CISOの相談室 第11回 PCIDSSについて教えて下さい[後編] | ScanNetSecurity
2026.03.23(月)

CISOの相談室 第11回 PCIDSSについて教えて下さい[後編]

 先日、ビザがPCIDSS遵守の国際的な義務化に向けて期限を設定したことが発表され、ますます関心の高まるPCIDSSですが、その具体的内容について教えて下さい。また、PCIDSSの基準を他に活かすことは出来ますか?

特集 特集
42 views
facebookLINE
 先日、ビザがPCIDSS遵守の国際的な義務化に向けて期限を設定したことが発表され、ますます関心の高まるPCIDSSですが、その具体的内容について教えて下さい。また、PCIDSSの基準を他に活かすことは出来ますか?

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa



●こうすれば利用できる!

 PCIDSSの基準を一般企業に利用しようとすると、やはり出てくるのは「カード業界向け」という先入観です。これが邪魔して一般企業で取組むかどうかの土俵にすら上れない、または、実際にPCIDSSを読んでみても、なかなかスーっと入ってきません。そこで、セキュリティ業界でよく実施されているのが、記述で「カード会員データ」となっているところを、「重要データ」や「個人情報」と読み替えるという手法です。カード業界向けの基準が「あら不思議!」一般企業にも代用できる基準に早代わりします。

●対応が難しいところ

 要件8.5のパスワード管理で、「パスワードは90日毎に変更する。パスワードは7文字以上にする。4回以上使用したパスワードは使用できないようにする。連続したアクセス試行を6回以内に制限する。違反時のロックアウト時間は30分間とする。セッションのアイドル時間が15分を越えた場合パスワードを再入力させる。」などがあります。これらの要件を一度に満足させることは容易ではありません。

 自社開発のWebアプリケーションなどでは可能でしょうが、PCからのユーザー認証では、Windowsが提供しているパスワードポリシーとアカウントポリシー、そして、スクリーンセーバーのパスワードロック機能など複数の機能を併用させる工夫が必要です。しかし、古いWindowsではこれらの機能が無いために、別途、認証ツールを用意するかPCの入れ替えが必要となります。また、これらのポリシーを企業内で一元管理するためには、Active Directoryなどを構築して運用する必要があります。仮に技術的に要件を満たすことができたとしても、パスワード忘れや利便性の欠如など、運用面に不安を感じます。

●解釈が曖昧なところ

 PCIDSSを一読されるとすぐにわかることですが、前述のパスワード管理の様に機能とその設定まで深く掘り下げて規定している要件もあれば、単に「利用すること。」と、解釈が曖昧な要件もあり、要件レベルにばらつきがあります。詳細な部分は重要度が高く、それほどでもない要件は重要度が低いのではないかと勝手な予想はできますが、後述のウイルス対策などの様に重要であるのにもかかわらず、10行程度でサラッと通り過ぎている要件もあるので、これで本当に大丈夫?と感じられます。

 できれば、要件毎の重要度に応じた内容とボリュームで機能とその設定方法を規定するべきです。また、最初のページあたりに、要件毎の重要度のバランスや、目標とするセキュリティレベル毎の各要件の必要性をマトリックス表示した解説があると(PCIとしてはやらないでしょうからセキュリティコンサル企業などが)、一般企業にとって更にPCIDSSが適用しやすくなると思われます。

●内容が不十分なところ

 要件5において、ウイルス対策が規定されていますが、そこで、「多くの脆弱性や悪意あるウイルスは、従業員の電子メール操作を通じてネットワークに侵入する。」とあります。最近ではWeb閲覧からのウイルス侵入や、USBメモリーからのウイルス侵入も問題になっているので、説明と対策が不十分だと思われます。

 また、5.1で、「注:ウイルスによる影響を受けやすいシステムには、一般的にUNIXベースのオペレーティング・システムやメインフレームは含まない。」とあります。また、5.1.1で、「アンチウイルス・ソフトウェアやアドウェアを含む悪意のある異なる形態のソフトウェアに対して、検知・除去・防護が可能でなければならない。」ともあります。古くからUNIXを狙ったルートキットなどの悪意のあるソフトウェアは多く、これも説明と対策が不十分です。

 また、要件12の「セキュリティ・ポリシーの整備」の12.3.7で、「会社が承認した製品のリスト」について使用ポリシーを作成して適切な使用を規定しなさい。というのがあります。つまり、会社が承認した製品は正しく使用し、承認していない製品は勝手に使ってはいけないということです。従業員によるWinnyなどのP2Pソフトウェアや、メッセンジャーなどの使用は、情報漏えいを誘発する最もリスクの高いポリシー違反です。できれば、ポリシーによる人的制御だけではなく、対策ツールを利用した不許可ソフトウェアの技術的制御も要件の一つとして追加するべきだと思います。

●PCIDSSは技術的対策の「ものさし」

 「情報セキュリティはどこまでやればよいのだろう?」費用対効果も含めて、これは企業にとって永遠のテーマであるかもしれません。情報セキュリティの人的対策は…

【執筆:せきゅバカ一代】
<執筆者略歴>
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

【関連記事】
CISOの相談室 第10回 PCIDSSについて教えて下さい[前編]
https://www.netsecurity.ne.jp/7_12496.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 村田製作所に不正アクセス、社外関係者に関する情報が不正に読み出された可能性

    村田製作所に不正アクセス、社外関係者に関する情報が不正に読み出された可能性

  2. NHKでメール誤送信、計32,940人のメールアドレスが流出

    NHKでメール誤送信、計32,940人のメールアドレスが流出

  3. 外部メール配信サービスの API キーが不正利用、メール 14 万件送信

    外部メール配信サービスの API キーが不正利用、メール 14 万件送信

  4. ランサムウェア業界に経営危機? 売上減で「薄利多売」に舵を切る犯罪者たち

    ランサムウェア業界に経営危機? 売上減で「薄利多売」に舵を切る犯罪者たち

  5. 東京大学の研究室サーバに不正アクセス、個人情報や機微情報等の漏えいは現時点で確認されず

    東京大学の研究室サーバに不正アクセス、個人情報や機微情報等の漏えいは現時点で確認されず

ランキングをもっと見る
PageTop
ホーム 特集 特集 記事
TOP