このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

閉じる
閉じる
閉じる
クレジットカード情報を取り扱う事業者に求められるセキュリティ要件とは?
ゼロトラストブログ vol. 11

クレジットカード情報を取り扱う事業者に求められる
セキュリティ要件とは?

~ PCI DSS要件へのゼロトラストアーキテクチャ活用を考察する (前編) ~

2024 4/23
皆さまPCI DSSはご存じでしょうか?PCI DSSはクレジットカード情報を取り扱う事業者に求められるセキュリティ要件であり、6つの項目と12の要件で構成されています。コロナ禍よりキャッシュレス決済が普及し、クレジットカードの不正利用被害額は2023年通年で540.9億円 (注1) に上ったことから、改めてPCI DSSが注目されています。
本日はPCI DSSが求めるセキュリティ要件に対し、ゼロトラストアーキテクチャをどのように活用できるのか、その考察内容をゼロトラスト推進部の小川がご紹介します。PCI DSSはカード発行会社や決済代行事業者などのクレジットカードを取り扱う多くの事業者に対応が求められますので、クレジットカード情報の保護を検討されている事業者の皆さまはぜひご一読ください。

注1) 出典: 日本クレジット協会 クレジットカード不正利用被害額の発生状況 2024年3月

ゼロトラストについてのおさらいは、こちらの記事を参照ください



はじめに

クレジットカード番号等機微個人情報を取り扱う事業者のなかには、従来境界型防御にてセキュリティ担保している事業者の方もまだ多いかと思いますが、昨今クラウドサービス普及により情報資産分散し、境界型防御でのセキュリティ担保が難しくなってきていることから、すべての通信信頼しないゼロトラストセキュリティ注目されています。今回前編として、PCI DSSの概要要件1から要件4までの考察をお届けします。なお、本記事ではPCI DSSのVer4.0を基に記載しています。

  • ※ 注意事項
    PCI DSS準拠や維持にはQSA (認定審査機関) による審査を受けるか、有資格者 (ISA:社内審査資格者) による自己問診が必要となり、本記事の内容は準拠を約束するものではありません。また審査においては各要件を満たしていることの証跡提出が求められますが、各社のIT環境により提出する証跡も変わります。PCI DSSの準拠、維持を目指すにあたっては、必ずQSA、もしくは有資格者に確認のうえ、各要件に応じたセキュリティ対策に取り組んでいただきますようお願いいたします。

PCI DSSとは

PCI DSS (Payment Card Industry Data Security Standard) は、クレジットカード国際ブランド5社 (VISA, Mastercard, JCB, American Express, Discover) が共同策定した情報セキュリティ基準であり、クレジットカード情報保護するための具体的要件定義されています。PCI DSSは保護すべきクレジットカード情報アカウントデータとして以下のように定義しており、これらの情報保存処理伝送するすべての事業者 (クレジットカード発行事業者はもちろん決済代行事業者等も含まれる) が対象となります。

アカウントデータ

表1: アカウントデータ

PCI DSS要件

PCI DSSは6つの項目と12の要件構成されており、対象となる範囲において、これらすべてを遵守する必要があります。
次項より各要件に対して、ゼロトラストアーキテクチャをどのように適用できるのか考察します。

6つの項目 12の要件
1. 安全なネットワークのシステムの構築と維持
  • [1] ネットワークセキュリティコントロールの導入と維持
  • [2] すべてのシステムコンポーネントにセキュアな設定を適用する
2. アカウントデータの保護
  • [3] 保存されたアカウントデータの保護
  • [4] オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
3. 脆弱性管理プログラムの維持
  • [5] 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
  • [6] 安全なシステムおよびソフトウェアの開発と維持
4. 強力なアクセス制御の実施
  • [7] システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲 (Need to Know) によって制限する
  • [8] ユーザーの識別とシステムコンポーネントへのアクセスの認証
  • [9] カード会員データへの物理アクセスを制限する
5. ネットワークの定期的な監視とテスト
  • [10] システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
  • [11] システムおよびネットワークのセキュリティを定期的にテストする
6. 情報セキュリティ・ポリシーの維持
  • [12] 組織の方針とプログラムによって情報セキュリティをサポートする

表2: PCI DSSの6つの項目と12の要件

各要件においてゼロトラストアーキテクチャを
どのように活用できるのか考察する

本項では各要件においてゼロトラストアーキテクチャをどのように活用できるかを考察します。

要件1: ネットワークセキュリティコントロールの導入と維持

ファイアウォール等によりアカウントデータを取り扱う環境へのアクセス制御されていること、その制御ポリシー適切管理されていることが求められます。従来物理機器による制御中心でしたが、SASE (注2) 製品に含まれるFWaaS (注3)機能やSDP (注4)機能とIDaaS (注5) やMDM (注6) との連動機能活用することで、これらのアクセス制御をより高度なものにすることが可能です。

不要なIPアドレスポートからのアクセスを遮断することはもちろん、ゼロトラストアーキテクチャ活用し、権限のないユーザーからのアクセス自体遮断することや権限はあってもデバイスセキュリティパッチ未適用であれば遮断するといった対応を行うことで、より要件趣旨に即したアクセス制御実現することが可能となります。

