PCI-DSSとは？ECサイトが守るべきクレジットカード業界のセキュリティ基準

「PCI-DSSって最近よく聞くんだけど、いったい何のことなの？」

と思っている方。

利用者がますます増えるとともに、流通額も増えていくこれからのEC業界においては、犯罪者目線でいえば不正アクセスの価値も高まります。そのため、セキュリティの観点では、「PCI-DSS」は避けて通れないトピックです。

PCI-DSSはセキュリティを守るときのガイドラインであり、これを守れば不正アクセスや情報漏えいからECサイトを守る可能性が高まります。

とはいえ、横文字も多く、難しくてわかりにくいですよね。

そこでこの記事では、

• そもそも「PCI-DSS」とは
• PCI-DSSの目標6個と要件12個
• PCI-DSSに対応する3つの方法
• PCI-DSSの認定取得に向けた対策の流れ
• PCI DSS準拠が必要となる事業者
• PCI DSSに準拠し取得するために必要な費用について
• PCI DSS認証取得のためにTISの「PCI DSS準拠支援サービス」を利用しよう
  
• TISのPCI DSS準拠支援サービスメニューについて
• TISが「金融業界向けAWS運用テンプレート」の提供を開始
• PCI-DSSのバージョンと主な変更点

の順にPCI-DSSについてお伝えします。

PCI-DSSという言葉だけ見ると難しく感じますが、実は理解するのに必要な要素は多くありません。

まずはこの記事で大まかな概要からおさえていきましょう！

そもそも「PCI-DSS」とは

PCI-DSSを一言で言うならば「クレジットカード業界のセキュリティ基準」です。

以前まではクレジットカード会社ごとに独自のセキュリティプログラムがありました。しかしながら、今や一つのお店で複数のクレジットカードが使えるのは当たり前ですよね。

となると、お店はクレジットカード会社ごとに別々のセキュリティ対策をする必要があり、負担が大きかったのです。

そして、ECサイトをはじめとしたインターネット上での商取引において、クレジットカード情報の漏えいはすぐにでも解決すべき課題でした。

そこで登場したのが「PCI-DSS」です。クレジットカード会社が手を組んで、世界で統一されたセキュリティ対策をすることになりました。

認定を取得することによるメリット

国際的なセキュリティ基準であるPCI-DSSを守ることで、

• 企業のブランディングにつながる
• 不正アクセスからユーザー情報を守る
• ECサイトの改ざん・悪用も防ぐ

というメリットがあります。

デメリットとしては、これまでより運用の負担が増えることがあります。とはいえ、お客さまの情報が漏れてしまうことに比べると、コストは少ないと言えるはずですよね。

PCI-DSSには「6個の目標・12個の要件」がある

PCI-DSSには6個の目標と12個の要件があります。簡単にまとめると

【目標1：安全なネットワークとシステムの構築と維持】

1. カード会員データを保護するために、ファイアウォールをインストールして維持する
2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

【目標2：カード会員データの保護】

1. 保存されるカード会員データを保護する
2. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

【目標3：脆弱性管理プログラムの整備】

1. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
2. 安全性の高いシステムとアプリケーションを開発し、保守する

【目標4：強力なアクセス制御手法の導入】

1. カード会員データへのアクセスを、業務上必要な範囲内に制限する
2. システムコンポーネントへのアクセスを識別・認証する
3. カード会員データへの物理アクセスを制限する

【目標5：ネットワークの定期的な監視およびテスト】

1. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
2. セキュリティシステムおよびプロセスを定期的にテストする

【目標6：情報セキュリティポリシーの整備】

1. すべての担当者の情報セキュリティに対応するポリシーを整備する

です。

2017年3月に「クレジット取引セキュリティ対策協議会」が発表した「実行計画2017」によればEC事業者は

1. カード情報の非保持化
2. PCI-DSS準拠

のいずれかを2018年3月までにする必要があります。そのため、いまPCI-DSSは注目されている基準なのです。

今年2017年には「PCI DSS対応 実務者セミナー」など、PCI-DSSを理解するための講座が開かれています。セミナーは定期的に開かれているので、気になる方は日本カード情報セキュリティ協会HPをチェックしてみてください。

次は、PCI-DSSに対応する具体的な方法をみていきましょう！

PCI-DSSに対応する3つの方法

PCI-DSSに対応する方法は以下の3つです。

1. 訪問審査
2. サイトスキャン　
3. 自己問診

それぞれ詳しくみていきますね。

1. 訪問審査

PCI国際協議会が定めた、QSA(=Qualified Security Assessor)と呼ばれる審査機関から認証してもらいます。具体的にどんな機関があるのかはPCI国際協議会サイトのQSA一覧からチェックしてみてください。

例えばカードを発行する会社など、大量の情報を扱う事業者に求められている方法です。

2. サイトスキャン

ECサイト運営者は必ずやっておきたいのが、サイトスキャンと呼ばれる方法です。

スキャンツールを使ってWEBサイトのセキュリティを、四半期に1回以上チェックして、サイトセキュリティを定期的に認証してもらいます。具体的な機関はPCI国際協議会サイトのASVの一覧に掲示されています。

