PCIコンプライアンス報告書（RoC）：実践ガイド

PCI 準拠レポート（RoC）とは、Payment Card Industry Data Security Standards（PCI DSS）に対する組織の準拠状況を包括的に検証した後に作成される正式な文書です。これは、カード会員データを保護するために企業が実施するセキュリティ対策を評価するものです。RoCは、PCI DSS基準の厳格な適用を検証し、すべての取引が安全であること、および顧客データが侵害から保護されていることを保証するために不可欠です。

大量のトランザクションを扱う組織（主に年間600万トランザクションを超えるレベル1の加盟店）は、毎年RoCを通じてコンプライアンスを検証しなければならない。このプロセスでは、QSA（Qualified Security Assessor）による詳細な審査が行われ、組織のセキュリティポリシー、手順、技術システムが評価される。その結果、コンプライアンスに適合していることを確認する文書が作成されるとともに、改善すべき点が特定され、改善のためのガイダンスが提供されます。
RoCがどのようなものかを知るには、公式のPCIコンプライアンス報告書のテンプレートを参照してください。

推奨図書：SIEMとは何か、なぜ重要なのか、そして13の主要機能。

PCI DSS RoCの必要性

すべてのビジネスにPCI DSS準拠レポートが必要なわけではありません。PCI DSS は主に、年間 600 万件を超える大量のクレジットカード取引を処理する加盟店およびサービスプロバイダを対象としています。これらの事業体は PCI DSS Merchant Level 1 に該当し、準拠を証明するために毎年 RoC を提出する必要があります。

一部のレベル2加盟店（年間100万～600万件のトランザクションを処理）も、クレジットカードブランド（VisaやMastercardなど）の特定の要件に応じて、ROCを完了する必要がある。

場合によっては、QSA を利用する代わりに、加盟店は内部セ キュリティ評価者（ISA）として訓練を受け認定された従業員を 1 人以上雇用することができる。ISA は内部アセスメントを実施し、ROC を完了することができる。

RoC の提出が義務付けられていないレベル 2 の加盟店、およびすべてのレベル 3 とレベル 4 の加盟店は、代わりに自己問診票（SAQ）を提出します。これは正式な監査の代わりとなり、小規模な組織にとっては PCI コンプライアンスを達成しやすい方法です。

関連コンテンツガイドを読むPCI準拠レベル

コンプライアンス報告書には何が含まれるか？

以下は、RoCを構成するハイレベルなセクションとその内容である。

連絡先および報告日

レポートには、QSA を含む組織内の PCI DSS コンプライアンス担当者の重要な連絡先情報が含まれています。これにより、説明、フォローアップ、または監査のためのコミュニケーションが容易になります。また、このセクションには評価のタイムスタンプも記載されます。これは、毎年の準拠を維持し、時間の経過に伴う改善または後退を追跡するために非常に重要です。

エグゼクティブ・サマリー

PCI DSS RoC のエグゼクティブサマリーには、評価結果の概要が記載されています。このセクションでは、PCI DSS 基準に対する組織のコミットメントと監査の範囲について説明します。このセクションは、技術的な詳細に立ち入ることなく、企業のコンプライアンス状況を迅速に理解する必要がある関係者を対象としています。

このサマリーには通常、組織のペイメントカード業務の簡単な説明と、評価の目的、方法、結果の概要が含まれます。このサマリーでは、主要な調査結果を強調し、利害関係者が組織のデータセキュリティ対策の全体的な健全性を一目で把握できるようにします。

スコープとアプローチ

範囲とアプローチのセクションでは、PCI DSS 評価の境界を明確にし、どのシステム、ネットワーク、およびプロセ スを調査したかを詳述します。これにより、カード会員データの保存、処理、または送信に関連するすべての領域がレビューに含まれるようになります。範囲を明確にすることで、評価範囲に関する誤解を防ぐことができます。

さらに、本セクションでは、QSA が適合性を評価するために使用した方法を説明する。実施した試験、適用した基準、および評価戦略の根拠について概説している。このように透明性を確保することで、審査プロセスの綿密さと、所見および推奨事項の根拠を組織が理解するのに役立ちます。

審査環境の詳細

RoC のこのパートでは、カード会員データの取り扱いに関係するハードウェア、ソフトウェア、およびネット ワーク構成など、評価された環境の詳細を詳しく説明します。評価されたシステムの詳細なインベントリと、組織のペイメントカード業務におけるその役割について説明します。この詳細な説明は、環境の複雑さと実施されているセキュリティ対策を理解する上で極めて重要です。

