PCIセキュリティ：PCI準拠への7つのステップ

クレジットカード決済を行う場合、PCI DSSに準拠する必要があります。PCIセキュリティ基準には12の要件があり、一見シンプルに見えますが、数百の詳細なサブ要件に分かれています。

PCIセキュリティ基準に準拠するには、厳格な情報セキュリティポリシーを採用し、遵守する必要があります。PCIコンプライアンスとは何かを学びましょう。PCIコンプライアンス・チェックリストと、PCIコンプライアンスに準拠するための基本的なステップをご紹介します。

推奨図書：SIEMとは何か、なぜ重要なのか、そして13の主要機能。

PCIコンプライアンスとは？

PCIとは、Payment Card Industry（ペイメントカード業界）の略です。PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカード会社と加盟店によって支持されているイニシアチブで、クレジットカードの利用者情報を保護するための統一戦略を提供しています。このイニシアチブは、クレジットカード詐欺や関連するセキュリティ侵害と闘うことを目的としている。

PCIセキュリティ基準の3つの柱

PCI DSSは、規模の大小にかかわらず、クレジットカード決済を行うすべての企業に適用されます。PCIセキュリティ基準には3つの柱があります：

1. クレジットカード・データに重点を置いている -クレジットカード・データを直接扱う企業は、PCI セキュリティ基準で定義されている 300 以上の要件（12 の高度な要件に整理されている）を遵守する必要があります。カードデータを直接扱わない事業者は、機密データがサードパーティによって扱われ、事業者によって保存されないため、より少ないセキュリティ要件に準拠する必要があります。
2. 保存データの保護 -カード会員データを保存する企業は、カード会員データとやり取りするシステムを他の 業務から分離する必要があります。そうしないと、PCI セキュリティ基準の安全対策をすべてのプラットフォームに適用する必要があります。
3. 年次検証 -クレジットカードを扱う事業者は、PCI 検証フォームに毎年記入する必要があります。PCI 検証に影響する要素には、年間処理トランザクション数、および事業者が侵害を経験したかどうかが含まれます。その他の関係者は、事業者に検証証明書の提示を求めることができます。

PCI準拠レベル

PCI準拠レベルには4段階あります。事業者は、年間処理トランザクション数に基づいてレベルを割り当てられます。この数値はクレジットカード会社によって若干異なる場合があります：

• レベル1-600万件以上の取引、または情報漏えいを経験した企業
• レベル2-取引件数100万件以上600万件未満
• レベル3-iインターネット取引件数2万件以上100万件未満
• レベル4-インターネット取引2万件未満、またはカード現物取引100万件未満

レベル 1 の事業者は、年 1 回の内部監査と、外部の承認ベンダーによる四半期ごとの PCI スキャンを受ける必要があります。監査が行われた後は、事業者がその脆弱性に対処することになります。レベル2～4に該当する企業は、指定された質問票を使用して毎年自己評価を行う必要があります。また、四半期ごとにPCIスキャンを行う必要がある場合もある。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、PCI コンプライアンスを効果的に達成し、維持するためのヒントを紹介します：

ビジネス・ワークフローの変更によるPCIスコープの最適化

ポイント・ツー・ポイント暗号化（P2PE）を採用し、サードパーティのペイメントプロセッサーを活用することで、カード会員データに対するビジネスの露出を評価し、最小限に抑えることができます。これにより、PCI スコープ内のシステムを最小限に抑え、複雑さとリスクを軽減できます。

PCIキーコントロールのリアルタイムモニタリングの実施

自動化を使用して、ファイアウォール設定、アクセスログ、暗号化標準などの主要な PCI コントロールへの準拠を監視します。アラートを実装して逸脱を即座にキャッチし、迅速な是正を可能にする。

データ・フロー・マッピングの定期的な実施

クレジットカードのデータフローを最初にマッピングするだけではありません。このマップは毎年更新するか、重要なシステム変更の後に更新し、機密データの新しいパスが不注意に作成されないようにする。

安全なソフトウェア開発の実践

支払データを扱うアプリケーションを開発する場合は、PCI DSS 要件をソフトウェア開発ライフサイクル（SDLC）に統合します。静的および動的アプリケーション・セキュリティ・テスト（SAST/DAST）用のツールを使用する。

強力な変更管理プロセスへの投資

PCI 関連システムに対するすべての変更が厳格なテストおよび承認プロセスを経ていることを確認し、不注意に準拠しない構成や脆弱性が導入されることを回避する。

PCIに準拠するには：PCIセキュリティ基準の12の要件

PCI に準拠するには、12 の PCI 準拠要件を満たす必要があります。PCI 準拠要件は 300 のサブ要件に分かれています。以下の PCI 準拠要件には、カード会員データの保護に役立つセキュリティシステム、組織プロセス、テスト、およびポリシーが含まれます。

