PCI DSSの12の要件

PCI DSS要件とは？

Payment Card Industry Data Security Standard（PCI DSS）は、ペイメントカード情報を処理する組織に適用されるデータセキュリティ基準です。PCI DSSの要件はPCIセキュリティ基準評議会（PCI Security Standards Council）によって策定され、監督されています。

PCI DSS は、クレジットカード情報の保護を確保するためのセキュリティ対策を実施するための 12 の要件で構成され、PCIコンプライアンスを実証するために必要です。クレジットカードやデビットカードなど、商品やサービスの交換のためにペイメントカードを保管または処理するすべての組織は、代償管理を通じて、または直接、12 の要件を遵守する必要があります。

一部の補償コントロールは許可されない場合があり、PCI QSA によって個別に承認される必要があることに注意してください。組織が PCI DSS 12 要件を遵守しない場合、罰金が課されたり、クレジットカード処理の権利が停止されたりする可能性があります。

本記事で提供される情報は、教育目的のみを意図したものであり、商業上、法律上、およびその他の問題に関する一般的な詳細のみを特徴としています。法的なアドバイスではなく、そのようにアプローチしてはなりません。このページに掲載されている情報は、最新の法律情報またはその他の情報ではない可能性があります。

本ページに掲載されている情報は、黙示または明示を問わず、いかなる保証も表明もなく「現状のまま」提供されています。当社は、本ページの情報に関していかなる保証も表明も行わず、本記事の情報に基づいて実行または保留される行為に関する一切の責任を明示的に否認します。

本記事の内容を、専門の法律サービス・プロバイダーまたは弁護士による法的助言の代わりとして信頼すべきではありません。法的な事柄について特にご質問がある場合は、専門の法律サービス提供者または弁護士にご相談ください。

この記事には、第三者のウェブサイトへのリンクが含まれている場合があります。これらのリンクは、ユーザー、読者、またはブラウザーの便宜のために掲載されているものであり、弊社はいかなる第三者のサイトの情報またはコンテンツも保証または推奨するものではありません。

推奨図書：SIEMとは何か、なぜ重要なのか、そして13の主要機能。

PCIに準拠する必要がありますか？

デビットカードやクレジットカードによる支払いを扱う組織であれば、PCI DSSを遵守する必要があります。

カード所有者データまたはクレジットカード・データは、PANまたはカード番号と、有効期限、カード所有者名、またはサービス・コードで構成される。PCI準拠は、機密認証情報を得るためにも必要である。この形式の機密情報には、たとえば、PIN、磁気ストライプまたはカードチップデータ、カード検証コード、およびペイメントカード取引を検証するためにカード所有者を検証するために使用されるその他の詳細情報が含まれます。

PCI SSC は、卸売業者向けに 4 段階、小売業者向けに 2 段階の準拠レベルを設定しました。組織のレベルによって、QSA による PCI 監査の対象となるか、単に SAQ を完了する必要があるかが決まります。

PCIコンプライアンス罰金

PCI 準拠は法的要件ではありませんが、準拠違反は依然として大きな懸念事項です。PCI基準を満たさない企業は、データ漏洩、罰金、カード交換費用、費用のかかるフォレンジック監査や事業調査、ブランドイメージや評判の長期的な低下などのリスクに直面する可能性があります。

PCIに準拠しない場合、あまり知られていませんが、罰則が課せられます。たとえば、企業が PCI コンプライアンス基準に違反した場合、クレジット・カード・ブランドはアクセプタ ンス銀行に毎月 5,000 ドルから 10 万ドルの罰金を科す可能性があります。銀行は通常、販売者が PCI 要件に違反した場合、これらの手数料を販売者に転嫁するか、契約を解除するか、取引手数料を値上げします。

金銭的なコストだけでなく、ビジネスに影響を及ぼす可能性のある損害もあります。PCI に準拠しないと、次のような悪影響が生じる可能性があります：

• 顧客の信頼を失い、売上や収益が減少し、極端な場合は事業停止に至る。
• 新規決済カードの再発行手数料
• クレジットカードの利用が全面的に禁止される可能性がある。
• 顧客に金銭的損失や損害を与える詐欺行為
• その後のコンプライアンス・コストは高くなる
• 裁判費用、和解、判決
• CISO、CIO、最高経営責任者（CEO）、最高財務責任者（CFO）などの職務におけるキャリア・ダメージ

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、PCI DSS コンプライアンスの取り組みを強化し、カード会員データ環境 (CDE) を保護するための追加の戦略と洞察を紹介します：

アクセス制御にゼロ・トラスト原則を用いる

CDE 内のリソースにアクセスしようとするすべてのユーザーとデバイスに対して、厳格な本人確認を実施する。最小特権アクセス原則を採用し、ユーザーがタスクに必要なデータのみにアクセスできるようにする。

ファイル整合性監視（FIM）の自動化

CDE内の重要なファイルとシステム構成が変更されていないことを確認するために、FIM用の自動化ツールを導入します。これにより、改ざん検知に関する PCI の要件への準拠が簡素化され、インシデントレスポンスが迅速化される。

