コンテンツへスキップ

AIは2026年のサイバーセキュリティ予算の伸びを牽引するが、その価値を証明することが真の課題である--。レポートを入手する

デモを見る

4つのPCIコンプライアンス・レベルの説明

  • 8 minutes to read

目次

    PCI準拠レベルとは?

    クレジットカード情報を保存、送信、処理するすべてのサービスプロバイダーと加盟店は、PCI DSSを遵守しなければなりません。PCI DSSの目的は、クレジットカード詐欺を減らし、データ保護を向上させることです。PCIコンプライアンスは、企業の評判を維持し、セキュリティ問題やデータ漏洩を回避して消費者データを保護するために重要です。

    加盟店の PCI DSS 準拠レベルは、年間のカード処理件数に応じて 4 段階に分かれています:

    • レベル1:年間600万件以上のカード取引を処理する企業
    • レベル2:年間100万~600万件のカード取引を処理する企業
    • レベル3:年間2万~100万件のカード取引を処理する企業
    • レベル4:年間カード処理件数が20,000件未満の企業

    PCI DSS 準拠レベルは、Visa、Mastercard、American Express、JCB、Discover などの主要クレジットカード会社のコンソーシアムである PCI Security Standards Council(SSC)によって定義されています。PCI準拠レベル2~4の企業は、外部監査を受ける代わりに自己評価質問票(SAQ)に記入することができます。

    注:本記事および本ページで取り上げている情報は、教育的な議論のみを目的としており、商業的、法的、その他の問題に関する純粋に一般的な情報を特徴としています。これは法的な指針ではなく、そのように見なしてはなりません。本記事の情報は、黙示または明示を問わず、いかなる保証または表明もなく、「現状のまま」提供されるものです。当社は、本記事の内容に関していかなる保証または表明も行わず、本記事の内容に関連して行われた行為または行われなかった行為に関する一切の責任を明示的に否認します。本記事の情報を、法律の専門家であるサービス提供者や弁護士による法的助言の代わりとみなすべきではありません。法的問題について特定の質問がある場合は、弁護士または他の法律専門サービス提供者に問い合わせる必要があります。本記事には、さまざまな第三者のサイトへのリンクが含まれている場合があります。これらのリンクは、純粋にユーザー、ブラウザ、または読者の便宜のためのものであり、当社はいかなる第三者のウェブサイトからの情報も保証または推奨するものではありません。

    この用語解説について:

    このコンテンツはPCIコンプライアンス.

    推奨図書:SIEMとは何か、なぜ重要なのか、そして13の主要機能

    PCI SSC:PCIコンプライアンス・レベルを支える権威

    PCI セキュリティ基準審議会(SSC)は、ペイメントカード情報のデータセキュリティを強化することを目的に設立されました。PCIは、組織がカード会員情報のセキュリティを確保するためのフレームワーク、ツール、測定、サポートリソースを提供する組織です。

    PCI DSS は SSC が策定した基準であり、セキュリティ・インシデントの防止、検出、適切な対応など、完全なペイメントカード・データ・セキュリティ・プロセスの枠組みを提供する。

    PCI SSC が提供するツールやリソースには次のようなものがあります:

    • 認定セキュリティアセッサー(QSA)リスト、ペイメントアプリケーション認定セキュリティアセッサー(PA-QSA)、認定スキャンベンダー(ASV)などの文書化されたリソース
    • 自己評価アンケート(SAQ)は、組織が自社のコンプライアンス態勢を評価し、PCI SSC 当局に報告するために使用できます。
    • PIN取引機器のセキュリティ要件。
    • PA-DSSと検証済み決済アプリケーション

    SAQはレベル2~4にのみ関連するものであることに留意されたい。SAQ は、さまざまな加盟店環境のニーズを満たすために、さまざまな形式で利用できます。SAQ は、該当する PCI コンプライアンス要件ごとに「はい」か「いいえ」で答える一連の質問で構成されます。

    詳細はこちら:

    PCI DSSの要件に関する詳しい解説をお読みください。

    4つのPCI準拠レベルとは?

