PCI DSS(Payment Card Industry Data Security Standard)は、決済処理を行うアプリケーションは、ハッカーや悪意ある攻撃者にとって魅力的な標的であるため、2004年に主要なクレジットカード会社によって策定された国際的なセキュリティ基準です。
目次
PCI DSSの使命は、クレジットカードおよびデビットカード取引のセキュリティを確保し、銀行やペイメントカード業界の損失を抑制するだけでなく、消費者の信頼と安全性を高めることです。これは、カードデータの機密性、完全性、および正確性を保護する一連のセキュリティ管理を通じて実現されます。このコンプライアンス基準は、クレジットカードデータを保存、処理、および送信するすべてのお客さまに適用されます。NISTは推奨フレームワークですが義務ではありません。一方、PCI DSSは必ず遵守する必要があります。
PCI DSS要件
PCI DSSは、6つの管理目標にグループ化された12の要件で構成されており、クレジットカードデータを処理、保管、または送信する組織が安全な環境を維持できるようにします。コンプライアンス遵守は、カード会員情報の保護と全体的なセキュリティ対策の強化に役立ちます。
目標1:安全なネットワークの構築と維持
- ルール1:ファイアウォールをインストールして維持する
- ルール2:ベンダのデフォルトのパスワードや設定を使用しない
目標2:カード会員データの保護
- ルール3:保存されたカード会員データを保護する
- ルール4:送信されるカード会員データを暗号化する
目標3:脆弱性管理プログラムを維持する
- ルール5:マルウェアから保護する
- ルール6:安全なシステムを開発し維持する
目標4:アクセス制御を管理する
- ルール7:カード会員データへのアクセスを制限する
- ルール8:カード会員データにアクセスできるすべての人を一意に識別する
- ルール9:カード会員データへの物理的なアクセスを制限する
目標5:ネットワークの監視とテスト
- ルール10:カード会員データへのすべてのアクセスを追跡・監視する
- ルール11:システムセキュリティをテストする
目標6:情報セキュリティポリシーを維持する
- ルール12:組織内で情報セキュリティポリシーを作成し、施行する
コンプライアンスレベルは4段階に分かれており、年間のクレジットカード/デビットカード取引件数に応じて異なります。このレベル分けによって、組織がコンプライアンスを維持するために必要な対策が決まります。
- レベル1:年間600万件以上のトランザクション - 要件:PCI認定監査人による年次内部監査の実施。さらに、四半期に1回、ASV(Approved Scanning Vendor)によるPCIスキャンを実施する必要があります。
- レベル2:年間100万~600万件のトランザクション - 要件:SAQ(Self-Assessment Questionnaire)を用いた年次評価の実施。四半期ごとのPCIスキャンが必要となる場合があります。
- レベル3:年間20,000~100万件のトランザクション - 要件:年1回の自己評価と、場合によっては四半期ごとのPCIスキャン。
- レベル4:年間20,000件未満のトランザクション - 要件:年1回の自己評価と、場合によっては四半期ごとのPCIスキャン。
PCI DSSコンプライアンスが重要な理由
コンプライアンスを維持するためには、組織全体で取り組むことが重要です。この取り組みはCISO(Chief Information Security Officer)を起点に、SecOpsチームからDevOpsチームへと広がります。理想的なDevSecOps(Development, Security, and Operations)体制では、セキュリティ責任に上下関係はなく、互いに連携しながら業務を進めます。SecOpsはDevOpsチームが必要な対応を理解できるよう支援し、開発者はアプリケーションレベルでセキュリティ対策を実装する必要があります。
12のPCI DSSルールに基づき、継続的なコンプライアンスをチームの取り組みによって実現する例を以下に示します。
- ルール6 :開発者はセキュリティを考慮してシステムを構築する必要があります。
- ルール8:IAM(Identity and Access Management)は、すべてのユーザに固有のユーザIDを割り当てる必要があります。
