2019年5月9日8:00
国内のペイメントデータセキュリティは大きな課題を抱えている。ここ数年クレジットカード不正利用被害額は増加を続け、2017年には236億円(日本クレジット協会調べ)にのぼった。ペイメントセキュリティを策定・管理するための専門機関であるPCI SSC(PCI Security Standards Council)による市場の動向分析、セキュリティ維持のために事業体が留意すべきこと、そしてPCI SSCの最新のソリューションを紹介する。
PCIセキュリティ スタンダード カウンシル 日本アソシエイト ダイレクター 井原亮二
本年のラグビーワールドカップ、来年の東京オリンピック/パラリンピック開催を控え、多くの訪日外国人旅行者の受け入れ準備が進んでいるなか、サイバーセキュリティの分野は今まさに正念場を迎えている。このような国際イベントがインバウンドによる消費拡大の機会になる一方で、犯罪者はそこで使われるペイメントデータを狙っており、関連業界にサイバーセキュリティとペイメントセキュリティの早急な対策が求められる。
経済産業省はクレジットカードデータの安全な管理と犯罪の防止のため、アクワイアラ、加盟店、サービスプロバイダなど関連事業体(以下、事業体と称する)に対し、改正割賦販売法の要件とその実務上の指針として「クレジット取引セキュリティ対策協議会」が策定した「実行計画」の履行を通じ必要な対応を求めている。
「クレジット取引セキュリティ対策協議会 実行計画」の初版(2016年版)が発行されてから3年が経過した。「実行計画」の中で規定された非対面加盟店・PSP・カード会社のカード情報保護対策について目指すべき対応期限とされた2018年3月はすでに経過し、残すのは2020年3月とされた対面加盟店のクレジットカード情報保護対策およびIC化対応になる。
しかしその一方で、この動きをサポートする体制は、事業体側のニーズに十分対応できていないと言わざるを得ない。PCI DSS準拠やカード情報の非保持化を進めるために必要とされるセキュリティ・IT経験者、関連する知識・知見を有する人材の育成、及びそれを評価する評価機関(QSA)や評価者、外部コンサルタントなどの絶対数が不足していると言われている。
「サイバーセキュリティジョブレポート」(https://cybersecurityventures.com/jobs/) によると、2021年にはサイバーセキュリティの分野で全世界で350万人分もの職員が不足し、さらに日本では経済産業省の見通しでは情報セキュリティの人材は2016年には13万2,060人不足していたが、2020年には19万3,010人まで深刻化すると想定されている。
このような状況を踏まえ、PCI SSCは日本クレジット協会(JCA)および日本カード情報セキュリティ協議会(JCDSC)と緊密に連携しながら、日本国内において事業体のPCI基準への対応を支援するため人材育成トレーニングと活用可能なリソースについての認知度向上に取り組んでいる。
PCI SSCの概要
そもそものPCI SSCの役割を紹介しよう。PCI DSSが国際5ブランド(American Express, Discover, JCB, Mastercard, Visa)共同により策定され、発表されたのは2004年12月であり、それを維持・管理するための組織として、PCI SSCが2006年6月に設立された。それ以前は各ブランドはそれぞれ個別のセキュリティ基準を設定(JCBはVisaと同一のAISプログラムを運用)していた。その結果、加盟店やサービスプロバイダは取り扱うすべてのブランドのセキュリティ基準への準拠を求められ、負担が大きく普及の足枷になっていた。そこで国際5ブランドはセキュリティ基準を一本化し加盟店・サービスプロバイダなどの事業者の負担を軽減させることになった。さらにPCI DSSが常に新たな犯罪手口に対しても有効なセキュリティ基準であり続けるために、PCI DSS基準を維持・管理するための専門機関としてPCI SSCを設立した。一方で、国際ブランドは各セキュリティプログラムを運用しPCI DSS準拠の推進に専念する。
PCI SSCのミッション
