2023年4月25日8:00
米国時間の2022年3月31日、PCIセキュリティ・スタンダード・カウンシル(PCI SSC)よりPCI DSS Version 4.0(以下、PCI DSSv4.0)がリリースされた。本稿では、BSIグループジャパン 認証事業本部プロダクトマネージャ PCI SSC認定審査員の柳原俊郎氏に、対応に向けたポイントについて解説してもらった。(「決済セキュリティ2.0」より)
BSI グループジャパン株式会社 認証事業本部 ファイナンスプロダクトマネージャ PCI SSC 認定審査員(QSA, P2PE/3DS Assessor)柳原俊郎氏
v4.0によるPCI DSS審査は、国内・海外で既に開始されていますが、これからv3.2.1からv4.0への移行を検討されている事業体の方々向けに、その対応のポイントを解説します。
v3.2.1が廃止される2024年3月31日まで、あと1年となった現在、鍵となるのは、全要件の約1/4弱を占める64の新要件への対応です。新要件は、適用開始時期(2024年3月31日以降か、2025年3月31日以降か)により、2つに分けられます。2024年度審査に向けた対策、2025年度審査に向けた対策について、それぞれを着実に進めることが、PCI DSS v4.0準拠に向けた対応のポイントとなります。
(1)2024年度の審査に向けた対策
即時適用となる新要件(13要件)への対応
即時適用が求められる新要件は、下記のとおりです。
① 各要件(要件2~11)に関する役割と責任の文書化と割当、周知(要件2.1.2~11.1.2、全事業体が対象)
② PCI DSSのスコープの文書化と年1回のレビュー(要件12.5.2、全事業体が対象)
③ 顧客への、PCI DSSの準拠状況や自社が責任を持つPCI DSS要件に関する情報提供・支援(要件12.9.2、サービスプロバイダのみ)
④ カスタマイズアプローチを使用した場合のターゲットリスク分析(要件12.3.2、該当する事業体が対象)
v4.0で変更された共通事項への対応
(複数の要件に影響が及ぶもの)
v4.0では、基準書の前半の導入セクションで、以下の共通事項が変更されました。そのため、自社のカード会員データ環境(CDE)の定義の見直しや定期的な実施が求められるPCI DSSに規定されたコントロール(セキュリティテスト等)の自社での運用ルールの見直しなどが必要となります。
●カード会員データ環境(CDE)の定義が一部変更されたこと
(セクション4:PCI DSS要件の適用範囲)
●時間枠のガイドラインが新たに設けられたこと
(セクション7:PCI DSS 要件における時間枠の説明)
カード会員データ環境(CDE)の定義の一部変更
スコープの設定は、「PCI DSS 評価に含まれるすべてのシステム・コンポーネント、人、およびプロセスを特定するプロセス」であり、PCI DSSのスコープ(適用範囲)に、(A)「カード会員データ環境(CDE)」及び (B)「CDEのセキュリティに影響を与える可能性のあるシステム・コンポーネント、人、プロセス」を含めることは、v4.0でも変更はありません。ただし、v4.0では、(A)「カード会員データ環境(CDE)」の定義が一部変更され、下記の下線部が追加になりました。
‒カード会員データ(CHD)および/または機密認証データ(SAD)を保存、処理、および送信するシステム・コンポーネント、人員、およびプロセス、および、
‒CHD/SADを保存、処理、または伝送しないが、CHD/SADを保存、処理、または伝送するシステム・コンポーネントに無制限の接続性を有するシステム・コンポーネント。
下線部の追加は、CHD/SADを保存、処理、または伝送しないシステム・コンポーネントが、CHD/SADの保存、処理、または伝送を行うシステム・コンポーネントに無制限の接続性を有する場合、CHD/SADの漏洩リスクを踏まえ、CDEに含めて、CDE内の他のシステム・コンポーネントと同等の保護策が求められる趣旨と解釈されます(例:CDEへのアクセスに対する多要素認証の実装など)。対象となりうるシステム・コンポーネントには、認証サーバ、リモートアクセスサーバ、ログサーバなどが想定されています(CDEの定義変更が影響する要件は、資料Aをご参照ください)。
資料A:カード会員データ環境(CDE)が関わる管理策を定めた主な要件
時間枠のガイドラインが新たに設けられたこと(毎月、3カ月に1回、6カ月に1回、大幅な変更等)
V4.0では、v3.2.1には存在しなかった、時間枠に関するガイドラインが新たに設けられました。