3. 自己問診

街のお店など、一般的な加盟店は自己問診によって認証を得ます。

具体的にはPCI-DSSの要求事項に基づいたチェック項目に回答、全てに「Yes」と回答できれば準拠していると認められます。

Ver1.0では、専門用語が多すぎて理解するのが難しい内容でした。しかし、それ以降は専門的な用語がわかる事業者とそうでない事業者で分け、全ての事業者がPCI-DSSを理解できるように作られています。

日本語版も公式サイトのDOCUMENT LIBRARYからダウンロードすることが可能です。2017年11月現在の最新版はver3.2ですね。

まとめると、

1. 訪問審査
2. サイトスキャン　
3. 自己問診

の3つを紹介しました。扱う情報の量によって対応する方法が異なるように見えますが、場合によっては複数の方法を行う必要もあります。

全て自社で対応してノウハウをためるのも1つの手段ですが、外注したほうがスムーズに勧められるでしょう。

PCI-DSSの認定取得に向けた対策の流れ

では、PCI-DSSの認定取得に向けた対策方法の流れについて詳しく説明していきます。

1.事前準備

まずはPCI-DSSの認定取得に向けた事前準備として、自社が展開しているサービスやシステムを踏まえ、PCI-DSSに準拠する必要のある範囲を確認しておきましょう。

2.ギャップ分析

事前準備が整ったら、PCI-DSSが要求している事項と、減税のセキュリティ状況との間にあるギャップを分析していきます。この分析結果に基づき、ギャップを改善するための計画を立てます。

3.対策の実行

次に、ギャップ分析をした結果に基づいて出された改善策を実行していきます。またプロセスやポリシーの文書化や、必要であればそれに応じたシステムの再設計・実装を行っていきます。

4.テストを実施する

最後に、システムスキャンやセキュリティチェックテストを実施し、テストの結果に応じたシステムの改修を行っていきます。このほかにもPCI DSS認定審査に向けた準備や調整をしていきます。

PCI DSS準拠が必要となる事業者

PCI DSSに準拠する必要があるのはクレジットカード会社だけではありません。カード情報を保存・処理する「カード加盟店」「銀行」「決済代行サービス企業」についても、年間のカード取引量に応じたレベルに従いPCI DSSに準拠しなければいけません。

もっと具体的にいうと、百貨店・スーパー・量販店・ECサイトといった流通業や金融業、携帯電話会社や通信会社もPCI DSSに準拠する必要があるのです。

PCI DSSに準拠し取得するために必要な費用について

PCI DSSに準拠するためにかかる費用は、規模によって違ってくるので一概には言えないものの、初期費用に最低1,000万円以上・月額費用に最低100万円以上程度の費用がかかります。

EC事業者が自分でPCI DSSを取得するとなると、莫大な費用と1年程度の長い時間が必要になり、非効率的であることが分かります。

なのでPCI DSSの認証を取得するのであれば、PCI DSSの準拠を支援してくれるサービスを活用することをおすすめします。

PCI DSS認証取得のためにTISの「PCI DSS準拠支援サービス」を利用しよう

TISというのは、日本国内だけではなく海外の金融・製造・サービス・公共などにおいて、多くの人のビジネスをサポートするITサービスを提供している会社です。

TISには

1. 大手クレジットカード会社や決済代行事業など豊富なPCI DSS準拠支援実績がある
2. お客様目線で柔軟な対応方法を支援している
3. PCI DSSに詳しい専任スタッフによる一貫性の対応が可能

という特徴があり、PCI DSS認証取得を実現するための「PCI DSS準拠支援サービス」を提供しています。

TISのPCI DSS準拠支援サービスメニューについて

TISのPCI DSS準拠支援サービスのメニューを紹介します。

PCI DSS準拠支援コンサルティング

1つ目のサービスは「PCI DSS準拠支援コンサルティング」です。これは、第三者認証についての経験がある情報セキュリティーコンサルタントが、PCI DSS認証のための状況調査・準拠率向上・ルール順守のための体制構築・運用の定着までを全面的にサポートしてくれるというものです。

PCI DSS対応　TIS ASVスキャンサービス

2つ目のサービスが「PCI DSS対応　TIS ASVスキャンサービス」です。PCI DSSでは、多角的なセキュリティ診断の実施が不可欠です。TISではPCI DSSで要求される全てのセキュリティ診断に対応しているサービスメニューを準備しています。

TISのPCI DSS対応メニューを用意

TISはネットワークセキュリティ・サーバセキュリティ・ウイルス対策など、PCI DSSの12要件に合ったソリューションサービスが用意されています。

このようにTISのPCI DSS準拠支援サービスを利用することで、コンサルティングから運用まで全てを通してのサポートを受けることができるようになっています。

TISが「金融業界向けAWS運用テンプレート」の提供を開始

2018年2月19日にTIS株式会社より、AWSを本格的に利用し大規模な展開を支援するための「金融業界向けAWS運用テンプレート」の提供するという発表がありました。