    PCI 準拠レベルはトランザクションの量に基づいています。トランザクションとは、地理的な地域に関係なく、以下のいずれかと定義される:

    • クレジットカードによる取引
    • カード決済なし
    • 電子商取引

    PCI DSS準拠レベル4

    適用対象:年間600万件以上のカード取引を処理する加盟店(例えば、複数の国で事業を展開する大規模小売店など)。

    レベル1では、加盟店は第三者監査人を利用する必要がある。外部監査は、資格のあるセキュリティ評価者(QSA)によって実施されます。このタイプの監査人は PCI SSC によって承認される必要があり、PCI SSC はコンプライアンスを確保するために組織の実践について徹底的なオンサイトレビューを実施します。

    QSA は監査の範囲を定義し、組織の文書化された記録とデータ保管をレビューし、PCI 準拠を判断します。その後、審査員は調査結果を準拠報告書(ROC)に詳細に記載します。

    詳細はこちら:

    詳細な解説を読むPCI監査:要件と監査準備のための5つのステップ

    レベル1加盟店の追加条件は以下の通り:

    • 四半期ごとのネットワーク・スキャン-これらのスキャンは、小規模な監査の一種であり、承認されたスキャン・ベンダー(ASV)によって実施される。ネットワークスキャンはリモートで実行でき、完全な年次評価ほど詳細ではありません。
    • コンプライアンス証明書 -PCI SSC の権限に対して組織のコンプライアンスへの取り組みを説明する機会です。外部監査とは異なり、コンプライアンス証明書は内部スタッフによって作成および提出されます。

    PCI DSS準拠レベル2

    適用対象:年間100万~600万件の取引を処理する組織。例えば、活発な商圏や州や地方をまたいで事業を展開する中小企業(SME)など。

    PCI DSS レベル 2 加盟店は準拠報告書(ROC)を提出する必要がありますが、これは外部監査ではなく内部評価によって実行されます。内部評価は、PCI SSC が提供する自己評価質問票(SAQ)によって行われます。

    レベル 2 の加盟店は QSA を介する必要はありませんが、すべての PCI コンプライアンス・ガイドラインを実装していることを証明する必要があります。レベル 1 の加盟店と同様に、以下のことが求められます:

    • ASVによる四半期ごとのネットワーク・スキャンの実施
    • コンプライアンス証明書を提出する。

    PCI DSS準拠レベル3

    適用対象:年間2万件から100万件の取引を処理する加盟店。例えば、地方で営業している中小企業。

    PCI DSS レベル 3 の加盟店は外部監査を実施する必要はなく、準拠報告書(ROC)を提出する必要もありません。ただし、顧客との関係を改善するため、またはカード会員データの安全性を確保するために、自主的に準拠することができます。

    それ以外は、レベル2の加盟店と同じ要件に直面する:

    • 年次自己評価アンケート
    • ASVによる四半期ごとのネットワークスキャン
    • コンプライアンス証明書(AOC)

    PCI DSS準拠レベル4

    適用対象:年間20,000件未満のeコマース取引を処理する加盟店、およびその他のすべての加盟店(アクセプタンスチャネルに関係なく)年間100万件までのVisa取引を処理する加盟店。 例えば、小規模なローカルビジネス。

    より高いレベルの PCI 準拠とは異なり、PCI DSS レベル 4 の加盟店は監査を必要とせず、ROC を提出せず、AOC フォームも必要ない場合があります。

    このレベルの組織は、主に銀行の PCI 要件を満たす必要があります。その要件には通常、以下が含まれます:

    • 認定インテグレーターおよび再販業者(QIR)のみを使用して、POS機器およびアプリケーションの設置、統合、サービスを行う。
    • 年1回の自己評価アンケート(SAQ)の実施
    • ASVによる四半期ごとのネットワーク・スキャンの実施

    エキスパートからのアドバイス

    Steve Moore

    スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech CouncilのメンバーExabeamのTEN18の共同創設者でもあります。

    私の経験から、より強固なセキュリティ体制を構築しながら、PCI DSS 監査に備え、合格するためのヒントを紹介します:

