自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー) | ScanNetSecurity
2024.05.24(金)

自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー)

国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

調査・レポート・白書・ガイドライン ブックレビュー
国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

PCI DSSは、Visa、MasterCard、JCB、American Express、Discoverの国際カードブランド5社が定めた、ペイメントカード業界のセキュリティ基準だ。国際カードブランドが付与されたカード情報を「処理、伝送、保存」するすべての加盟店、サービスプロバイダが遵守する最低限のルールが定められている。

PCI DSSの準拠で先行する米国では、年間600万件以上の取引があるビザ・ワールドワイド(Visa)のレベル1加盟店で97%の準拠率がある。また、全世界の平均をみても約80%が遵守しているそうだ。しかし、国内においては、米国型のインセンティブを伴う法改正は難しいなどの課題があり、海外の平均からみても加盟店の準拠率は低いと言えるだろう。

2012年までの国内のPCI DSS の準拠企業は、約70社(システム)程度だといわれている。また、そのうち約9割が、決済代行事業者、情報処理センター、カード会社といったサービスプロバイダの準拠となっており、加盟店の準拠は一部のショッピングモールやインターネット・サービス・プロバイダ、保険会社などに留まっている。

楽天の「楽天市場」、ヤフーの「Yahoo!ウォレット」のインターネットショッピングモールは、早い段階から準拠を果たしている。PCI DSSへの対応は、一般的に膨大なコストがかかると言われているが、両社では準拠前から強固なセキュリティ対策を実施しており、他の加盟店に比べコストをかけずに対応を果たしている。NECビッグローブ、ニフティ、メットライフアリコといった企業は、システム規模が大きく、またカード会員情報をセグメントする作業を行ったため、準拠に向けてはそれなりのコストを有した。

また、リアルの大型店舗が準拠するためには、POSの入れ替えなど、膨大なコストが発生するため、準拠のハードルがさらに高くなっている。

従来、国内におけるPCI DSSの推進は、Visaを中心に、各ブランドが個別にアクワイアラを通して加盟店に要請するケースが一般的だったが、2009年以降は、クレジット関係団体、協議会などを中心に、業界挙げての取り組みが活発化している。また、国際ブランドやアクワイアラ(加盟店開拓企業)を中心に「タスクフォースプログラム」を結成し、加盟店に推進する取り組みも行われた。カード会社によっては独自に加盟店に訪問し、PCI DSSの準拠を勧める動きも出てきている。最近では、業界団体が、加盟店などに対し準拠期限を設けて、推進を行っている。

国際ブランドやカード会社によると、大手を中心に加盟店のPCI DSSに対する認知は広がり、取り組む姿勢も前向きになっているそうだ。また、国内の情報漏洩事件の多くは中小零細企業から発生しているため、インターネット決済代行事業者などでは、カード情報を保管しない「非保持化」を行うことで、リスクを回避する方法を中小加盟店に提案している。

PCI DSS普及に向けた最大の課題は、準拠および維持コストの低減であると言われているが、準拠企業によると「国内で展開するQSAが増えたことにより、監査コストは当初より格段に下がっている」という声もある。また、一般財団法人日本情報経済社会推進協会が運営する「ISMS(情報セキュリティマネジメントシステム)」とPCI DSSのブリッジ審査を行うことで、監査の負荷およびコストを軽減することに成功した企業も増えてきた。最近では、カード情報に置き換わる別のID番号(乱数)で情報処理を進める「Tokenization(トークナイゼーション)」方策など、PCI DSSの対象範囲を狭め、情報漏えいのリスクを軽減する手法もクローズアップされている。

今春、株式会社TIプランニングは、ペイメントカード情報を保持する企業のカードセキュリティ強化に向け、書籍「PCI DSSのすべて」を発行した。

PCI DSSのすべて
http://www.paymentnavi.com/book/22183.html

本書では、実際にPCI DSSに準拠した大手加盟店やサービスプロバイダなどの事例を中心に、準拠に向けた対策やコストなど、今後準拠が必要となる企業にとって参考となるような情報を掲載している。また、ヤフーなど、早くから準拠している企業については、準拠後の継続した取り組みについても紹介している。PCI DSSに準拠した多くの企業では、PCI DSSに準拠するのはもちろん、最も大切なのは、「セキュリティレベルを維持・向上」させることであると語っており、継続的な対策に力を入れている。

書籍の構成としては、「PCI DSSを取り巻く背景と関連プレイヤー」、国内で活動するVisa、MasterCard、JCB、American Expressの「国際ブランドの取り組み」、Version2.0に対応した「PCI DSSの12要件概観」、国内において普及に取り組む主要団体の取り組みを紹介した「関連プレイヤーの動向」、カード会員情報非保持やトークナイゼーションをはじめとした「カード会員情報を保護するセキュリティ最新動向」、加盟店、カード会社や情報処理センター、決済代行事業者などのサービスプロバイダの事例といったように、PCI DSSに関連した情報をさまざまな角度からまとめている。

本書の発行が国内におけるPCI DSSの普及の後押しにつながれば幸いである。
(株式会社TIプランニング 代表取締役 池谷貴)

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  2. Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]

    Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]PR

  3. バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

    バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

  4. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  5. ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

    ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

  6. アメリカでは「祖父母詐欺」

    アメリカでは「祖父母詐欺」

  7. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  8. ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

    ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

  9. 実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

    実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

  10. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

ランキングをもっと見る