AWSとは何か？

AWSというのは「アマゾン ウェブ サービス」の略で、アメリカのAmazon.comを支えてきた高度な技術が基礎となっているクラウドサービスのことです。柔軟性・耐久性・拡張性に優れ、世界では数百万人以上・日本でも10万人以上と、多くの人から利用されているサービスです。

現在AWSでは100以上のサービスを展開していて、企業で必要とされるITリソースを余すことなく取り入れています。

TISが提供する「金融業界向けAWS運用テンプレート」の特長について

「金融業界向けAWS運用テンプレート」は、TISがAWSのパートナーネットワークプレミアコンサルティングパートナーとして100件以上の導入実績から得た知識やノウハウを元にして作ったテンプレートのことです。

この「金融業界向けAWS運用テンプレート」を活用することで、FISC（金融機関等コンピュータシステムの安全対策基準 ）やPCI DSS対応など、金融業界のAWEへの移行がスムーズに行えるようになります。

テンプレートには「クラウド利用ガイドライン」と「統合運用管理基盤」の2つがあるので、1つずつ詳しく説明していきます。

クラウド利用ガイドライン

「クラウド利用ガイドライン」では、クラウドを利用する際の「運用ガイドライン」「セキュリティガイドライン」といったガイドラインテンプレートを提供しています。

「クラウド利用ガイドライン」には、例えば金融業界向けFISCに対応したテンプレートなど、業界の標準ガイドラインに準拠したテンプレートや、PCI DSSのセキュリティ基準に準拠したテンプレートがあります。

これを活用することによって、クラウド利用のルール整備を効率化することができるようになっています。

統合運用管理基盤

「統合運用管理基盤」は、サービスデスク・障害監視・ログ管理・踏み台とアクセス監査をまとめた基本サービスと、事業者の要望によってセキュリティ対策・AWS CLI実行・パッチ配布・Proxyサーバから必要な機能を選択できる「オプションサービス」のメニューで構成されています。

統合運用管理基盤を活用することにより、金融業界に最適な裏独活運用環境を、低価格・短納期で提供することが出来るようになっています。

PCI-DSSのバージョンと主な変更点を紹介

PCI-DSSは定期的にバージョンアップされています。そのため、

• ver2.0(v2.0)：新しく情報を追加、今までの情報を明確化
• ver3.0(v3.0)：カード情報についての業務を委託するさいの管理方法を追記
• ver3.1(v3.1)：文章の誤りを修正、読みやすくした
• ver3.2(v3.2)：要件の趣旨を明確化・追加のガイダンス・基準を新種の脅威や市場の変化に応じた最新の状態にするための変更が行われた。またNTTデータ先端技術株式会社が翻訳協力した「PCI DSS v3.2 日本語版」も公開された

というように日々アップデートが繰り返され、より使いやすくなるように進化しています。

ECサイト担当者のかたは、PCI-DSS公式サイトのDOCUMENT LIBRARYから定期的にチェックする必要がありそうです。

PCI-DSSに準拠した、安全なECサイトを構築しよう

PCI-DSSについて、大まかな概要を紹介しました。

まとめると、そもそもPCI-DSSとは「クレジットカード業界のセキュリティ基準」でした。

クレジットカード会社が手を組んで、世界で統一されたセキュリティ対策を作ろうとしたのがはじまりです。

PCI-DSSを守るメリットは

• 企業のブランディングにつながる
• 不正アクセスからユーザー情報を守る
• ECサイトの改ざん・悪用も防ぐ

で、デメリットとしては運用の負担が増えることでした。

PCI-DSSにおける6つの目標をおさらいすると

【目標1：安全なネットワークとシステムの構築と維持】

【目標2：カード会員データの保護】

【目標3：脆弱性管理プログラムの整備】

【目標4：強力なアクセス制御手法の導入】

【目標5：ネットワークの定期的な監視およびテスト】

【目標6：情報セキュリティポリシーの整備】

でしたね。

そして、PCI-DSSに対応する具体的な方法では

1. 訪問審査
2. サイトスキャン　
3. 自己問診

の3つを紹介しました。

PCI-DSSにしっかり準拠した、安全なECサイトを作っていきましょう！

なお、クレジットカードのセキュリティについてもっと知りたい方は「PCI DSS準拠？カード情報の非保持化？トークン決済とは？クレジットカードのセキュリティ対策にベストチョイス」をご一読ください！

PR：Orange ECならトークン決済に対応しています

加盟店が独自にPCI DSSに準拠しようとすると、審査や導入コスト、ランニングコストなど、非常にハードルが高いものになります。
既にPCI DSSに準拠している決済代行サービス会社のサービスを利用する方がコストも労力も軽減します。

Orange ECでは、トークン決済が可能になる「セキュリティ強化パッケージ」をご提案しています。
ぜひお問合せください。



>>トークン決済とECサイトパッケージの連携についてのお問合せはこちらから