12のPCIコンプライアンス要件を以下に要約する：

1. ファイアウォールを維持し、企業ネットワーク内のカード会員データを保護する。
2. パスワードは一意である必要がある-定期的に変更し、デフォルトを使用しない。
3. 保存データの保護- データ漏洩を回避するための物理的・仮想的対策を実施する。
4. 公共ネットワークにおけるカード会員データの送信を暗号化する。​
5. ウイルス対策-機密データを保持するすべてのシステムでウイルス対策を使用し、定期的に更新する。
6. セキュアなシステムとアプリケーションを開発し、維持する。​
7. カード会員データへのアクセスを制限する -脆弱性を低減するために、機密データへのアクセスは知る必 要がある場合のみとする
8. システムコンポーネントへのアクセスを制限する -機密データを保持するシステムへのアクセスは、認証と明確なユーザー識別が必要です。
9. カード会員データへの物理的アクセスを制限する
10. ネットワークリソースおよびカード会員データへのアクセスを追跡および監視 -監査証跡を提供し、侵害調査を支援する。
11. セキュリティシステムとプロセスを定期的にテス トし、弱点を特定して是正する
12. セキュリティ方針-全従業員の情報セキュリティに対応する明確な方針を維持する。

PCIセキュリティ・コンプライアンス・チェックリスト

このプロセスに従って、組織がPCIに準拠していることを確認してください：

1. PCIレベルの決定-年間処理トランザクション数を調べ、サポート予定の各クレジットカード会社の要件と比較します。
2. クレジットカードデータを扱うアプリケーション、システム、および担当者を含め、カード会員デー タの流れをマップする。カードデータを保持するすべてのクレジット決済プラットフォームおよびストレージシステムを含める必要があります。これは通常、IT スタッフの支援を受けて行われます。
3. 自己評価アンケート（SAQ）に記入する- そのSAQは、PCI コンプライアンスを検証するために使用されるツールで、お客様のビジネスが上記の 12 の要件（6 つの cControl mMeasures に分類）を満たしているかどうかをチェックします。各要件はより小さなステップに分かれています。PCI レベル 1 のビジネスであれば、PCI 公認の監査人が準拠を検証します。
4. コンプライアンス証明書（AOC）の記入- この書類は、事業のPCIコンプライアンスレベルによって異なります。AOCは、PCIコンプライアンスのすべてのステップを満たしていることを保証します。
5. 脆弱性スキャンの実施 -セキュリティの脆弱性をスキャンし、すべての基準を満たしていることを確認するために、承認されたスキャニング・ベンダー（ASV）を雇うことができます。ASV が必要かどうかは、SAQ の結果に基づいて判断できます。
6. 書類の提出-銀行やクレジットカード会社などにAOC、SAQ、ASVレポートなどの書類を提出する必要がある場合があります。
7. モニタリング-セキュリティ・スキャンを実施するたびに、お客様のビジネス、インフラ、保存データが変化する可能性があります。したがって、年間を通じて継続的にコンプライアンスを監視する必要がある。脆弱性と脅威の監視と対応を担当するセキュリティ・チームが必要である。

PCI DSS認定とコンプライアンス：その違いは？

PCI 認証は基本的にコンプライアンスと同じであり、PCI レベルに応じて同じ 12 の要件に準拠する必要があります。違いは以下のとおりです：

• PCI準拠は任意であり、自己評価、または1カ月もかからない軽量の外部評価に基づいている。
• PCI認証は、最長で6ヶ月を要する長いプロセスであり、認定セキュリティ評価者（QSA）が、貴社のビジネスがPCI DSS基準の数百のサブ要件の1つ1つを満たしているかどうかを詳細に調査します。

完全なPCI認証が必要ですか？

PCI レベル 1 ビジネスであれば、はい。そうでない場合は、PCI 認証を取得する必要はありませんが、取得することを選択できます。多くの企業がPCI認定を受けるのは、自社の情報セキュリティ基準に対する顧客やその他の第三者の信頼を高めるためです。

PCI DSS準拠のメリット

PCI DSS準拠には主にいくつかの利点があります：

• リスクの低減 -PCI コンプライアンスは侵害からビジネスを保護します。Verizon が実施した調査によると、コンプライアンスに準拠した企業は、侵害の試みに耐えうる可能性が 50% 高くなります。
• 顧客の信頼性の向上 -顧客は、特にインターネット上では、データセキュリティに投資し、PCI に準拠している企業から購入する可能性が高くなります。
• 追加コストの回避 -情報漏えいが発生した場合、銀行から罰金を科される可能性があり、クレジットカードの交換や顧客への補償が必要になる場合があります。侵害が少ないということは、罰金のリスクが少ないということです。ビジネスで情報漏えいが発生した場合、PCI レベル 1 に昇格し、費用のかかる完全な認定を実施する必要があります。
• 業界標準との整合 -PCI DSS 準拠により、世界中の企業が同じ高度なセキュリティ標準を適用できるようになります。規格に準拠することで、情報セキュリティが業界全体で受け入れられるレベルにあることを保証します。