また、このセクションでは、カード会員情報が組織のシステム内をどのように移動するかを示すデータフローについても説明します。この洞察は、潜在的な脆弱性を特定し、データ処理のすべてのポイントが PCI DSS 要件を満たすようにするために不可欠です。

四半期ごとのスキャン結果

四半期ごとのスキャン結果は、継続的なコンプライアンス・プロセスの一部であり、年次評価の間に組織の脆弱性ステータスのスナップショットを提供します。これらのスキャンは、サイバー脅威に悪用される可能性のある弱点を特定する。RoC はこれらの結果を文書化し、あらゆる脆弱性に対処し、継続的なコンプライアンスを確保するために取られた措置を要約する。

RoCでこれらのスキャンを報告することは、安全な環境の維持に対する組織のコミットメントを強調し、年間を通じて脆弱性管理とコンプライアンスに積極的に取り組んでいることを示す。

発見と観察

所見および観察事項」では、アセスメント結果の詳細を説明し、準拠領域と懸念領域を強調します。このセクションは、組織が PCI DSS 基準を満たすか満たさないかを具体的に理解するために重要です。このセクションは、全体的な準拠判断の根拠となります。

調査結果には、多くの場合、是正のための推奨事項が含まれ、コンプライアンス・ギャップに対処するためのロードマップが示される。観察結果は、コンプライアンスに適合しているが、セキュリティ対策を強化することで、ベースライン要件を上回るセキュリティ態勢を目指すことができる領域を浮き彫りにするかもしれない。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、PCI コンプライアンス報告書（RoC）を成功させるためのアプローチを強化し、コンプライアンスの取り組み全体を強化するためのヒントを紹介します：

証拠収集の自動化
SIEM、ログ管理システム、自動コンプライアンス・プラットフォームなどのツールを導入し、監査証拠を効率的に収集・整理する。これにより、手作業の負担が軽減され、すべての文書がすぐに利用できるようになります。

PCI スコープを事前に綿密に定義する
カード会員データ環境（CDE）を明確に定義し、QSA 評価に不必要にシステムが含まれないようにします。セグメンテーション技術を使用して CDE を分離し、コンプライアンスの負担を軽減する。

年間を通したコンプライアンス・プログラムの確立
PCI コンプライアンスは 1 回限りの作業ではなく、プロアクティブなコンプライアンス戦略を維持します。プロセス、システム、およびポリシーを継続的に監視、レビュー、および更新し、PCI DSS 基準との継続的な整合性を確保します。

補償コントロールを戦略的に使用する
特定の PCI 要件が技術的に実行不可能な場合は、強固な代替コントロールを実装する。これらのコントロールが十分に文書化され、QSA によって承認されていることを確認し、コンプ ライアンス要件を満たすようにします。

定期的なレディネス評価の実施
QSA による正式な審査の前に、社内で模擬 RoC または事前審査を実施する。これらのアセスメントは、ギャップを特定するのに役立ち、公式な監査スケジュールのプレッシャーを受けることなく是正を行うことができる。

PCI RoCプロセス

QSAを探す

PCI RoC プロセスの最初のステップは、認定セキュリティ評価者（QSA）を選択することです。QSA は PCI SecurityStandards Council の認定を受け、業界で関連する経験を有している必要があります。経験豊富で評判の高い QSA を選択することは、コンプライアンスプロセスを通じて組織を指導し、徹底的かつ正確な評価を保証する上で非常に重要です。

QSAと文書を共有する

QSA を選定したら、次のステップでは組織のペイメントカード処理環境に関する広範な文書を共有 します。これには、ネットワーク図、データフローマップ、ポリシー、手順、過去の監査報告書などが含まれます。

このフェーズでは、QSA が組織の業務及びセキュリティ対策の範囲を確実に理解する。これにより、QSA は集中的なアセスメントが可能となり、注意が必要な領域を効率的に特定することで、RoC プロセスの後続ステップを合理化することができる。

QSAによる審査

必要書類を手にして、QSA は審査段階に入る。これには、現場訪問、主要担当者との面談、および技術テストが含まれます。その目的は、PCI DSS の各要件に対する組織の準拠状況を詳細に調査することです。このフェーズは集中的に行われるため、組織と QSA の協力が求められます。

アセスメントフェーズは、組織のカード会員データ環境内のコンプライアンスギャップおよび脆弱性領域を特定するために非常に重要です。QSA の調査結果は、組織の PCI DSS 基準への準拠を概説する RoC の基礎となります。

