PCI DSS Version2.0の変更点や対策ポイントを解説(NRIセキュアテクノロジーズ)

2010年12月16日7:00

NRIセキュアテクノロジーズ マネジメントコンサルティング部 セキュリティコンサルタント 小川 恭幸氏

NRIセキュアテクノロジーズは12月14日、「PCI DSS対策セミナー~PCI DSS v2.0の概要解説及び対策のポイント~」と題したセミナーを行った。同セミナーのセッション1ではは10月28日に発表されたPCI DSS Version2.0の変更点及び対策ポイントについてNRIセキュアテクノロジーズ マネジメントコンサルティング部 セキュリティコンサルタント 小川 恭幸氏が講演した。

同氏はまず、PCI DSSのバージョンアップサイクルはこれまでの2年間から3年ごとに変更されたことを説明(図1)。旧バージョンのVersion1.2.1は2011年12月31日に無効化され、2011年1月1日に新バージョンのVersion2.0が発効されると説明した(図2)。

図1 バージョンアップサイクル(左)、図2 新旧バージョンによる審査(右)

詳細要件の改訂概要のポイントについては、基準自体の明確化、要件に関する具体的な解釈の追加、脅威の変化に対応するための基準が一部追加されたが、内容的に大きな変化はないという(図3)。

図3 詳細要件改訂概要

次にVersion2.0への移行で強化された部分(図4)、緩和された部分を要件ごとに説明(図5)。

図4 強化された詳細要件サマリ(左)、図5 緩和された詳細要件サマリ(右)

同氏は最後にPCI DSS準拠ステップについて解説(図6)。特にスコープの決定の際にカード会員情報を処理、伝送、保存するフローを明確にする必要性があると強調した。

図6 PCI DSS準拠ステップ

page toppagetop