PCI SSCのミッションはシンプルである。PCI SSCは広範囲なセキュリティ基準とそのガイダンス資料の策定、さらにトレーニングを通じた人材育成を行う。この活動を通じ幅広くペイメントカードデータの安全な管理を支援する。このミッションを達成するために以下3つの方針を掲げている。
1 「セキュリティを向上させるための 国際的・業界横断的な努力」
脆弱な地域・業種・企業があると攻撃はそこに集中し全体としての問題解決に繋がらないため、業種・業態・地域を超えたユニバーサルなセキュリティ基準を設定する。
2 「業界主導で進める、柔軟かつ効果的な基準とプログラム」
セキュリティ基準を事業者主導で普及させるために、実際にセキュリティ対策に取り組む事業体が新規基準やプログラム策定の議論に参画しやすくする。
3 「犯罪者の攻撃やカード情報流出の予防・検知・被害の最小化」
カード情報を保護する努力に加え、犯罪者の攻撃を速やかに検知、カード情報を暗号化するなど犯罪者にとって価値のない情報に置き換える技術、そして影響を最小化する手法も基準に含めてゆく。
2020年に向けた国内への支援策
PCI SSCは2020年に向け、日本で安全なカード決済を促進するための取り組みを行ってゆく。その最初の取り組みとしてPCI SSCは2018年9月に「アソシエイト・ダイレクター(日本)」を日本国内に配置し、PCI DSS準拠を目指す事業体を支援するためにQSA(認定評価機関)およびISA(内部セキュリティ評価人)の数を増強する。
事業体の中には「PCI DSSに準拠したくても評価者が不足しており『実行計画』の期限に間に合わない」との声を聞くことがある。PCI SSCは日本において評価者のトレーニングと認定のための機会を増加しこの課題への取り組みを支援する。
同時にさまざまなチャネルを活用し、PCI関連基準への理解を向上させるための取り組みを推進する。「PCI DSS要件はハードルが高い」との意見を聞くことがあるが、P2PEなど有効なソリューションを活用しPCI DSS準拠やカード情報の非保持化を実現している大手加盟店の事例もある。そのようなソリューションのPCI認定を推進するとともに広く紹介してゆく。
2019年のアクションプラン
1 評価者(QSA、ISA)、加盟店、サービスプロバイダ、アクワイアラへのトレーニングと認定の機会の増加
PCI SSCは2019年4月に東京でQSAおよびISAとして新規に認定するためのトレーニングとテストを予定している。これらの講義・テストなどはすべて日本語で対応する。
また、ISAの認定更新のためのオンライントレーニングコース、さらにPCIP(PCIプロフェッショナル、詳細は後述)によるオンライントレーニングも日本語で対応する。
2 ペイメントセキュリティの教育・啓蒙活動
ペイメントセキュリティへの理解についてアクワイアラ、加盟店、サービスプロバイダ、行政当局において認知を深めていく。そしてP.O. ※に参加される事業体への貢献活動とISAとQSAの増員、ISAのためのトレーニング機会を増加してゆく。
PCI基準とプログラムの概要
強固なデータセキュリティの基盤はプロセス・人材・テクノロジーの3つの要素によってもたらされる。PCI SSCはこの基盤を供給するためのセキュリティ基準とプログラムを提供している。以降、データセキュリティ基準やPCI SSCのプログラムについてのキーワードを解説しているので、読者の関心がある箇所を読んで頂きたい。
■プロセス:
PCI Data Security Standard (PCI DSS)
PCI DSSはカード決済の前、処理中、さらに処理後のペイメントカードデータに最良の保護策を実行し、さらに継続的なモニタリングを行うためのセキュリティ対策の基本を提供している。ペイメントカードデータを保管、処理、伝送する事業体はPCI DSSで指定された要件を実行し、かつそれが有効であるように継続的なモニタリングを行うべきである。
各国際ブランドはそれぞれのデータセキュリティ遵守プログラムの対応要件の一部としてPCI DSSを採用することに合意している。またPCI DSSの準拠確認は各ブランドルールによって決められる。PCI DSS準拠の強制力はPCI SSCではなく各ブランドとアクワイアラによって管理される。さらに国際ブランドは加盟店等のPCI DSS対応の有効性を評価する機関としてPCI SSCが認定したQSA(認定評価機関)とASV(認定スキャニングベンダー)を認識する。