QSAがRoCを記入

アセスメントの完了後、QSA は調査結果をコンプライアンス報告書にまとめます。RoC の記入における QSA の役割は、PCI DSS 要件に関する組織のセキュリティ態勢について公平かつ詳細に説明することです。この文書は、組織とパートナーの両方にとって重要であり、準拠を証明し、今後のセキュリティ対策の指針となります。

ROC に記載されたコンプライアンス・ギャップを修正すること。

RoC がコンプライアンスギャップを特定した場合、組織はこれらの問題に速やかに対処する必要があります。是正には、PCI DSS 基準を満たすために QSA が指摘した欠陥を修正することが含まれます。組織は、多くの場合 QSA の指導を受けながら、各ギャップに対処するための手順をまとめた改善計画を策定します。通常、進捗状況は QSA と共有され、是正の取り組みが予定通りに進み、必要な基準を満たしていることを確認します。

QSAはコンプライアンス証明書（AOC）を提出する。

組織がすべてのコンプライアンスギャップに対処した後、QSA はコンプライアンス証明書（AOC）を発行します。この文書は、RoC の調査結果およびその後の是正措置に基づいて、組織が該当するすべての PCI DSS 要件を満たしていることを正式に宣言するものです。AOC は、アクワイアリングバンク、ペイメントブランド、およびその他の利害関係者にコンプライアンスを証明するために極めて重要です。

AOC の完了は、現在のサイクルの PCI RoC プロセスの終了を意味します。ただし、組織はセキュリティ対策を継続的に維持および改善し、次の評価サイクルに備える必要があります。

PCI RoCの結果を理解する

コンプライアンスの各分野におけるRoCのさまざまな結果と、それらが組織にとってどのような意味を持つかを確認してみよう。

開催中

「実施中」は、組織が特定の PCI DSS 要件を例外なく満たしていることを示します。これは、必要なセキュリティ管理が完全かつ効果的に実装されていることを示します。利害関係者にとって、このステータスは組織のセキュリティ態勢に対する信頼につながります。PCI DSS への完全準拠を意味するため、「実施中」であることはすべての評価対象領域の目標です。

是正措置あり

「是正を伴う実施中」は、必要なコントロールはほぼ確立されているが、是正措置を必要とする特定の問題が特定されたことを意味します。このステータスは、組織の努力と準拠の意図を認めるものですが、PCI DSS 要件を完全に満たすためにはさらなる努力が必要であることを強調するものです。

このステータスに該当する組織は正しい方向に進んでいますが、特定されたギャップに優先的に対処する必要があります。タイムリーな改善により、カード会員データへのリスクを最小限に抑え、コンプライ アンス・リスクを回避することができます。

該当なし

「適用不可」のステータスは、組織の特定の環境またはビジネスモデルに適用されない PCI DSS 要件に割り当てられます。この判断は、評価の範囲と組織の業務の性質に基づいて行われます。すべての要件がすべてのエンティティに関連するわけではないことを認めます。

適用不可」のステータスを文書化することは、組織のコンプライアンス状況を明確にし、理解するために重要である。これにより、適用可能な要件に取り組みを集中させ、関連する保護が確実に実施されるようになる。

未テスト

「未検査」は、さまざまな理由によりアセスメント中に検査されなかった領域またはコントロールを示します。このステータスは、範囲の制限、アセスメントの制約、または QSA が PCI DSS 準拠の特定の側面を評価できなかったその他の要因によって生じる可能性があります。

組織は、QSA との包括的なアクセス及び協力を確保することにより、今後の評価において「テスト されていない」との指摘を最小限に抑えることを目指すべきである。これらの領域に対処することで、全体的なセキュリティ態勢とコンプライアンス状況を強化することができる。

設置されていない

「未設置」は、組織が特定の PCI DSS 要件を満たしていない場合に割り当てられます。この重大な指摘は、カード会員データを効果的に保護するために必要なセキュリティ管理にギャップがあることを示しています。リスクを軽減し、コンプライアンスを達成するために、早急な注意と是正が必要です。

未整備」の指摘を受けた組織は、これらの欠陥に真摯に取り組まなければならない。是正を怠ると、情報漏えい、財務上の罰則、組織の評判の低下につながる可能性がある。

RoCの失敗から立ち直るための5つのステップ

RoC の結果、1 つまたは複数の「Not in Place」評価が下された場合、組織は PCI コンプライアンスのステータスを達成または保持するために行動する必要があります。ここでは、監査の不合格から回復するための手順を説明します：

1.お知らせ

組織が PCI コンプライアンス報告書（RoC）に不合格となった場合、最初のステップはすべての関係者に通知することです。これには、最高経営責任者（CEO）、最高財務責任者（CFO）、最高情報責任者（CISO）などの社内の指導者だけでなく、必要に応じて買収銀行、支払処理業者、PCI 協議会などの社外の関係者も含まれます。

