCardで導入されている、インターネットなどで決済を行う際に使用される本人確認のための値です。カード会員番号とは異なり、カードの署名欄に印刷されています。また、CVCとは異なり、磁気ストライプデータ内には保管されていません。この値は、PCI DSSではセンシティブ認証データとされ、オーソリゼーション後の保管は禁止されています。（2008/10/20）

CVV2
Visaで導入されている、インターネットなどで決済を行う際に使用される本人確認のための値です。カード会員番号とは異なり、カードの署名欄に印刷されています。また、CVVとは異なり、磁気ストライプデータ内には保管されていません。この値は、PCI DSSではセンシティブ認証データとされ、オーソリゼーション後の保管は禁止されています。（2008/10/20）

CID
American Express、Discoverで導入されている、インターネットなどで決済を行う際に使用される本人確認のための値です。カード会員番号とは異なり、カードの表面に印刷されています。また、CVVとは異なり、磁気ストライプデータ内には保管されていません。この値は、PCI DSSではセンシティブ認証データとされ、オーソリゼーション後の保管は禁止されています。（2008/10/20）

IDS
Intrusion Detection System（侵入検知システム）の略です。ネットワークやシステムにおける侵入の試行に対する警告を識別するのに使われます。セキュリティイベントを生成するセンサー、イベントを監視してアラートを発したりセンサーを制御したりするコンソール、センサーによって生成されたログをデータベースに記録する中央エンジン、で構成されています。PCI DSSでは、IDSの導入および24時間監視、インシデント発生時の体制整備まで求められます。（2008/10/20）

IPS
Intrusion Prevention System（侵入防止システム）の略です。ネットワークやシステムにおける侵入の試行に対する警告を識別するのに使われます。セキュリティイベントを生成するセンサー、イベントを監視してアラートを発したりセンサーを制御たりするコンソール、センサーによって生成されたログをデータベースに記録する中央エンジンで構成されています。IPSは、侵入の試行を遮断する追加のプロセスを持ちます。PCI DSSでは、IDS、IPSはどちらかを導入することを求められています。IPSを導入、運用していれば、IDSを導入する必要はありませんし、その逆も同様です。（2008/10/20）

ISMS
Information Security Management Systemの略です。ISMSを導入することで、情報セキュリティ対策のPDCA運用を効果的に実施することができます。PCI DSSは実装面の要件が明確、詳細である反面、情報セキュリティポリシーの運用周りなどはポイントを絞った要件となっているため、ISMSによる組織に合った情報セキュリティマネジメントシステムを構築、運用し、その中で実装面においてはPCI DSSを活用する、といった相互に補完する形での導入と運用が効果的です。（2008/10/20）

OWASP
Open Web Application Security Projectの略です(http://www.owasp.orgを参照)。OWASPは、WEBアプリケーションのセキュリティを改善するための、世界規模のコミュニティ（プロジェクト）で、セキュリティ対策のための様々な情報やツール、ガイドラインなどをオープンに提供しており、一部の情報は日本語で利用可能です。PCI DSSで言及されているのはOWASP TOP10と呼ばれる、多く見られるWEBアプリケーションの脆弱性のTOP 10に対する対策が求められています。PCI DSSバージョン1.1では、古いOWASP TOP10が参照されていますが、現在OWASPではさらに新しいバージョンのTOP 10が公開されていますので、最新のTOP 10を参照し、対策を施す必要があります。（2008/10/20）

PA-DSS
Payment Application Data Security Standardの略です。PCI DSSは加盟店やサービスプロバイダがカード会員情報を守るためのセキュリティ対策基準であるのに対し、PA-DSSはPOS端末などで使用される決済を行うためのアプリケーションに関するセキュリティ対策の基準です。PA-DSSは2008年10月以降、PCISSCのサイトに認定アプリケーションリストが掲載されます。PA-DSSの認定を受けるためには、PA-QSAによるアプリケーション監査で不適合項目が無いことを証明できなければなりません。（2008/10/20）

PA-QSA
Payment Application Qualified Security Assessorの略です。PA-QSAは、PA-DSSに基づいて決済アプリケーションの監査を行うことができる、PCISSCに認定された企業です。PA-QSAとなるためには、QSAとして認定されており、PCI DSS訪問審査を実施した経験やアプリケーションセキュリティに携わった経験、、また、PA-QSAとしてのトレーニングおよび認定を受けて合格する必要があります。（2008/10/20）

