PCI DSSの新バージョンV3.0の改定ポイントを紹介(富士通FIP)

2013年12月6日7:34

富士通エフ・アイ・ピー(富士通FIP)は、2013年12月4日、PCI DSS審査機関(QSA)であるBSIグループジャパンと、セキュリティベンダーのトレンドマイクロとともに、PCIDSS新バージョンVersion 3.0に関する情報や、セキュリティ対策の最新動向についてのセミナーを開催した。

Version 3.0について説明するBSIグループジャパン 筒井 浩二朗氏

Version 3.0について説明するBSIグループジャパン 筒井 浩二朗氏

まず、最初の講演ではBSIグループジャパン 筒井 浩二朗氏が登壇。PCI DSSの今年一番のトピックとなった新バージョン「Version 3.0」に関する情報をいち早く紹介した。BSIジャパンは、PCI DSSの審査機関として、数多くの審査を担ってきた。筒井氏によると、「国内で50%のシェアがある」そうだ。同氏は、まず昨今のカード情報を取り巻くトレンドについて解説。その上で、PCI DSS準拠の重要性を述べた。

Version 3.0は、11月7日にPCI SSCから発行された。2014年1月1日から有効となる。また、一部の新規要件については、2015年6月30日までは必須ではないそうだ。さらに、旧バージョンのVersion 2.0についても2014年12月31日までは審査を行うことが可能だ。

ドキュメントについては構成が変わり、要件、テスト手順、ガイドラインが記されている。また、要件がVersion 2.0の280項目から399項目と大幅に増えた。ただし、要件自体に大きな変更はなく、テスト手順の充実が図られたそうだ。

具体的なVersion3.0への改定概要については、①教育及び意識向上、②柔軟性向上、③セキュリティに関する責任分担、④新しい脅威への対応の4つが挙げられるという。また、審査への影響として、具体的な変更要件、進化した点、2015年7月から有効となるPOS装置への対応等についても解説した。

講演の最後に、筒井氏は国内のPCI DSSの準拠状況について紹介。2013年11月10日現在のPCI DSSの準拠企業数は累計90社。2012年の68社に比べ準拠が進んでいるという。その要因として、Visaでは新規登録のサービスプロバイダに対しPCI DSSの準拠を義務づけていることが挙げられるそうだ。

また、同セミナーでは「PCI DSS準拠事例のご紹介」と題し、富士通FIP SaaS システム部 プロジェクト課長 仁木裕子氏が講演。同社ではPCI DSSコンサルティングとして数多くの実績があり、2013年12月現在、17社21サービスを支援しているそうだ。

続いて、多発するWeb改ざん事件と脆弱性悪用による情報漏えい事件の解説とセキュリティソリューションについて、トレンドマイクロ 福井 順一氏が講演を行った。

同セミナーはVersion 3.0の発表後、一般企業を対象にいち早く行われたセミナーとなった。そのため、すでにPCI DSSに準拠している企業に加え、準拠を検討している企業の来場も目立った。

page toppagetop