自己問診票Self-Assessment Questionnaires (SAQs)
加盟店やサービスプロバイダの中には、PCI DSS準拠状況の評価に自己問診票 (SAQ)の使用が認められている場合がある。現在9種類のSAQが用意されており、それぞれ組織がどのようにペイメントカードデータを保管、処理、伝送しているかに基づき使い分けられる。それぞれのSAQには加盟店、サービスプロバイダの状況に応じたPCI DSS要件に符合する設問群と準拠証明書(AOC)または適切なSAQを実施した証明書が含まれており、選択されたSAQに応じて連結される。
自社がSAQによる自己問診の対応が可能か? その場合SAQ結果の提出が必要かどうか? またSAQ対応が可能な場合どのタイプのSAQが適切か? アクワイアラまたは国際ブランドに相談すべきである。加盟店、サービスプロバイダのSAQの適合性とPCI DSS準拠評価への取り組みを支援するため、その対応方法およびガイドライン資料はPCI SSCのウェブサイト上で閲覧可能である。
■人材育成:
トレーニングと認定プログラム
人材育成はペイメントカードデータの安全性を維持するための極めて重要な要素のひとつである。日常業務の一部としてPCI DSS要件への理解、実行、維持を支援するためにPCI SSCは加盟店、サービスプロバイダ、カード会社向けにペイメントデータセキュリティの必須項目に関するトレーニングを提供している。
一般に、事業体がPCI DSS基準に準拠対応する場合、PCI DSSの個別要件を理解のうえ、現状の準拠状況を評価、ギャップ分析を実施し対応に向けガイドしてゆく専門家の知見が必要である。このようなPCI DSS準拠に必要な人材を教育・育成し、審査能力を評価・認定する唯一の機関はPCI SSCである。PCI SSCはPCI DSSのようなセキュリティ基準を策定・管理するだけでなく、事業体がPCI基準に準拠するための支援を行っている。
PCIP (PCI Professional)
PCIPプログラムではPCI DSSの準拠と維持を目的としたトレーニングと資格認定を提供する。ペイメントセキュリティにおける個人レベルでの資格であり、勤務先の変更に影響なく個人として資格の更新・継続が可能である。さらにPCIPはPCI SSCのウエブサイト上に登録される。
ISA(内部セキュリティ評価人)
事業体はISAを社内に育成することでPCI DSS準拠対応と維持、さらに日常のセキュリティ対応と法令順守のための枠組みを構築することが望ましい。ISAプログラムでは企業が自社内でPCI DSS準拠状況を評価するために社内の人材に対しトレーニングと資格認定を提供する。特にISAプログラムでは事業体においてPCI DSS準拠に向けた内部評価方法と準拠のために推奨すべき対応策などを教育する。ISAは雇用先企業の支援を受けることになるので、資格認定後は社内の専門家としてPCI DSS準拠状況を評価し、またQSAなど外部評価者との協議・調整窓口となる。ISAはQSAの代わりに社内でPCI DSS準拠の評価と管理を行う資格を認められており、PCI DSSのオンサイト評価に関わるコストの削減に貢献する。
■テクノロジー:認定プロダクツとソリューション
加盟店は安全な決済端末、システムそしてソリューションを使用することでPCI DSS準拠の負荷を軽減できる。PCI SSCは安全性を評価し認定されたプロダクツとソリューションのリストを公開している。
PCI評価済のペイメント・アプリケーション
PCI評価済のペイメント・アプリケーションはペイメントカードデータを保護するためにPA-DSS(Payment Application Data Security Standard)に準拠していることが確認されたソフトウェアプロダクツである。これらはPCI SSCウェブサイト上の「評価機関とソリューション」上で公開されている。
PCI認定PTSデバイス
PCI認定PIN Transaction Security(PTS)はPINデータを強固に保護し、加盟店のEMVチップ、モバイル、非接触決済でのPIN取引対応を可能にする。PCI認定PTSデバイスはPCI SSCのウェブサイト上の「評価機関とソリューション」上で公開されている。