PCI DSS
Payment Card Industry Data Security Standardの略です。クレジットカード業界において、カード会員データを保護するためのセキュリティ対策基準です。国際カードブランドが共同で設立したPCISSCによって策定、運用、管理されています。（2008/10/20）

PCISSC
Payment Card Industry Security Standards Councilの略です。PCI DSSを策定、運用、管理している、国債カードブランドが協同で設立した団体です。PCISSCは、PCI DSSのほかにもPA-DSS、PED(Pin Entry Devices）などのセキュリティ対策基準や、QSA、PA-QSA、ASVなどの認定団体のトレーニング提供や管理なども行っています。PCISSCから発信される情報はホームページ(https://www.pcisecuritystandards.org/)より入手できますが、より詳細な情報を素早く入手するためには、年間費用を支払えば、参加企業となることができます。（2008/10/20）

QSA
Qualified Security Assessorの略です。PCI DSSに基づいて訪問審査を正式に行うことができる、PCISSCに認定されたセキュリティ監査企業です。企業として認定されたうえで、個人が認定される必要があるため、法人に属さない個人が単独で認定されることは不可能です。QSA認定は、1年に1回の更新が必要です。（2008/10/20）

WAF
Web Application Firewallの略です。ファイアウォールには様々なレイヤーで稼動するものがありますが、WAFはOSI階層でいうレイヤー7、アプリケーションレイヤーで稼動し、かつHTTPを解釈して悪意のあるコードを検出、遮断したり、意図しない情報の外部への漏えいを防ぐことが出来ます。PCI DSSでは、要件6の中で言及されており、WAFの導入、もしくはアプリケーションのソースコードレビューのどちらかの導入が求められています。この2つは効果的にリスクを低減するのに役立つ事は変わりませんが、脆弱性や脅威を排除する観点は異なるため、両方を導入しても重複するものではありません。（2008/10/20）

WEP
Wired Equivalent Privacyの略です。伝統的な有線ネットワークの機密性と同等となるよう意図された、不測の盗聴を防ぐためのプロトコルを指します。意図的な盗聴(例えば、暗号分析)に対して、十分なセキュリティを提供しないため、PCI DSSではWEPのみを使用した無線ネットワークは危険なものとみなされるため、WPA/WPA2やMACアドレス制御、鍵の定期的な交換などの追加の対策が求められます。（2008/10/20）

WPA/WPA2
ＷｉＦｉ保護アクセス（WPAおよびWPA2）を指します。無線（WiFi）ネットワークのためのセキュリティプロトコルです。WEPにみられるいくつかの深刻な弱点に対応するために作られたものです。PCI DSSでは、WPA/WPA2について要件4で言及されており、WEPに加えて施さなくてはならない対策の選択肢のうちの1つとなっています。つまり、無線ネットワークでカード会員データを扱う場合、WEP以外にWPA/WPA2、SSL/TLS、IPSecなどを適切に使用する必要があります。（2008/10/20）

アクワイヤラ(アクワイアラ)
クレジットカードを受け付ける加盟店と契約している会社を指します。つまり、店舗でクレジットカード決済を行うためには、アクワイヤラとの加盟店契約を行う必要があります。（2008/10/20）

イシュア
クレジットカードを発行している会社を指します。（2008/10/20）

一方向ハッシュ
元に戻すことができない方法で、データをスクランブルする方法を指します。PCI DSSにおいては、一方向ハッシュのアルゴリズムにはSHA-1やMD5などの使用が求められています。（2008/10/20）

オーソリゼーション
クレジットカードにおいては、そのクレジットカードで決済が可能かどうかを、加盟店からカード会員の情報を送信してチェックし、その結果（OK/NG)が加盟店に戻るまでのプロセスを指します。PCI DSSでは、PINやCVV2などのセンシティブ認証データはオーソリゼーション後には不要となるはずであるため、保管が禁止されています。たとえ暗号化されていても、オーソリゼーション後にセンシティブ認証データは保管できません。（2008/10/20）