侵害シミュレーション演習の採用

定期的にセキュリティインシデント（CDEを標的としたランサムウェアやフィッシング攻撃など）をシミュレートし、セキュリティ管理、スタッフトレーニング、インシデント対応計画の有効性をテストする。

AIを活用したSIEMソリューション

機械学習機能を備えた高度なSIEMツールを使用して、ログデータを分析し、異常を検出し、セキュリティ脅威を示す可能性のあるパターンを特定します。AI主導の洞察により、誤検知を減らし、真のリスクをリアルタイムで浮き彫りにすることができます。

マイクロ・セグメンテーションの導入

従来のネットワーク・セグメンテーションだけでなく、マイクロ・セグメンテーションを使用して、CDE内にきめ細かなセキュリティ・ゾーンを設定する。このアプローチにより、侵入時の横方向の動きを制限し、価値の高い資産を隔離することができます。

PCI DSS準拠要件

以下に、PCI DSS 基準の主な要件をまとめます。

1.カード会員データを保護するためにファイアウォールを設置し、保持する。

カード会員データ環境を保護するためにファイアウォールを導入し、適切に設定することで、ネッ トワークセキュリティを確保します。ファイアウォールの主な目的は、制限ルールによってネットワークトラフィックを規制することです。ファイアウォールはネットワークエッジに配備され、ネットワークに侵入しようとする攻撃者に対する最初の防御線となります。PCI は、ファイアウォール・ルールを年に 2 回見直して、そのルールが環境のセキュリティ保護に適切であることを確認するよう 組織に義務付けています。

2.強力なパスワードと安全な設定

デバイスやソフトウェアをデフォルトのパスワードのまま放置しない。ルータや POS（販売時点情報管理）機器などのデバイスは、攻撃者に知られているか、推測またはクラックが容易な標準的なユーザ名とパスワードで出荷されているため、特に脆弱です。PCI に準拠するには、カード会員環境に影響を与えるすべてのデバイスのインベントリを作成し、それらすべ てに安全なパスワードと適切なセキュリティ設定が設定されていることを確認する必要があります。

3.保存されたカード会員データの保護

組織内のカード会員情報の包括的なリスト、保存場所、保存期間を作成する。すべてのデータは、強力な暗号化、一方向ハッシュ、トランケーション、トークン化などの手段を使用して保護する必要があります。PCI 規格では、暗号化キーの厳格な管理プロセスを義務付けています。クレジットカードの詳細がどこに保存されているかを発見するのが困難な場合は、プライマリアカウント番号（PAN）のデータソースをスキャンするカードデータ発見ツールを使用することができます。

4.公共ネットワークを介したカード会員データ伝送を暗号化する。

カード会員データがオープンネットワークまたはパブリックネットワークで送信されるときは常に、暗号化することによってカード会員データを保護します。これには、公衆インターネット、GSM や GPRS などの携帯電話ネットワーク、Bluetooth などが含まれます。組織がいつ、どこでカード会員データを送信しているかを認識し、TLS（Transport Layer Security）やSSH（Secure Shell）などの安全なプロトコルを使用して暗号化されていることを確認する必要があります。

5.アンチウイルスソフトを使用し、定期的に更新する。

カード会員データ環境のすべてのコンピューティングシステムにアンチウイルスソフトウェアを導入し、 定期的に更新する。POS 機器にもアンチウイルスを搭載し、組織または POS ベンダによって定期的にスキャンを実行する。さらに、既知のマルウェアのシグネチャに一致しない場合でも、不明なファイルなどの不審なアクティビティに対 して警告を発する制御を導入する。

6.安全なシステムとアプリケーションを作成し、保持する。

ソフトウェアのパッチやアップデートは、アクセス可能になり次第、すべてのシステムに適用する。さらに、ソフトウエア・システムの脆弱性を積極的に探し出し、重要度に応じてランク付けし、対処する。あなたの組織がソフトウェア開発を行っている場合、新しいコードや変更されたコードは、既知の脆弱性をスキャンし、安全でないコーディングのやり方や未知の脆弱性を評価しなければならない。

7.知る必要性」に基づいてカード会員データへのアクセスを制限する。

カード会員データは、たとえ安全に保管されていても、組織内でのアクセスは制限される べきです。タスクを実行するためにアクセスが必要な従業員は、タスクを実行するために必要な時 間だけアクセスできるようにする必要があります。これは「知る必要性」の原則とし て知られています。従業員または第三者がカード会員データを要求し、それらが許可されていない場合は、その要求 を拒否する必要があります。

アクセス制御は、リクエストを行うエージェントが認可されているかどうか、そして現在のコンテキストで実際にデータを必要としているかどうかを考慮に入れるべきである。

8.コンピュータにアクセスできるすべての人の固有ID

カード会員環境のコンピューティングシステムにアクセスできるすべての人に一意の識別子を 割り当てる。誰かが保護されたデータにアクセスするたびに、そのアクティビティから指定された人物をトレースする 記録が必要です。

