決済アプリケーションセキュリティ基準「PA-DSS」入門 第1回(下)

2010年8月19日8:37

第1回 決済アプリケーションセキュリティ基準「PA-DSS」とは?(下)

PA-DSSの対象となる決済アプリケーション

押さえるべきポイントは2つ、‟Off The Shelf”と‟ハードウェア端末”

まずは、実際のPA-DSS本文から、‟PA-DSSの範囲”を以下に引用する。

============

PA-DSS は、承認または決済の一部としてカード会員データを保存、処理、または送信し、第三者に販売、配布、またはライセンス供与されるペイメントアプリケーションを開発するソフトウェアベンダなどに適用されます。

(PCI PA-DSS要件およびセキュリティ評価手順V1.2.1 ページ v “PA-DSSの範囲”)

============

PA-DSSの対象となるアプリケーションは、‟第三者に販売、配布、ライセンス供与されるペイメントアプリケーション”とある。つまり、特定の加盟店のみに対して開発、販売される決済アプリケーションは、PA-DSSの対象とはならない。そのような特定の加盟店のみが使用する決済アプリケーションは、PA-DSSの対象とせずとも、PCI DSSの対象範囲に含まれるものであり、PCI DSSの審査の過程で決済アプリケーションのセキュリティ対策も確認されることになるためである。第三者に販売、配布、ライセンス供与される決済アプリケーションとは、アプリケーションの仕様を特定の加盟店が決めるようなものではなく、ベンダが決定、開発し、販売するものである。このような決済アプリケーションを使用している加盟店は、PCI DSSに準拠しようとした時、そのアプリケーションが対象範囲に含まれるものの、仕様を把握し、勝手に対策を施すといったことができない。このため、加盟店のPCI DSS準拠のフレームワークとは別に、ベンダが独自にアプリケーションをPA-DSS準拠させる必要がある。

このように、加盟店が独自に仕様を決定したり、(委託を含めて)開発を行ったりせず、アプリケーションが汎用的で、購入してそのまま使えるようなものを‟Off The Shelf”と呼び、PA-DSSの対象となる。ただし、日本国内においてはPOS端末が単独でさまざまな加盟店に対して汎用的に、カスタマイズをすることなく販売され、そのまま使用されるといったケースはあまり考えられないことや、特定の加盟店に対して販売される端末であっても、結局のところPCI DSSの審査過程で同様の対策が求められることから、単純に、POS端末であればまずPA-DSS対応しなければならない、と考えて良いだろう。

もう1点の重要なポイント、‟ハードウェア端末”について、PA-DSS本文から引用する。

============

ペイメントアプリケーションが常駐するハードウェア端末(ダムPOS 端末やスタンドアロンPOS端末とも呼ばれる)は、以下の条件がすべて満たされる場合、PA-DSS レビューを受ける必要がありません。

・ 端末が加盟店のシステムまたはネットワークに接続されていない。

・ 端末がアクワイアラまたはプロセサーのみに接続する。

・ ペイメントアプリケーションベンダが安全なリモート1)更新、2)トラブルシューティング、3)アクセス、4)保守を提供する。

・ 次の内容が承認後に決して保存されない:(カードの背面やチップ上などにある)磁気ストライプの追跡データの完全な内容、カード検証コードまたは値(ペイメントカードの前面または背面に印字されている3~4桁の数字)、PIN または暗号化されたPINブロック。

(PCI PA-DSS要件およびセキュリティ評価手順V1.2.1 ページ vii “ハードウェア端末に対するPA-DSS適用性”)

============

ダムPOS端末や、スタンドアロンPOS端末と呼ばれるような、ハードウェア端末はPA-DSSの対象とならない、という記述である。条件としては4点挙げられているが、1点目と2点目はほぼ同義であることから、本質的には3点を考慮する必要があるだろう。

まず、1点目および2点目、端末が加盟店のシステムに接続されず、直接アクワイアラやプロセッサに接続されるという点である。オーソリゼーション端末では、加盟店システム、つまりPOS端末と連動するものや、LAN構成の中で店舗に設置されたサーバ経由で加盟店システムと接続され、通信を行うようなものはこれに当てはまらないため、ハードウェア端末には当てはまらない。逆に、POSや店舗に設置されたサーバ等と接続されておらず、直接アクワイアラやプロセッサにダイヤルアップ接続を行い、処理が完結するような端末はこの条件に当てはまることになる。

3点目は、リモート更新、リモートトラブルシューティング、リモートアクセス、リモート保守を提供する、とある。つまり、リモートから安全にメンテナンスができる場合のみ、この条件に当てはまる。逆に、リモートアクセスを受け付けず、オンサイト保守のみ可能となっているような場合はこの条件に当てはまらないため、ハードウェア端末とみなされない。

4点目は、完全な磁気ストライプデータ、検証コード、PINといった、センシティブ認証データとされるものをオーソリゼーション後に端末内に保存しないこと、という条件が挙げられている。これは、PCI DSSやPA-DSSの要件でも強く要求されていることであり、これらのデータを悪用されると、カードの偽造や不正利用が非常に容易になってしまうためである。

これら、4点の条件に当てはまる端末の場合、ハードウェア端末と分類され、PA-DSSの対象ではなくなる。筆者の意見としては、本当にこれらの条件を満たす端末があるのかどうか、という疑問と、これらの条件を満たしているかどうかは誰が確認し、判断するのだろうか、という疑問があり、慎重に検討すべきところであると考えている。

PA-DSSに準拠する/しないの判断は慎重に

次回以降予告

本連載の初回では、PCI DSSとPA-DSSの違いから、その成り立ちと枠組み、PA-DSSの対象範囲の考え方を紹介した。ただし、実際にPA-DSSに準拠したアプリケーションを開発することは、金銭的コスト、時間的コストをとっても安易に決められることではない。準拠の必要性を判断する際には、必ず国際カードブランドやカード会社、およびPA-QSAと協議し、各社合意を得た上で方向性を決定し、取り組んでいただくことを強く推奨する。

次回以降は、PA-DSSの14要件の内容について解説する。PA-DSSは、多くの要件でPCI DSSの要件を参照していることから、PCI DSSの要件に踏み込むこともあり、また、PA-DSSを通してPCI DSSや、その根底となるセキュリティ対策の考え方の理解も深まるはずである。今後PA-DSSに深く関連することが考えられる場合も、そうでない場合も、ご一読いただければ幸いである。

第1回 決済アプリケーションセキュリティ基準「PA-DSS」とは?(上)へ

page toppagetop