オンサイトレビュー
QSAが加盟店やサービスプロバイダへ出向き、約200項目の詳細項目、つまりPCI DSSセキュリティ審査手順に基づいて、インタビュー、文書調査、観察、設定確認などでPCI DSSへの遵守状況を確認します。オンサイトレビューの進め方や価格等はPCISSCによって定められているわけではないため、QSAによって異なります。（2008/10/20）

加盟店
店舗でクレジットカードを使用できるようにするため、アクワイヤラと加盟店契約を行った店舗や会社を指します。（2008/10/20）

加盟店レベル
国際ブランドが運用している、AISやSDP、JCB Data Security Program、DSOPの中で、トランザクション数やその組織の形態などによって決定される、加盟店のレベルを指します。加盟店のレベルにより、PCI DSSの遵守状況の確認方法や報告方法が定められています。（2008/10/20）

カード会員データ
カード会員番号、カード会員氏名、有効期限、サービスコードなどの情報を指します。PCI DSSは、これらの情報を保護するためのセキュリティ対策基準です。保管するときは暗号化やマスキング、トランケーション、一方向ハッシュなどで判読不能な状態にしなければなりませんし、業務上必要でなければ保管してはいけません。（2008/10/20）

サービスプロバイダ
カード会員データ、もしくは両方を直接処理、保管、伝送、トランザクションデータやスイッチングを行っているクレジットカードブランドのメンバや加盟店ではない事業体を指します。これは、加盟店やサービスプロバイダ、メンバ企業にサービスを提供している企業も含みます。また、ファイアウォールやIDS、その他を管理するマネージドサービスプロバイダやホスティングプロバイダなどを含みます。電気通信業者など、コミュニケーションリンクのみを提供してアプリケーションレイヤにアクセスしない企業は含まれません。（2008/10/20）

センシティブ認証データ
カード会員データやカード会員を認証するために使われる情報(カード認証コード/値、磁気ストライプデータ全て、PIN、PINブロック）を指します。この情報が漏えいすると、なりすましなどの不正利用が可能になります。PCI DSSでは、センシティブ認証データをオーソリゼーション後に保管することを禁止しています。暗号化などの対策を施しても、オーソリゼーション後に保管することはできません。（2008/10/20）

トランケーション
PCI DSSにおいては、カード会員番号などを部分的に削除する手法を指します。一般的に、カード会員番号をトランケートする際は、先頭の12桁が削除され、後ろの4桁が残されます。（2008/10/20）

ファイアウォール
信頼できないネットワークからの侵入者に対して、ネットワーク資源を守るためのハードウェア、ソフトウェア、もしくはその両方を指します。イントラネットをもつ企業で、従業員のインターネットへのアクセスを許可している場合、部外者が内部の機密データ資源にアクセスすることを防ぐため、ファイアウォールを持つことは必須です。様々なレイヤーで稼動するファイアウォールがありますが、最も多く使用されているのはパケットフィルタリングファイアウォールです。（2008/10/20）

ブランド
クレジットカードのブランドとは、世界中でクレジットカードが使用できる仕組み、基盤を提供している会社を指します。日本では、VISA、MasterCard、JCB、American Express、Dinersが知られていますが、PCISSCを設立した5社、というのはVISA、MasterCard、JCB、American Express、Discoverの5社です。カードブランドは、加盟店を開拓するアクワイヤラに対するブランド付与の権利、カード利用者に対してカードを発行するイシュアに対してのカード発行の権利の管理もしています。カードブランドによっては、カード発行や加盟店開拓も自身で行っています。（2008/10/20）

ペネトレーションテスト
攻撃側が悪用する可能性のある脆弱性を発見し、侵入の可否と被害範囲を特定する為の、コンピュータシステムまたはネットワークへのセキュリティ検査を指します。検査では、脆弱性の識別のみならず、実際のシステムへの侵入の試みが含まれます。検査の目的として、脆弱性の発見とセキュリティに関する改善案の提案などが挙げられます。（2008/10/20）

マスキング
PCI DSSにおいては、クレジットカード番号を、「*」などで置き換えて元の番号を隠す方法を指します。（2008/10/20）

（川島祐樹）

筆者略歴：NTTデータ先端技術株式会社　セキュリティ事業部　PCI推進グループ／ CISSP、QSA、PA-QSA