PCI DSSなど決済セキュリティ基準の国際的な動向は?(PCI SSC)

2018年6月20日8:30

PCI SSC(PCI Security Standards Council)は、ペイメントセキュリティの「PCI DSS」やPINセキュリティの「PCI PTS」などの基準を運営する機関となる。2018年5月23日~24日の2日間、ウェスティンホテル東京でアジア太平洋地域の決済事業関係者を対象とした年次カンファレンス「PCIアジア太平洋コミュニティミーティング(PCI SSC Asia-Pacific Community Meeting 2018)」を開催したが、PCI SSC インターナショナルディレクター Jeremy King(ジェレミー・キング)氏に基準のアップデートについて説明してもらった。

PCI SSC インターナショナルディレクター Jeremy King(ジェレミー・キング)氏

PCI DSS Version3.2.1は小さな変更に
PCI DSS Version 3.2は12月31日まで有効

――2018年5月にPCI DSS3.2.1を発表されましたが、メジャーアップデートはありませんでしたね。
ジェレミーキング:基準をアップデートするのはコミュニティがどういった所を変更するか、アップデートを望んでいるかに加え、我々が独自で何が必要かを見ています。この2年で3.1から3.2と基準をアップデートしていますので、今回はメジャーな改正はしなくてもいいと判断しました。

3.2.1では、セキュア・ソケット・レイヤー(SSL)/初期トランスポート・レイヤー・セキュリティ(TLS)の適用要件に関する2018年2月1日という有効化の開始日は経過しましたで、この有効日に言及した但し書きを削除するなどしています。PCI DSS Version 3.2は2018年12月31日まで有効であり、2019年1月1日付で終息します。また、3.2.1を使って評価することも可能です。

今回の「PCIアジア太平洋コミュニティミーティング」のようなイベントが、アジアにおいてPCI DSS基準に関する意見をいただくいい機会となっています。この地域から数多くの新しいテクノロジが出ていますので、どういった変更が必要なのかという意見をいただくいいチャンスでもあります。少なくても1年掛けて情報収集させていただき、基準の方向性を見定めていきたいです。次が3.3になるのか、4.0になるかはわかりません。

PINセキュリティは「ANSI X7」とコラボ
PA-DSSは新たなフレームワークに移行へ

――他のPCI基準のアップデートはいかがでしょうか?
ジェレミーキング:PCI DSSでメジャーなアップデートがないとはいえ、PINセキュリティに関してはVersion 2となっていますが、「ANSI X7」とのアライアンスにより、2つを組み合わせて1つにする試みをしています。「PCI ANSI X7 PIN Security」ですが、それを「PCI PIN Security3」にする予定です。今年末までに統一したアプローチを目指しています。開発に当たってはOWASP(The Open Web Application Security Project)の協力を得ました。

P2PE(Point to Point Encription)に関しては、フィードバックからは基準に満足できていますので、来年のリリースを予定しています。

また、ソフトウェアセキュリティの基準は2019年の第一四半期に出す予定です。ソフトウェアセキュリティのライフサイクルは今や時間単位となりつつありますが、そういった短いライフサイクルでも対応できるようにしていきます。

ペイメントアプリケーションの「PA-DSS」は、現在はセキュリティ基準に対して十分満たしており、加盟店で自信を持ってお使いいただいています。そのPA-DSSの情報を今のソフトウェアセキュリティのフレームワークにマージします。PA-DSSは2022年が期限となり、新しいフレームワークに移行させます。

「PCI 3-D Secure Core」をリリース
小規模加盟店向けのサポートも強化

――本人認証の仕組みである「3-Dセキュア」の基準に関してはいかがでしょうか?
ジェレミーキング:3-DセキュアはEMVCoが再設計して、固定だったパスワードをダイナミックパスワードにすることで展開されます。EMVCoでは、セキュリティ面での評価やテストをする上でPCIに助けを求めてきたため、2つの標準規格を策定しました。

すでに、実際にソリューションを開発する「PCI 3-D Secure Core」はリリースしています。もう1つが3-DセキュアのSDK(ソフトウェア開発キット)となり、実際にソリューションとして採用する加盟店がセキュアな形で行うことにフォーカスしています。これで、EMV 3-Dセキュアプロセスのバージョン2ができあがります。最後のフェーズでは、承認できる人間を育成します。3-DセキュアのSDKもバリデーションのプロフェッショナルが2018年以降に評価していくことになります。

小規模加盟店向けのサポートも行っています。新たに小規模加盟店が正しい方向に向かっているのかをバリデーションするためのツールを作成しています。「Payment Data Security Essential」ですが、加盟店はセキュリティ面で改善・向上しているかを評価できます。ガイダンスのドキュメントは仕上がっていますが、日本の小規模加盟店向けに日本語版が出てまいります。

小規模加盟店では、特に3つの点を解決すればセキュリティは大幅に向上すると考えています。1つはパスワードの保護のポリシーとプロセスを持つこと、2つめはソフトウェアのパッチを行うこと、3つめはソフトウェアについて最新のバージョンを使用することです。その助けとなるシンプルな動画を作成しており、強固なパスワードの保護は日本語の字幕も付けています。

page toppagetop