KEYWORD ENCYCLOPEDIA

キーワード事典 | セキュリティに関するキーワードを解説

PCI DSS(Payment Card Industry Data Seucurity Standards)
読み方:ペイメントカード・インダストリー・データ・セキュリティ・スタンダード

この記事をシェア

クレジットカード業界が国際的に通用するものとして策定したセキュリティ基準。事業者がこの認証を取得することによって安全な取引の基盤が形成されることが期待されており、対策を行うべきセキュリティのポイントが明記されている。


あらゆる組織(公的であれ私的であれ、また、商用であれ非商用であれ)において個人情報は保護されるべき対象である。

このことはオフラインにおいては以前から強調されてきたことであるが、オンラインにおいては近年になって、国際的には人権法によって、また国内においては個人情報保護法によって、ようやくはっきりと記されるようになった。

銀行や他の金融機関もまた、サイバー犯罪者(や組織)の手に個人情報が漏えいしないように、顧客の取引情報と個人情報を保護する責任が新たに加わっている。

2004年に大手クレジットカード会社5社(VISA 、MasterCard、Discover、JCB、American Express)によって策定された「PCI DSS」はまさしく、その名の通り、クレジットカード業界が不正アクセスや不正使用から顧客の個人情報と取引情報を保護するために策定した、データサービスにおけるセキュリティの基準である。

この基準は、実店舗での支払いにおいても、ネット通販におけるオンライン決済においても、どのような場合においても守るべき基準であり、事業者がこの認証を取得していれば、最低限の安全な取引の基盤が形成されている目安となり得るものである。

PCI DSSには、以下のように12の要件が含まれている。

安全なネットワークの構築と維持

1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する

2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護

3 保存されるカード会員データの保護

4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの整備

5 アンチウイルスソフトまたはプログラムを使用し、定期的に更新する

6 安全性の高いシステムとアプリケーションを開発し、保守する

強固なアクセス制御手法の導入

7 カード会員データへのアクセスを、業務上必要な範囲に制限する

8 コンピューターにアクセスできる各ユーザーに一意のIDを割り当てる

9 カード会員データへの物理的アクセスを制限する

ネットワークの定期的な監視およびテスト

10 ネットワークリソースおよびカード会員データへの全てのアクセスを追跡および監視する

11 セキュリティおよびプロセスを定期的にテストする

情報セキュリティポリシーの整備

12 全ての担当者の情報セキュリティポリシーを整備する

これらの要件を事業者が満たそうとするならば、運営面における適切性などが一つひとつ検証されるために、セキュリティに対して一定程度の効果が見込めるであろう。

では、事業者は実際にどのような対応を行えばいいのであろうか。

例えば、こうした12の基準に対して、ウイルス対策ソフト(セキュリティソフト)は、ファイアウォール(要件1)を搭載しており、ウイルス監視(要件5)を常時可能にするだろう。

また、暗号化ソフトは、保存されているデータの保護(要件3)を行い、インターネットやメールで個人情報を暗号化(要件4)して送る一方で、組織内LANにおいても同様に暗号化や閲覧制限などを行う(要件7)ことが可能である。

もちろん、ハートブリードやシェルショックなど、誰もが予想しない脆弱性が発生し攻撃を受けた場合、しかも、その攻撃が無差別的な一斉攻撃ではなく標的型攻撃であった場合、いくらこうした業界のセキュリティ基準を遵守してもセキュリティが突破されてしまう恐れはある。

最低限抑えておかなければならないこうした「基準」の遵守は、自分たちの組織とその顧客を守るばかりでなく、その社会全体を守ることとつながる。セキュリティとはそうした相互の協力の下に初めて成立する、ということを忘れるべきではないだろう。

この記事をシェア

ネットバンキングのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!