- ルール9:物理セキュリティ部門は、建物やサーバルームへのアクセスが適切に制御されていることを確認する必要があります。
- ルール10:セキュリティ運用では、カード会員データへのアクセスを記録および追跡するためのログを確実に作成する必要があります。
- ルール11:運用チームと開発チームは協力してサーバとソフトウェアをテストする必要があります。
- ルール12:経営陣は、ビジネスで達成しなければならない情報セキュリティとコンプライアンスのレベルを詳細に規定するポリシーと関連文書を作成する必要があります。
コンプライアンス遵守は、組織全体で取り組むべき重要な責任です。これは、組織全体の利益のためだけでなく、リリース後に大量の緊急アラートが発生するリスクを回避し、効率的に開発・運用を進めるためにも不可欠です。
お客さまの責任は主にアプリケーションレベルにあります。これには、安全なソースコードの使用や、CI/CD(Continuous Integration/Continuous Delivery)パイプラインの適切な構成の確保などが含まれます。専門家でなくても適切な対応は可能です。重要なのは、適切なリソースを理解し、正しく適用することです。
設定ミスを防ぐには、CSP(Cloud Service Provider)のドキュメントサイトを確認することを推奨します。ただし、すべての情報を確認するには時間がかかる場合があります。そのような場合は、自動化機能を備えたセキュリティソリューションの利用を特に推奨します。
代表的なデータ侵害事例として挙げられるのは、1億600万件の顧客情報が流出し、米国規制当局から8,000万ドルの罰金を科されたキャピタル・ワンのハッキング事件です。PCI DSSの要件を参照し、他の情報漏洩事例と、それらを防ぐための対策を確認しましょう。
Hobby Lobby
2021年初頭、Hobby Lobbyはハッキング被害を受けました。『Boogeyman』というハンドルネームを使用する独立系セキュリティ研究者が、この侵害を特定しました。研究者は、AWS(Amazon Web Services)上で誤って公開されていたデータベースを発見しました。そこには、Hobby Lobbyのお客さま30万人以上の機密情報が含まれており、データベースの容量は138GBに達していました。氏名、住所、電話番号、カード情報の一部が含まれていたほか、さらに特筆すべきは、同じデータベースに同社のアプリケーションのソースコードも含まれていたことです。これは別の重大な問題です。
この侵害は、クラウドデータベースの設定ミスが原因で、誰でもアクセス可能な状態になっていました。決済カードのデータがオープンサーバに保存されていたため、PCI DSSのルール3、7、9に違反していました。また、Hobby Lobbyはルール10にも違反していました。ルール10では、カード会員データおよび関連するネットワークリソースへのアクセスを追跡・監視することが求められていますが、このルールは遵守されていませんでした。適切な監視が行われていれば、設定ミスは早期に修正され、この事態は回避できた可能性があります。
Macy’s
大手小売業者であるMacy’sは、2019年10月に情報漏洩の被害を受けました。マイアカウントのウォレットページやオンラインチェックアウトシステムを利用したお客さまの決済カード番号、セキュリティコード、有効期限が漏洩しました。Macy’sは影響を受けたお客さま数を公表していませんが、同年4月までの月間オンラインアクセス数は5,570万件に達していました。1件の情報漏洩であっても重大な懸念事項です。
この侵害は、チェックアウトページとウォレットページにマルウェアを注入した標的型Magecart攻撃が原因で発生しました。Macy’sは多数のPCI DSSルールに違反しており、さらに問題なのは、Magecartが広く知られた攻撃手法である点です。実際、Macy’sはその年に被害を受けた数多くの企業の一つに過ぎず、FILA、Ticketmaster、ブリティッシュ・エアウェイズなどが含まれます。過去の攻撃事例は、Macy’sがPCI DSSのルールに基づきセキュリティ監査を実施し、脆弱性修正を促す重要な警鐘となるべきでした。
プロダクトマネジメント担当バイスプレジデントのScott Sargeantは、サイバーセキュリティとIT分野で25年以上にわたりエンタープライズクラスのソリューションを提供してきた、経験豊富なテクノロジーリーダーです。