状況を効果的に管理するためには、迅速かつ透明性のあるコミュニケーションが極めて重要である。コンプライアンス違反の性質、潜在的な影響、および可能な限り迅速かつ包括的に問題に対処する組織のコミットメントを概説することが重要である。

2.課題の特定

次のステップでは、RoC を徹底的に分析し、具体的なコンプライアンス・ギャップを特定し理解する。そのためには、報告書内の「Not in Place」の所見を詳細に検討し、各問題をその性質、重大性、および是正に必要なリソースに基づいて分類する必要がある。

アセスメントを実施した QSA と協働することで、コンプライアンス違反の根本原因についてさらなる 洞察が得られ、是正に必要なステップを明確にすることができる。

3.ROC 復旧計画の策定

コンプライアンスを回復するためには、回復計画を策定することが重要である。この計画では、各コンプライアンス・ギャップに対処するために必要な具体的な行動を概説し、各タスクの責任を割り当て、現実的な期限を設定する必要があります。

優先順位付けが重要であり、データ漏洩や業務への重大な影響につながる可能性のある高リスクの問題に直ちに焦点を当てる。また、将来的なコンプライアンス上の問題を防止するために、組織全体のセキュリティ態勢を強化するための対策も計画に盛り込む必要がある。

4.実施とテスト

リカバリプランの導入後、組織は必要な変更を実施する必要があります。これには、ポリシーと手順の更新、技術的な管理の強化、および PCI DSS 準拠の維持における各自の役割を全従業員が理解するためのトレーニングの実施が含まれます。

変更の実施後は、各改善手順が特定された問題に効果的に対処していることを検証するために、厳密なテス トを実施することが重要である。これには、脆弱性スキャン、侵入テスト、新しいセキュリ ティ対策が正確に反映されていることを確認するための文書の再検討などが含まれる。

5.再評価

最後に、是正措置が実施されテストされた後、組織は QSA を雇用して再評価を実施すべきである。この再評価では、以前に特定されたギャップに焦点を当て、すべての問題が適切に対処されていることを確認する。

この再審査で合格した RoC は、組織が完全なコンプライアンスに戻ったことを示すものです。また、PCI コンプライアンスプログラム全体の有効性を見直し、継続的に改善すべき領域を特定する機会でもあります。継続的な監視および定期的な評価は、コンプライアンスを維持し、進化するサイバー脅威から保護するために不可欠です。

PCI DSS準拠Exabeam Fusion SIEM

結局のところ、PCI DSS コンプライアンスは、監査人に何を行っているかを証明することがすべてです。DLP、エンドポイント、脆弱性スキャン、ネットワーク、アイデンティティの各ベンダーがパズルのピースを提供する一方で、Exabeam Fusion SIEMは、イベントとアラートにコンテキストとリスクスコアリングを追加してエンドツーエンドの PCI DSS コンプライアンスの全体像を示すことで、すべてをまとめて攻撃の全体像を把握するのに役立ちます。

Exabeam Fusion SIEMは、PCI 資産で発見された脆弱性に関するレポートをセキュリティ・チームに提供します。このレポートでは、ファイアウォール、ルータ、スイッチ、および脆弱性データを生成するその他のデバイスが生成する脆弱性スキャンの詳細データを調べます。カード会員データ環境の脆弱性スキャンは、悪意のある個人によって発見され悪用される可能性のあるネットワーク内の潜在的な脆弱性を明らかにします。組織は、このレポートを使用して、修正が必要なカード会員システ ムの特定の高度な脆弱性または重要な脆弱性を特定します。

Fusion SIEMはまた、IDS、IPS、DLPシステムから動中または静止中に発見されたクレジットカード・データを調査し、ネットワーク経由または許可されていないリムーバブル・ストレージ・デバイスへのクレジットカード・データの不正送信の可能性を可視化します。顧客はこのレポートを使用して送信元を特定し、さらに調査して修正することができます。カード会員データ環境は、IDS、IPS、および DLP ベースのテクノロジを使用して、クレジットカードデータの不正な送信を監視する必要があります。

クレデンシャルの異常や異常なアクティビティや動きから、クレジットカード・データへのアクセスや送信に至るまで、Exabeamはあらゆるクレデンシャル、データの動き、アクティビティに対して「正常」という明確なビューを提供し、SOCのワークフローを合理化し、侵害された内部者や悪意のある内部者が発生した場合の対応を支援するだけでなく、エコシステム内でのマルウェアやランサムウェアの横方向の動きを検出します。