PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード業界のセキュリティ基準です。2018年の割賦販売法の改正により、クレジットカード情報を取り扱う会社は、PCI DSSの準拠が必須となります。

PCIDSSとは|日本カード情報セキュリティ協議会
http://www.jcdsc.org/pci_dss.php

PCI DSSのバージョン3.2では、カード情報を保護するため以下の12要件が定められています。そして、12要件を細分化した400以上の準拠すべき項目が、具体的に規定されています。

PCI DSS v3.2 要件一覧

安全なネットワークの構築と維持
要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2:システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3:保存されたカード会員データを保護する
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5:アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6:安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入
要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8:コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9:カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11:セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12:すべての担当者の情報セキュリティポリシーを整備する

キーワードを整理して要約

私は先月までクライアント企業様先でPCI DSSに関する業務支援を半年ほど行っていたのですが、PCI DSSは審査項目が非常に多く内容も多岐にわたるため、業務に就くにあたり、要件と審査項目を個人的な視点で以下のように要約し、まずは全体像を把握することに努めました。

以下はその際に整理した内容です。
せっかくなので、備忘録としてこのブログに残しておきたいと思います。

No. 分類 主なキーワード 項目数
要件1 ファイアウォール ACL
ネットワーク構成
37
要件2 サーバ、ソフトウェア ソフトウェア一覧
Linux・Apache等の設定
34
要件3 データ保存、暗号化 (PANの)ファイル・ログ・DB保存
暗号化方式
47
要件4 インターネット https
TLS1.2以上
12
要件5 アンチウイルス アンチウイルス 11
要件6 開発 セキュアコーディング(SQLインジェクション対策など) 42
要件7 アクセス権 最小限のアクセス権
特権アカウント
11
要件8 アカウント管理 共有アカウントの禁止
パスワードポリシー
多要素認証
46
要件9 ファシリティ データセンター
監視カメラ
セキュリティカード
43
要件10 監査証跡 アクセスログ
NTP
(保管ログの)改ざん検知
45
要件11 脆弱性診断、ペネトレーションテスト 脆弱性診断
ペネトレーションテスト
(設定ファイルの)改ざん検知
35
要件12 ISMS関連 組織としてのセキュリティ統制
インシデント対応
52

いかがでしょうか?少しはイメージが掴みやすくなったのではないでしょうか。

あくまで個人的な視点であり、また、項目数が415もあるのですべてを網羅しているとは言い難いですが、まずは解像度粗めでも全体を俯瞰するという意味では役立つのではないかと思います。

カード業界以外でも

PCI DSSの審査項目は、ISOなどと比較して、割と具体的に記述されている印象を受けました。文中の「カード情報」を「個人情報」に読み替えるだけで、カード業界に関わらずセキュアなWebシステムの構築に有用な情報が数多くあります。

下記の公式サイトからPDFをダウンロードできるので、Webシステムの開発や運用保守に携わる方は一度目を通されてみることをおすすめします。チェックシートのように使うのもアリだと思います。

PCI公式サイト – ドキュメントライブラリ
https://ja.pcisecuritystandards.org/document_library

※「日本語(PDF)」を選択して「PCI DSS」リンクをクリック → 合意書が表示されるので「同意する」 → 元の画面に戻るので再度「PCI DSS」リンクをクリック → 入力フォームが表示されるが「いいえ」でOK