自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー) | ScanNetSecurity
2024.03.29(金)

自著を語る「PCI DSSのすべて」池谷貴(ブックレビュー)

国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

調査・レポート・白書・ガイドライン ブックレビュー
国内および海外で情報漏洩事件が起きるたびに、当該企業がクレジットカード等の国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」に準拠していたかどうかが話題となる。

PCI DSSは、Visa、MasterCard、JCB、American Express、Discoverの国際カードブランド5社が定めた、ペイメントカード業界のセキュリティ基準だ。国際カードブランドが付与されたカード情報を「処理、伝送、保存」するすべての加盟店、サービスプロバイダが遵守する最低限のルールが定められている。

PCI DSSの準拠で先行する米国では、年間600万件以上の取引があるビザ・ワールドワイド(Visa)のレベル1加盟店で97%の準拠率がある。また、全世界の平均をみても約80%が遵守しているそうだ。しかし、国内においては、米国型のインセンティブを伴う法改正は難しいなどの課題があり、海外の平均からみても加盟店の準拠率は低いと言えるだろう。

2012年までの国内のPCI DSS の準拠企業は、約70社(システム)程度だといわれている。また、そのうち約9割が、決済代行事業者、情報処理センター、カード会社といったサービスプロバイダの準拠となっており、加盟店の準拠は一部のショッピングモールやインターネット・サービス・プロバイダ、保険会社などに留まっている。

楽天の「楽天市場」、ヤフーの「Yahoo!ウォレット」のインターネットショッピングモールは、早い段階から準拠を果たしている。PCI DSSへの対応は、一般的に膨大なコストがかかると言われているが、両社では準拠前から強固なセキュリティ対策を実施しており、他の加盟店に比べコストをかけずに対応を果たしている。NECビッグローブ、ニフティ、メットライフアリコといった企業は、システム規模が大きく、またカード会員情報をセグメントする作業を行ったため、準拠に向けてはそれなりのコストを有した。

また、リアルの大型店舗が準拠するためには、POSの入れ替えなど、膨大なコストが発生するため、準拠のハードルがさらに高くなっている。

従来、国内におけるPCI DSSの推進は、Visaを中心に、各ブランドが個別にアクワイアラを通して加盟店に要請するケースが一般的だったが、2009年以降は、クレジット関係団体、協議会などを中心に、業界挙げての取り組みが活発化している。また、国際ブランドやアクワイアラ(加盟店開拓企業)を中心に「タスクフォースプログラム」を結成し、加盟店に推進する取り組みも行われた。カード会社によっては独自に加盟店に訪問し、PCI DSSの準拠を勧める動きも出てきている。最近では、業界団体が、加盟店などに対し準拠期限を設けて、推進を行っている。

国際ブランドやカード会社によると、大手を中心に加盟店のPCI DSSに対する認知は広がり、取り組む姿勢も前向きになっているそうだ。また、国内の情報漏洩事件の多くは中小零細企業から発生しているため、インターネット決済代行事業者などでは、カード情報を保管しない「非保持化」を行うことで、リスクを回避する方法を中小加盟店に提案している。

PCI DSS普及に向けた最大の課題は、準拠および維持コストの低減であると言われているが、準拠企業によると「国内で展開するQSAが増えたことにより、監査コストは当初より格段に下がっている」という声もある。また、一般財団法人日本情報経済社会推進協会が運営する「ISMS(情報セキュリティマネジメントシステム)」とPCI DSSのブリッジ審査を行うことで、監査の負荷およびコストを軽減することに成功した企業も増えてきた。最近では、カード情報に置き換わる別のID番号(乱数)で情報処理を進める「Tokenization(トークナイゼーション)」方策など、PCI DSSの対象範囲を狭め、情報漏えいのリスクを軽減する手法もクローズアップされている。

今春、株式会社TIプランニングは、ペイメントカード情報を保持する企業のカードセキュリティ強化に向け、書籍「PCI DSSのすべて」を発行した。

PCI DSSのすべて
http://www.paymentnavi.com/book/22183.html

本書では、実際にPCI DSSに準拠した大手加盟店やサービスプロバイダなどの事例を中心に、準拠に向けた対策やコストなど、今後準拠が必要となる企業にとって参考となるような情報を掲載している。また、ヤフーなど、早くから準拠している企業については、準拠後の継続した取り組みについても紹介している。PCI DSSに準拠した多くの企業では、PCI DSSに準拠するのはもちろん、最も大切なのは、「セキュリティレベルを維持・向上」させることであると語っており、継続的な対策に力を入れている。

書籍の構成としては、「PCI DSSを取り巻く背景と関連プレイヤー」、国内で活動するVisa、MasterCard、JCB、American Expressの「国際ブランドの取り組み」、Version2.0に対応した「PCI DSSの12要件概観」、国内において普及に取り組む主要団体の取り組みを紹介した「関連プレイヤーの動向」、カード会員情報非保持やトークナイゼーションをはじめとした「カード会員情報を保護するセキュリティ最新動向」、加盟店、カード会社や情報処理センター、決済代行事業者などのサービスプロバイダの事例といったように、PCI DSSに関連した情報をさまざまな角度からまとめている。

本書の発行が国内におけるPCI DSSの普及の後押しにつながれば幸いである。
(株式会社TIプランニング 代表取締役 池谷貴)

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る