2022年3月10日9:00
要件対応のための独自の手法を支援する
カスタマイズドアプローチを設定
続いて2つ目のゴールについて説明いたします。PCI SSCは、要件とは異なる独自の手法でセキュリティを達成する事業体・組織を支援するための柔軟性を追加すべきと考えてまいりました。バージョン4.0では、新しいテクノロジーや手法の使用を認めて評価してまいります。PCI DSSの基本的なフレームを維持しつつ、要件とは異なる対応を評価する新しいアプローチを導入し、DSS要件の目的を達成するための2つのオプションを用意します。
アプローチの1つはDefined(定義された)アプローチ、もう1つはCustomized(カスタマイズド-独自)アプローチです。これら2つのアプローチは要件単位で選択できますので、混合した使用も可能になっています。
Defined(定義された)アプローチは、DSSの実行と評価についての従来型の手法です。要件に沿った対応が実行され、評価者は定義されたテスト手順にしたがって評価を行います。DSSの要件通りに対応を装備している事業体、あるいは従来手法に沿って実施することを希望する事業体に有効です。また、新たにゼロからDSS対応、あるいは情報セキュリティに取り組む事業体にも適していると思います。
これに対してカスタマイズドアプローチは、DSS要件の目的にフォーカスします。要件に規定された目的に対応するための独自の対策を認めるものです。独自のアプローチですので、決められたテスト手順は存在しません。評価者は規定された目的が達成されていることを確認するために、独自にテスト手順を考案することが必要です。カスタマイズドアプローチにはより多くのレポート要件がありますので、リスクマネジメントにおいて成熟した事業体に向いていると考えています。
皆様にすでに馴染みのある「代替コントロール」という手法もあります。バージョン4.0でもこれが事業体の選択肢として維持されることになります。この代替コントロールはカスタマイズドアプローチの導入に合わせ、第2回のRFCでは廃止する方向で提案してまいりました。しかしフィードバックにより復活することになりました。バージョン4.0では評価される事業体が代替コントロールとカスタマイズドアプローチの両方を活用できます。
代替コントロールはあくまでビジネス上、あるいはテクニカルな事情により、要件対応ができない事業体が、リスクを緩和するために使う手法です。一方、カスタマイズドアプローチは、異なる手法でDSS要件の目的を達成する、ある意味で革新的、斬新な手法です。採用された対応がDSS要件の目的を達成しているかについて、文書化されたリスク管理プラクティスを持っていることが求められます。ROC(Report on Compliance)という詳細レポートの中で文書化され、これをQSAまたはISAと呼ばれる被監査企業側の内部セキュリティ評価者が完成させることになります。したがってカスタマイズドアプローチを採用する場合は、QSAまたはISAによる評価と、ROCの作成が必須になります。
バリデーション文書も大幅に改訂
信頼性・透明性の強化と共に作成者の負荷を軽減
次に3つ目のゴールについて説明いたします。継続的なプロセスとしてセキュリティを推進していくということです。これを実現するために、セキュリティを維持する手法についてのガイダンスを追加しています。要件ごとに、目的を明らかにするとともに、グッドプラクティス、事例紹介、参考情報などの項目を設けて丁寧な解説を行っています。また、各自の役割や責任について明文化する要件を追加しています。役割を与えられた責任者や担当者が、セキュリティ確保という課題に日常の職務の中でどのように取り組んでいくべきかについて解説しています。
4つ目のゴールは、バリデーションの手法と手続きの強化です。ひとつには、カスタマイズドアプローチに必要な情報をROCに取り込み、レポートの柔軟性と完全性を向上させてまいります。一方で自己診断に関しては、レポートと準拠証明書の簡素化と内容の明確化、透明性の向上など、診断の信頼性と理解の向上を目指します。
昨年6月の第3回RFCでは、バリデーション文書のドラフトを対象に意見を募りました。提示したドラフトの中には、ROCのテンプレートのほかに、MAF(Merchant Assessment Forms:加盟店自己診断書)、AOCが含まれていました。寄せられた1,300件近いフィードバックのうち48%がROCについてのもの、37%がMAFについて、15%がAOCについてでした。
カスタマイズドアプローチの導入によりROCがより広く、頻繁に使われることが想定されています。ROC作成の負荷軽減のためにコピー&ペーストがうまく活用できるとか、作成ガイドをドキュメントの中に設定するなどの工夫をしています。代替コントロールについてもAOCの中にワークシートを用意しています。これを使うことによってレポーティングが強化されていくと考えています。
ROCは資格を持つ評価者が作成しますが、一方でSAQに代わるMAFを活用した自己診断の方法についても検討してまいりました。加盟店の自己診断について、以前より現状のSAQの種類が非常に多くてわかりにくいという声がありました。結果的にチェックボックスにチェックを入れるだけで終わらせてしまったり、正しい評価ができなかったりする傾向がありました。このような課題に対応するために考案されたMAFですが、しかし第3回RFCで寄せられたフィードバックにより、MAFの導入は延期されバージョン4.0用のSAQをリリースし、ステークホルダーはSAQの利用を継続することとなりました。
またサービスプロバイダのSAQに関しては廃止し、ROCに一本化してはどうかという提案をいたしました。これについてもRFCで多くの意見が寄せられ、より詳細で複雑なレポーティングが必要なROCを完成させることは、特に比較的小規模なカード会社やサービスプロバイダにとっては大きな負担になるとの声が聞かれました。一方では、ROCに取り組むことで、SAQよりも信頼性の高い評価を実現できるという意見もありました。その結果、現在のSAQを改訂したサービスプロバイダ用のSAQがリリースされます。これにはテスト手順などを盛り込んで、使いやすさの向上を目指します。
新基準の日本語版は4月リリース目標
バージョン3.2.1から4.0への移行期間は2024年3月まで