    包括的な範囲の見直しから始める

    カード会員データ環境(CDE)が正確に定義されていることを確認する。誤った定義は、コンプライアンス違反や不必要な複雑な監査につながります。データフロー、接続システム、サードパーティサービスをレビューに含める。

    監査時に役割に応じた文書化を行う

    統制が一貫して適用されていることを証明するために、異なる監査役割(IT管理者、ビジネスマネジャーなど)に合わせた文書を提供する。役割ベースの資料は、監査人とのコミュニケーションを効率化します。

    継続的なコンプライアンス・モニタリングの採用

    PCI を 1 回限りのイベントとして扱わない。SIEM や構成管理などのツールを使用して、年間を通じてコンプライアンスを監視し、監査前に潜在的な問題にフラグを立てる。

    証拠リポジトリを構築する

    ポリシー、手順、システム構成、監視ログなどの証拠を一元管理する。監査対応レポートを自動生成できるツールを使用し、証拠収集の時間を短縮する。

    監査前のアクセス制御のテスト

    すべてのアクセス制御(最小特権、固有 ID、二要素認証など)が要求通りに機能していることを確認する。不必要なアカウントが CDE リソースにアクセスできないことを定期的にテストする。

    サービスプロバイダのPCI DSSレベル

    マーチャントIDを所有しておらず、PCI DSSの承認を受けたペイメントプロセッサーに依存していない場合、どのような選択肢がありますか?

    PCI SSCによるサービス・プロバイダーの定義は以下の通り:

    ペイメントブランドとして分類されない、カード会員情報の伝送、保管、または処理に関与する事業体。また、カード会員情報のセキュリティに影響を与えたり、管理したりできるサービスを提供する企業も含まれます。

    サービス・プロバイダーには2つのレベルがある。これらは、処理するトランザクションの量によって分類される:

    • レベル1-年間30万件以上の取引
    • レベル2-年間取引件数30万件未満

    あなたの組織がサービス・プロバイダとして機能している場合(レベルに関係なく)、PCI ROC とも呼ばれる PCI レベル 1 監査を受けるメリットについて考えてみることをお勧めします。この監査は QSA を通して行われ、組織の PCI 準拠の状態、および PCI 準拠に必要なすべての手順を実行したかどうかを認定します。

    すべての要件を満たすとAOCが発行され、PCI準拠の立場を確認したい人に見せることができます。

    30 万件のトランザクションを処理しないサービスプロバイダについては、SAQ-D(PCI SSC に従ってサービスプロバイダが完了できる SAQ)を完了することができます。

    PCI DSS監査に合格するには

    レベル 1 加盟店の場合、適合性報告書(ROC)の作成には、外部の認定セキュリティ評価者(QSA)による実地 監査が必要となる。

    レベル 2 の加盟店の場合、ROC は内部セキュリティ評価者によって作成されます。PCI DSS 規格には 12 の目標と 281 のガイドラインが含まれているため、監査を完了するまでに最大 2 年かかることがあります。自己アセスメントの方が迅速ですが、リソースやネットワークおよびアプリケーションのレポートとリスクステータスを収集する能力によっては、それでも 1 年かかることがあります。

    監査には、以下のような多くの評価やテストが含まれる:

    • カード会員データ環境(CDE)および POS 機器に対する組織の管理をテストする。
    • 物理的アクセスを含むアクセス管理の評価
    • ITサプライヤーのセキュリティ・レベルの評価
    • ネットワーク・セグメンテーションの有効性をチェックする
    • 支払情報を処理するアプリケーションの特定
    • カード情報の保存の有無、保存場所、保存方法の評価
    • データ暗号化の確保

    これは最も一般的な評価の一部です。幸いなことに、PCI DSS は非常に標準化されており、各指示に従う必要があることが明確に示されています。監査または自己評価の準備をする場合は、以下の手順に従うことで、プロセスを迅速化し、コストを削減することができます:

