2018年6月20日8:30

PCI SSC(PCI Security Standards Council)は、ペイメントセキュリティの「PCI DSS」やPINセキュリティの「PCI PTS」などの基準を運営する機関となる。2018年5月23日~24日の2日間、ウェスティンホテル東京でアジア太平洋地域の決済事業関係者を対象とした年次カンファレンス「PCIアジア太平洋コミュニティミーティング(PCI SSC Asia-Pacific Community Meeting 2018)」を開催したが、PCI SSC インターナショナルディレクター Jeremy King(ジェレミー・キング)氏に基準のアップデートについて説明してもらった。

PCI SSC インターナショナルディレクター Jeremy King(ジェレミー・キング)氏

PCI DSS Version3.2.1は小さな変更に
PCI DSS Version 3.2は12月31日まで有効

――2018年5月にPCI DSS3.2.1を発表されましたが、メジャーアップデートはありませんでしたね。
ジェレミーキング:基準をアップデートするのはコミュニティがどういった所を変更するか、アップデートを望んでいるかに加え、我々が独自で何が必要かを見ています。この2年で3.1から3.2と基準をアップデートしていますので、今回はメジャーな改正はしなくてもいいと判断しました。

3.2.1では、セキュア・ソケット・レイヤー(SSL)/初期トランスポート・レイヤー・セキュリティ(TLS)の適用要件に関する2018年2月1日という有効化の開始日は経過しましたで、この有効日に言及した但し書きを削除するなどしています。PCI DSS Version 3.2は2018年12月31日まで有効であり、2019年1月1日付で終息します。また、3.2.1を使って評価することも可能です。

今回の「PCIアジア太平洋コミュニティミーティング」のようなイベントが、アジアにおいてPCI DSS基準に関する意見をいただくいい機会となっています。この地域から数多くの新しいテクノロジが出ていますので、どういった変更が必要なのかという意見をいただくいいチャンスでもあります。少なくても1年掛けて情報収集させていただき、基準の方向性を見定めていきたいです。次が3.3になるのか、4.0になるかはわかりません。

PINセキュリティは「ANSI X7」とコラボ
PA-DSSは新たなフレームワークに移行へ

――他のPCI基準のアップデートはいかがでしょうか?
ジェレミーキング:PCI DSSでメジャーなアップデートがないとはいえ、PINセキュリティに関してはVersion 2となっていますが、「ANSI X7」とのアライアンスにより、2つを組み合わせて1つにする試みをしています。「PCI ANSI X7 PIN Security」ですが、それを「PCI PIN Security3」にする予定です。今年末までに統一したアプローチを目指しています。開発に当たってはOWASP(The Open Web Application Security Project)の協力を得ました。

P2PE(Point to Point Encription)に関しては、フィードバックからは基準に満足できていますので、来年のリリースを予定しています。

また、ソフトウェアセキュリティの基準は2019年の第一四半期に出す予定です。ソフトウェアセキュリティのライフサイクルは今や時間単位となりつつありますが、そういった短いライフサイクルでも対応できるようにしていきます。

ペイメントアプリケーションの「PA-DSS」は、現在はセキュリティ基準に対して十分満たしており、加盟店で自信を持ってお使いいただいています。そのPA-DSSの情報を今のソフトウェアセキュリティのフレームワークにマージします。PA-DSSは2022年が期限となり、新しいフレームワークに移行させます。

「PCI 3-D Secure Core」をリリース
小規模加盟店向けのサポートも強化

――本人認証の仕組みである「3-Dセキュア」の基準に関してはいかがでしょうか?
ジェレミーキング:3-DセキュアはEMVCoが再設計して、固定だったパスワードをダイナミックパスワードにすることで展開されます。EMVCoでは、セキュリティ面での評価やテストをする上でPCIに助けを求めてきたため、2つの標準規格を策定しました。

すでに、実際にソリューションを開発する「PCI 3-D Secure Core」はリリースしています。もう1つが3-DセキュアのSDK(ソフトウェア開発キット)となり、実際にソリューションとして採用する加盟店がセキュアな形で行うことにフォーカスしています。これで、EMV 3-Dセキュアプロセスのバージョン2ができあがります。最後のフェーズでは、承認できる人間を育成します。3-DセキュアのSDKもバリデーションのプロフェッショナルが2018年以降に評価していくことになります。

小規模加盟店向けのサポートも行っています。新たに小規模加盟店が正しい方向に向かっているのかをバリデーションするためのツールを作成しています。「Payment Data Security Essential」ですが、加盟店はセキュリティ面で改善・向上しているかを評価できます。ガイダンスのドキュメントは仕上がっていますが、日本の小規模加盟店向けに日本語版が出てまいります。

小規模加盟店では、特に3つの点を解決すればセキュリティは大幅に向上すると考えています。1つはパスワードの保護のポリシーとプロセスを持つこと、2つめはソフトウェアのパッチを行うこと、3つめはソフトウェアについて最新のバージョンを使用することです。その助けとなるシンプルな動画を作成しており、強固なパスワードの保護は日本語の字幕も付けています。

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP