PCI DSS v4.0 バージョンアップの進捗 | ScanNetSecurity
2020.06.01(月)

PCI DSS v4.0 バージョンアップの進捗

PCI DSS が、現行の 3.2.1 から 4.0 へのメジャーバージョンアップを予定している。発行元となる PCI SSC は、2019 年 10 月から 12 月にかけ、関係者からのフィードバックを得ることを目的に初回の RFC を実施した。

製品・サービス・業界動向 業界動向
PCI DSS v4.0 バージョンアップの進捗
PCI DSS v4.0 バージョンアップの進捗 全 1 枚 拡大写真
 ペイメントカードデータの国際的なセキュリティスタンダードである PCIデータセキュリティ基準( PCI DSS )が、現行の 3.2.1 から 4.0 へのメジャーバージョンアップを予定している。発行元となる PCI Security Standards Council( PCI SSC )は、2019 年 10 月から 12 月にかけ、関係者からのフィードバックを得ることを目的に初回の RFC( Request For Comment )を実施した。PCI SSC のユーザー向けの会員組織である Participation Organization 会員( PO 会員)、認定セキュリティ評価機関( QSA )、認定スキャニングベンダー( ASV )に限定して、ドラフト第 1 版が公開された。結果、全世界から約 3,200 件のフィードバックが寄せられた。この数は歴代のバージョンアップでも異例の多さという。本解説記事は、PCI SSC から公開されているブログなどの情報をもとに取りまとめたものであるが、実際の正式な発行の際には大きく変更される可能性がある。既に PCI DSS 準拠済みの企業には、先取りして実装しないことを PCI SSC からも厳格にアナウンスされているためご注意いただきたい。

■要件ごとにセキュリティ目標と意図を明記

 PCI SSC は、PCI DSS v4.0 へのバージョンアップの主な目標として、以下の 4 点を挙げている。

1. ペイメント業界のセキュリティニーズを満たしていること
2. セキュリティを向上するために柔軟性と新しい手法への対応を追加すること
3. 継続的なプロセスによりセキュリティを促進すること
4. 各要件の検証方法と手順をさらに改良すること

 これを受けて公表されたドラフト第 1 版では、よりセキュリティ目標にフォーカスする形で、既存要件の改訂や、新規要件の追加が行われる予定である。PCI DSS を構成する 12 要件についてはバージョン4.0 でも基本的に変更されることはない。

■カスタマイズバリデーションにより柔軟なアプローチが可能に

 従来の PCI DSS は、セキュリティ要件を厳密に満たすよう対策を求める技術基準であり、定義されたテスト手順に従うことにより、QSA や内部セキュリティ評価人( ISA )は明確な適合性の評価が可能であった。PCI DSS v4.0 では、定義された従来の手法に加え、よりセキュリティ目標にフォーカスした新たな要件の評価の方法として「カスタマイズバリデーション」を提示している。

 カスタマイズバリデーションは、各 PCI DSS 要件の意図とセキュリティ目標に注目する。要件に厳密に従わなかったとしても、意図に沿ってセキュリティ目標が満たせていることが示せればよいことになる。従って、どのようなテクノロジーで準拠すれば良いかは、準拠企業が自由に考えることができ、柔軟なアプローチが可能になる。一方で大きく影響を受けるのは、従来からある「代替コントロール」の考え方である。

 現行の PCI DSS v3.2.1 では、正当な技術上の制約、または文書化されたビジネス上の制約がある場合に限って、記載されている通りに明示的に要件を満たすことができない場合に、要件に記載されたのとは異なる手段で対応する代替コントロールの適用を認めている。PCI DSS v4.0 のカスタマイズバリデーションの考え方を取る場合、要件のセキュリティ目標と意図に対して、とり得る対応策は自由に考えられる。カスタマイズバリデーションという新たな考え方は、技術的な制約やビジネス上の制約が無くても、要件の意図に適合し、リスクに対応できることを評価者に示せれば、要件を満たすと認められる。

 カスタマイズバリデーションを認めることで、準拠企業は PCI DSS 対象範囲に、目的に応じた最新のセキュリティ技術を取り入れることが可能になる。セキュリティ目標と技術を理解した企業にとっては、より柔軟な手法で PCI DSS に準拠しつつ、セキュリティを強化できる。一方で、準拠性を評価する QSA や ISA にとっては、単にテスト手順の判断にとどまらず、セキュリティ目標の本質的な理解が必要となる。

■外部のクラウドサービスを考慮

 2019 年 9 月に PCI SSC のブログに掲載された” 5 Questions About PCI DSS v4.0 ”では、カスタマイズバリデーション以外にも、PCI DSS v4.0 の変更点として以下を挙げている。