上記記載内容を可視化した図
  • 注2) SASE (Secure Access service Edge) とは、ネットワーク機能セキュリティ機能一体として提供するクラウドサービス、またはその考え方・概念
  • 注3) FWaaS (Firewall as a Service) とは、ネットワークコンピューター外部攻撃から保護するファイアウォールクラウドサービスとして実装提供するもの。
  • 注4) SDP (Software-Defined Perimeter) とは、ネットワーク境界 (perimeter) をソフトウェアによる制御仮想的動的構成する技術であり、接続制御するコントローラ端末サーバー等に導入したホストを用いて動的通信制御を行う。
  • 注5) IDaaS (Identity as a Service) とは、組織内ユーザーアカウントと紐づくアクセス権限一元管理するクラウドサービス
  • 注6) MDM (Mobile Device Management) とは、社員支給するデバイス類のシステム設定等一元管理する仕組み。
     

要件2: すべてのシステムコンポーネントにセキュアな設定を適用する

ハードウェアやOSに設定されているデフォルトアカウント等を排除していること、退職者等アカウント不要になった時点で速やかに削除または無効化するといった運用実施されていること、不要サービスプロトコル無効化されていることが求められ、準拠審査においてこのような設定となっていること、運用管理がなされていることの証明必要となります。

IDaaSによるSSO (注7)アカウント一元管理機能であれば利用者利便性向上アカウント管理運用効率化可能です。人事システムなどとIDaaSを連動し、入社異動退職といったアカウントライフサイクルに沿った権限変更無効化などのID管理自動化することで、運用効率化と併せて履歴など提出が求められる審査業務効率化セキュリティ向上役立ちます。

情報セキュリティ10大脅威 2024 (注2) でも「内部不正による情報漏えい等の被害」は3位であり、不要アカウントを速やかに削除する等の管理運用厳格実施することは、情報漏えい対策としても無視できないものとなります。

上記記載内容を可視化した図

要件3: 保存されたアカウントデータの保護

アカウントデータ保存最小限にとどめることや、アカウントデータ各処理において暗号化することが求められます。

アカウントデータ暗号化して保存することについて、対象システムサーバー上ではローカル保存しないことや、ミドルウェアによる暗号化対策として考えられますが、クライアント側はIRM (注8) やDLP (注9) による持ち出し防止対策を施すことで、よりセキュア状態とすることが可能です。ファイル参照加工といった業務を行う際、その中にアカウントデータが含まれる場合には要件を満たす必要があるため、対象データを含むファイル等に対してIRMによるアクセス権限コピー禁止等操作権限設定すること、想定してないデータ移動ネットワーク型のDLPにて監視することは情報漏えいを前提とした対策として有効です。

またアカウントデータ通過する通信経路暗号化されていることが求められますので、システムクライアント間の通信経路セキュリティ担保として、SDPによる通信経路暗号化アクセス制御活用有効です。

上記記載内容を可視化した図
  • 注8) IRM (Information Rights Management) とは、文書ファイルなどを暗号化し、閲覧編集などを管理制限したり、操作履歴記録したりする機能専用ソフトウェア
  • 注9) DLP (Data Loss Prevention) とは、機密情報紛失外部への情報漏えいを防止阻止すること、またはそのための装置ソフトウェアシステム等。
     

要件4: オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する

アカウントデータ閉域網等ではない通信経路を通る場合強力暗号化が施されていることが求められ、例えば業務アプリケーション利用する執務室無線LANを利用しているような場合無線LANアクセスポイント暗号化等対策必要となります。

ニューノーマルな働き方が増え、社外でも当たり前に仕事をする昨今ビジネス環境において無線LANの利用も当たり前になっていますので、利用する無線LAN環境適切セキュリティ対策を施すことと併せて、MDMにより未許可無線LANの利用制限することが有効です。また本要件においてもSDPによるアクセス制御機能活用見込め、SDP機能具備するSASE製品の多くは、クライアントからシステムまで暗号化された通信経路構築し、ユーザーごとにアクセス制御設定できることから、無線LANアクセスポイント利用時認証設定無線LANを通る通信暗号化アクセス制御多層的セキュリティ対策構築できます。

上記記載内容を可視化した図

まとめ

前編ではPCI DSSの要件1から要件4に対して、ゼロトラストアーキテクチャをどのように活用できるのかを検討し、以下のように活用することができるのでは、と考察しました。

次回要件5から要件12において、ゼロトラストアーキテクチャをどのように活用できるのか考察いたしますので、後編もぜひご覧ください。本ブログがPCI DSS準拠に向けたセキュリティ対策検討一助となれば幸いです。

執筆者プロフィール

小川 智章 (おがわ ともあき)
イシュアの情報システム部に14年在籍し、複数の構築案件PMやインフラ責任者としてアプリケーション、インフラ、ネットワーク構築に係るさまざまな案件の上流工程に従事、2023年4月にKDDIへ入社。
現在は、ゼロトラストを中心としたITインフラのコンサルティングを担当。

本サービスへのお問い合わせ

KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。

ホワイトペーパー

最新のイベント・セミナー情報



ピックアップ