もう 1 つの要件は、2 要素認証です。たとえば、ユーザがアクセスするために、知っているもの（パスワー ド）と所有しているもの（セキュリティ・トークンなど）を提供する必要があります。PCI 規格では、安全性の高い RADIUS または TACACS トークンの使用を推奨しています。

9.カード会員データへの物理的アクセスを制限する

権限のない人物がカード会員環境の機器に物理的にアクセスできないようにする。これは、従業員、第三者の請負業者またはベンダー、ゲストなど、すべての人に適用されます。アクセスを制限する必要があるのは、コンピューティングシステム、デバイス、ストレージメディア、紙 のコピー、およびカード会員データを保存する、またはカード会員データへのアクセスを可能にするその他すべ てのものです。

そのためには、物理的施設に対する厳密な入退室管理、施設内への入室と移動の記録、専属の現場セキュリ ティ要員が必要である。カード会員データは、遠隔地にバックアップを取り、安全に保管されるべきである。不要になったデータは破棄する。組織は、アクセスが承認された後の情報の配布方法を決定するための明確な手順を持たなけれ ばならない。

10.ネットワークおよびカード会員データへのアクセスを追跡および監視する。

カード会員データ環境のネットワークに適切な監査ポリシーがあり、すべてのアクティビティがロ グされ、syslog サーバに送信されることを確認します。PCI では、疑わしいアクティビティを特定するために、少なくとも 1 日 1 回ログを確認することが義務付けられています。セキュリティ情報およびイベント監視ツール（SIEM）システムは、ログデータの一元的な保存、分 析、および警告のプロセスを自動化できます。

PCI はまた、監査証跡が最小限のデータを含み、時間同期されていることを要求しています。監査データ自体は改ざんされないように保護され、12 か月間保持する必要があります。

11.セキュリティシステムとプロセスを定期的にテストする

セキュリティ・コントロールと手順は、「設定して忘れる」だけでは十分ではありません。IT 環境は動的であり、日々新たな脅威や脆弱性が導入されるため、定期的にセキュリティプロセスをテストして、システムの安全性を確保する必要があります。具体的には、PCI は以下の定期的なテストを義務付けています：

• 無線アクセスポイント（WAP）への不正アクセス
• 四半期に1回、またはネットワークに大きな変更を加える際に、内部および外部の脆弱性をスキャンする。
• 侵入テスト
• 侵入検知・防止システム（IDS/IPS）の設定
• ファイル整合性監視（FIM）の設定

12.全従業員に影響を及ぼす情報セキュリティポリシーを維持する。

組織では、ペイメントカード会員環境に関連するすべての人員のセキュリティ責任を明確に詳述 した、正式で文書化されたセキュリティポリシーを策定する必要があります。カード会員環境にアクセスできる従業員およびその他関係者は、トレーニングを受け、ポリシーを承認す る必要があります。

このポリシーは、正式なリスク評価に基づき、毎年見直しを行う必要があります。さらに、PCI は従業員の身元調査と、文書化されたインシデント対応プロセスを義務付けています。

PCI DSS準拠Exabeam Fusion SIEM

結局のところ、PCI DSS コンプライアンスは、監査人に何を行っているかを証明することがすべてです。DLP、エンドポイント、脆弱性スキャン、ネットワーク、アイデンティティの各ベンダーがパズルのピースを提供する一方で、Exabeam Fusion SIEMは、イベントとアラートにコンテキストとリスクスコアリングを追加してエンドツーエンドの PCI DSS コンプライアンスの全体像を示すことで、すべてをまとめて攻撃の全体像を把握するのに役立ちます。

Exabeam Fusion SIEMは、PCI 資産で発見された脆弱性に関するレポートをセキュリティ・チームに提供します。このレポートでは、ファイアウォール、ルータ、スイッチ、および脆弱性データを生成するその他のデバイスが生成する脆弱性スキャンの詳細データを調べます。カード会員データ環境の脆弱性スキャンは、悪意のある個人によって発見され悪用される可能性のあるネットワーク内の潜在的な脆弱性を明らかにします。組織は、このレポートを使用して、修正が必要なカード会員システ ムの特定の高度な脆弱性または重要な脆弱性を特定します。

Fusion SIEMはまた、IDS、IPS、DLPシステムから動中または静止中に発見されたクレジットカード・データを調査し、ネットワーク経由または許可されていないリムーバブル・ストレージ・デバイスへのクレジットカード・データの不正送信の可能性を可視化します。顧客はこのレポートを使用して送信元を特定し、さらに調査して修正することができます。カード会員データ環境は、IDS、IPS、および DLP ベースのテクノロジを使用して、クレジットカードデータの不正な送信を監視する必要があります。

クレデンシャルの異常や異常なアクティビティや動きから、クレジットカード・データへのアクセスや送信に至るまで、Exabeamはあらゆるクレデンシャル、データの動き、アクティビティに対して「正常」という明確なビューを提供し、SOCのワークフローを合理化し、侵害された内部者や悪意のある内部者が発生した場合の対応を支援するだけでなく、エコシステム内でのマルウェアやランサムウェアの横方向の動きを検出します。