    1. どのガイドラインが組織にとって適切か、どの評価が組織内の各部門やシステムにとって適切かを明確にする。
    2. スコープを最小化する -スコープを最小化する簡単な方法は、CDE の周囲にファイアウォールを設定し、CDE を隔離して PCI の調査をファイアウォールの背後にあるシステムに限定することです。
    3. PCI DSS 要件がどのように満たされているかを判断する -リスク評価文書を作成し、コンプライアンス違反のリスクを特定し、必要な管理策を適用して修正する。
    4. 管理のテスト -年次監査または評価の前後に実施します。PCI DSS 準拠は継続的なプロセスであり、常に注意を払う必要があります。
    5. 証拠収集-すべての監査では、貴社のプロセス、統制、セキュリティ対策の完全な文書化が必要です。時間を節約するために、事前に準備しておきましょう。

    PCIコンプライアンス

    Exabeam Fusion SIEMクラウド型ソリューションのSIEMログ管理は、従来のSIEMログ管理と、規定ワークフローや事前にパッケージ化された脅威固有のコンテンツによる成果ベースのアプローチを組み合わせることで、脅威の検出、調査、対応(TDIR)を迅速に解決します。何百ものサードパーティセキュリティツールとの事前構築済みの統合により、他の製品からの弱いシグナルと正常な行動パターンの履歴を組み合わせて、他のツールで見逃された脅威を発見します。単一の集中管理画面からトリアージ、調査、対応活動を自動化することで、アナリストの生産性を飛躍的に高め、対応時間を短縮します。

    Exabeam Fusion SIEM:PCI DSS準拠のための包括的なコンプライアンス・ロギング

    Fusion SIEMには、「VPNログインの失敗」や「リモート・セッションのタイムアウト」などのPCI DSSコンプライアンス・レポートがあらかじめ定義されているため、監査人にコンプライアンスを簡単に示すことができます。Exabeam Cloud Archiveは、オンライン検索可能なデータを最大10年間保存することができ、社内のコンプライアンス関係者や社外の監査人の保存要件を満たします。

    自動化、高速化脅威検知

    迅速な脅威検知は、PCI DSS の重要な要件です。Exabeamは、エンドポイント検出・対応(EDR)ツール、ネットワーク検出・対応ツール(NDR)、クラウドセキュリティツール、アイデンティティおよびアクセス管理ソリューションなどからの情報を組み合わせて、ネットワーク上のすべてのユーザーとエンティティの正常な動作を継続的にベースライン化します。エンド・ユーザーやサービス・アカウントによる正常な動作からの逸脱、ファイルや疑わしいサーバーやクラウドへのアクセスにはフラグが立てられ、リスク・スコアが割り当てられます。ネットワーク上のすべてのインシデントとアラートは自動的にタイムラインに整理され、セキュリティ・チームが調査して決定的なアクションを取るためのコンテキストが提供されます。その結果、アナリストはインサイダーの脅威、侵害されたアカウント、データ損失などを迅速に検出することができます。

    PCI DSS は、特に特別なアクセスを持つ特権ユーザーやサードパーティベンダーの継続的なアカウント監視を重視しており、Exabeam はこのミッションをサポートしています。Fusion SIEMは、SOCアナリストが財務報告に関連する危険なアクティビティを、それがどこで発生したかにかかわらず、迅速かつ正確に特定するのに役立ちます。Exabeamは、クラウド、データベース、電子メール、アプリケーションなど、異なるドメインのログデータを取り込み、一貫したアクティビティチェーンに組み立てることで、アナリストの可視性を向上させます。特にデータ改ざんの検知に関しては、Exabeamにはファイル監視モデルが組み込まれており、初期アクセス、メールへのデータ添付、ダウンロード、USBドライブへの書き込みなど、ファイルに関連するあらゆるアクションを追跡します。

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。

    • ホワイトペーパー

      リスクの責任

      今すぐ読む
    • 機能概要

      クラリティ法

      今すぐ読む
    • ブログ

      モデル・コンテキスト・プロトコル・サーバーAIエージェントのためのユニバーサル・リモート

      今すぐ読む
    • ブログ

      2026年1月新スケール:AIエージェント・セキュリティの登場

      今すぐ読む
    • もっと見る