クレジットカード情報を取り扱う事業者に求められる
セキュリティ要件とは？

クレジットカード番号等の機微な個人情報を取り扱う事業者のなかには、従来の境界型防御にてセキュリティを担保している事業者の方もまだ多いかと思いますが、昨今のクラウドサービスの普及により情報資産が分散し、境界型防御でのセキュリティ担保が難しくなってきていることから、すべての通信を信頼しないゼロトラストセキュリティも注目されています。今回は前編として、PCI DSSの概要と要件1から要件4までの考察をお届けします。なお、本記事ではPCI DSSのVer4.0を基に記載しています。

• ※ 注意事項
  PCI DSS準拠や維持にはQSA (認定審査機関) による審査を受けるか、有資格者 (ISA：社内審査資格者) による自己問診が必要となり、本記事の内容は準拠を約束するものではありません。また審査においては各要件を満たしていることの証跡提出が求められますが、各社のIT環境により提出する証跡も変わります。PCI DSSの準拠、維持を目指すにあたっては、必ずQSA、もしくは有資格者に確認のうえ、各要件に応じたセキュリティ対策に取り組んでいただきますようお願いいたします。

ファイアウォール等によりアカウントデータを取り扱う環境へのアクセスが制御されていること、その制御ポリシーが適切に管理されていることが求められます。従来は物理機器による制御が中心でしたが、SASE (注2) 製品に含まれるFWaaS (注3) の機能やSDP (注4) の機能とIDaaS (注5) やMDM (注6) との連動機能を活用することで、これらのアクセス制御をより高度なものにすることが可能です。

不要なIPアドレス、ポートからのアクセスを遮断することはもちろん、ゼロトラストアーキテクチャを活用し、権限のないユーザーからのアクセス自体を遮断することや権限はあってもデバイスのセキュリティパッチが未適用であれば遮断するといった対応を行うことで、より要件の趣旨に即したアクセス制御を実現することが可能となります。

• 注2) SASE (Secure Access service Edge) とは、ネットワークの機能とセキュリティの機能を一体として提供するクラウドサービス、またはその考え方・概念。
• 注3) FWaaS (Firewall as a Service) とは、ネットワークやコンピューターを外部の攻撃から保護するファイアウォールをクラウドサービスとして実装・提供するもの。
• 注4) SDP (Software-Defined Perimeter) とは、ネットワークの境界 (perimeter) をソフトウェアによる制御で仮想的、動的に構成する技術であり、接続を制御するコントローラと端末やサーバー等に導入したホストを用いて動的に通信制御を行う。
• 注5) IDaaS (Identity as a Service) とは、組織内のユーザーアカウントと紐づくアクセス権限を一元管理するクラウドサービス。
• 注6) MDM (Mobile Device Management) とは、社員に支給するデバイス類のシステム設定等を一元管理する仕組み。
   

ハードウェアやOSに設定されているデフォルトアカウント等を排除していること、退職者等のアカウントを不要になった時点で速やかに削除または無効化するといった運用が実施されていること、不要なサービスやプロトコルが無効化されていることが求められ、準拠審査においてこのような設定となっていること、運用管理がなされていることの証明が必要となります。

IDaaSによるSSO (注7) やアカウントの一元管理機能であれば利用者の利便性向上とアカウント管理運用の効率化が可能です。人事システムなどとIDaaSを連動し、入社や異動、退職といったアカウントのライフサイクルに沿った権限変更、無効化などのID管理を自動化することで、運用効率化と併せて履歴などの提出が求められる審査業務の効率化、セキュリティ向上に役立ちます。

情報セキュリティ10大脅威 2024 (注2) でも「内部不正による情報漏えい等の被害」は3位であり、不要なアカウントを速やかに削除する等の管理運用を厳格に実施することは、情報漏えい対策としても無視できないものとなります。

• 注7) SSO (Single Sign-On) とは、一度の利用者認証で複数のコンピューターやソフトウェア、サービス等を利用できるようにすること。
• ※ 出典: IPA独立行政法人情報処理推進機構　情報セキュリティ10大脅威2024｜2024/1/24
  情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構　外部サイトへ遷移します。
   

アカウントデータの保存を最小限にとどめることや、アカウントデータは各処理において暗号化することが求められます。

アカウントデータを暗号化して保存することについて、対象システムのサーバー上ではローカルに保存しないことや、ミドルウェアによる暗号化が対策として考えられますが、クライアント側はIRM (注8) やDLP (注9) による持ち出し防止の対策を施すことで、よりセキュアな状態とすることが可能です。ファイルの参照、加工といった業務を行う際、その中にアカウントデータが含まれる場合には要件を満たす必要があるため、対象データを含むファイル等に対してIRMによるアクセス権限やコピー禁止等の操作権限を設定すること、想定してないデータの移動をネットワーク型のDLPにて監視することは情報漏えいを前提とした対策として有効です。

またアカウントデータが通過する通信経路も暗号化されていることが求められますので、システムとクライアント間の通信経路のセキュリティの担保として、SDPによる通信経路の暗号化、アクセス制御の活用も有効です。

• 注8) IRM (Information Rights Management) とは、文書ファイルなどを暗号化し、閲覧や編集などを管理・制限したり、操作履歴を記録したりする機能や専用のソフトウェア。
• 注9) DLP (Data Loss Prevention) とは、機密情報の紛失や外部への情報漏えいを防止・阻止すること、またはそのための装置やソフトウェア、システム等。
   

アカウントデータが閉域網等ではない通信経路を通る場合、強力な暗号化が施されていることが求められ、例えば業務アプリケーションを利用する執務室で無線LANを利用しているような場合、無線LANアクセスポイントへ暗号化等の対策が必要となります。

ニューノーマルな働き方が増え、社外でも当たり前に仕事をする昨今のビジネス環境において無線LANの利用も当たり前になっていますので、利用する無線LAN環境に適切なセキュリティ対策を施すことと併せて、MDMにより未許可の無線LANの利用を制限することが有効です。また本要件においてもSDPによるアクセス制御機能の活用が見込め、SDP機能を具備するSASE製品の多くは、クライアントからシステムまで暗号化された通信経路を構築し、ユーザーごとにアクセス制御を設定できることから、無線LANアクセスポイント利用時の認証設定、無線LANを通る通信の暗号化、アクセス制御と多層的なセキュリティ対策を構築できます。