1. 組織が PCI DSS の範囲を検証するための要件
2. サービスプロバイダーへの追加要件
3. 異なる認証の選択肢を視野に入れたパスワードに関する要件の見直し
4. リスク管理プロセスをより明確にし、組織に指針を提供するためのリスクアセスメント要件の更新

 また、従来は PCI DSS 要件の補助文書( Information Supplement )として提供していた、パブリッククラウドサービスなど新しい技術への対応についても取り込んでいくことが示されている。PCI DSS の対象範囲として外部のクラウドサービスを扱えるよう、既存の要件については要件表記が変更され、必要に応じて新たな要件が追加されることが予想される。特にクラウドサービスプロバイダーの役割と期待される対応については、付録書( Appendix )A として取りまとめられる予定である。

■ PCI DSS v4.0 正式版公表は 2021 年以降

 前述の 2019 年 12 月に締め切られた RFC の約 40 %は加盟店からのものだったという。PCI SSC では全てのフィードバックをレビュー後、ドラフト第 2 版を作成し、2 度目の RFC を実施する予定である。時期はおそらく 2020 年中盤から後半になると思われるが、現在の世界中で蔓延する新型コロナウィルスの影響により遅れることも想定される。

 2020 年 3 月に PCI SSC のブログに掲載された” How Industry Feedback is Shaping the Future of PCI DSS ”では、PCI DSS v4.0 の正式版の公表は早くても 2021 年以降であり、移行期限は公表から 2 年後であるとしている。2019 年春の時点では 2020 年下半期の公表を目指していたので、フィードバックの結果、スケジュールは少し遅くなっている。

 繰り返しになるが、第 1 回の RFC で公開された版はドラフトであり、最終版の PCI DSS v4.0 とは異なることを強調した上で、ドラフト版の記載に沿った実装は控えるようにと、PCI SSC は厳格にアナウンスしている。数多くのフィードバックを受けて、第 2 ドラフトの内容についても今後変更されることが想定される。


瀬田 陽介(せた ようすけ)

fjコンサルティング株式会社 代表取締役CEO

 PCI DSSの認定評価機関(QSA)代表、日本初の PCI SSC 認定フォレンジック機関( PFI )ボードメンバーを経て 2013 年fjコンサルティング株式会社を設立。キャッシュレスやセキュリティのコンサルタントとして、講演・執筆活動を行う。(株) GRCS アドバイザー、BSI Professional Services Japan テクニカルアドバイザー、日本カード情報セキュリティ協議会( JCDSC ) ユーザー部会世話役

《fjコンサルティング株式会社 代表取締役CEO 瀬田 陽介》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 今後Nコムは旧サービスにも最新セキュリティ対策実施、撤去予定サーバ経由の不正アクセス発生受け(NTT Com)

    今後Nコムは旧サービスにも最新セキュリティ対策実施、撤去予定サーバ経由の不正アクセス発生受け(NTT Com)

  2. 楽天を騙るフィッシングメールを確認、注意喚起を発表(フィッシング対策協議会)

    楽天を騙るフィッシングメールを確認、注意喚起を発表(フィッシング対策協議会)

  3. 日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界2位の高額(ソフォス)

    日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界2位の高額(ソフォス)

  4. セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平

    セキュリティ診断の「切り込み隊長」、イエラエセキュリティが拓くフォレンジックの先にある地平

  5. メール配信プログラムのコーディングミス重なる、原価マスク販売で誤送信(トリニティ)

    メール配信プログラムのコーディングミス重なる、原価マスク販売で誤送信(トリニティ)

  6. iOSに“脱獄”につながる未対策の脆弱性(JVN)

    iOSに“脱獄”につながる未対策の脆弱性(JVN)

  7. 問い合わせフォームを悪用した不正メールに注意喚起、発信元IP特定し遮断(船橋市)

    問い合わせフォームを悪用した不正メールに注意喚起、発信元IP特定し遮断(船橋市)

  8. IoTと5Gのセキュリティ対策進捗状況(総務省)

    IoTと5Gのセキュリティ対策進捗状況(総務省)

  9. Scan BASIC 登録方法

    Scan BASIC 登録方法

  10. コールセンター業務委託先で新型コロナウイルス相談記録データを誤送信(愛媛県、NTTマーケティングアクト)

    コールセンター業務委託先で新型コロナウイルス相談記録データを誤送信(愛媛県、NTTマーケティングアクト)

ランキングをもっと見る