PCI P2PEソリューション
加盟店はPCI P2PEソリューションの採用によりPCI DSS対応要件数を削減し準拠のための加盟店の負荷を大幅に軽減できる。PCI P2PEソリューションは専門のP2PE QSAによって評価され、PCI P2PE基準とプログラムに準拠していることが確認される。それらの認定ソリューションはPCI SSCのウェブサイト上の「評価機関とソリューション」上で公開されている。
PCI基準とガイドラインの動向
PCI SSCはPCI DSSを含む各規準についてテクノロジーの進化、リスク緩和策そしてそれを取り巻く脅威の変化に応じて常にアップデートを続ける。
PCI DSS バージョン3.2.1と4.0
PCI DSSバージョン3.2.1は2018年5月に発行され、バージョン3.2からの6カ月間の移行期間が設定された。この移行期間は報告用の書式などの更新手続きに必要とされる。さらに2018年6月末を期限としていたSSL/TLS(早期バージョン)からの移行作業を完了させるための移行期間として設定された。2019年1月1日よりバージョン3.2は使用が中止され、以降はすべての事業体はバージョン3.2.1に対応する必要がある。
PCI SSCはバージョン4.0に向けた作業に着手しており、2020年の発行を目指している。そのリリースのタイミングについては開発期間中に提示されるP.O.のフィードバックなどを参考にする。本件に関するさらなる情報については今後発表してゆく。
PCI DSS準拠維持・持続のためのベストプラクティス
ベライゾン社が発行した「2018 Verizon Payment Security Report」では、多くの事業体はPCI DSS準拠とセキュリティ対策の維持のために困難や課題に直面していると紹介している。増加する顧客からの要望への対応、最新テクノロジーへの適応とビジネスの枠組みの変化、システムの改変などが準拠の維持を難しくさせている。また、モニタリングなど日常的な業務に十分なリソースを配置せず一時的な準拠で満足してしまうことも原因となる場合がある。
2019年1月、PCI SSCはPCI DSSの継続的な準拠のためのベストプラクティスとガイダンスを提供するための補足情報をリリースした。「Best Practices for Maintaining PCI DSS Compliance Guidance」 では事業体に年1回のみのオンサイト評価に加え継続的な準拠を計画するための推奨事項を提供している。 このガイダンスでは事業体がPCI DSS準拠をいかに持続するかを示す。
最新テクノロジーとPCI基準
PCI SSCは新しいテクノロジーや決済ソリューションの安全な導入を支援するための基準やプログラムを策定している。
ソフトウェアセキュリティ
2019年1月、PCI SSCがカード決済処理に使われるペイメントソフトウェアの安全な設計と開発のための新しい要件を発行した。これは「PCI Secure Software Standard」と「PCI Secure Software Lifecycle
Standard」と呼ばれる。これらの基準を評価・認定する「PCI Software Security Framework」と共にフレームワークを構成する。このフレームワークにはソフトウェアベンダーおよび開発されたソフトウェアプロダクツの評価プログラムと評価者の認定プログラムを含み、2019年後半から運用が開始される。
市販のデバイスでのソフトウェアPINエントリーと非接触決済
2018年、PCI SSCは本来決済用の端末機ではないスマートフォンやタブレットなど市販のデバイスで画面上にPINを入力するためのセキュリティ基準をリリースした。
「Software-based PIN Entry on COTS」はソリューションプロバイダがPIN入力のアプリケーションを使い、EMV仕様の接触・非接触取引においてPIN入力が可能となるソリューションの開発を支援するために策定された。スマートフォンやタブレットを使ったカード決済スキームは今後さらに拡大してゆく。これらのソリューションは、柔軟性、利便性、簡易性が高いため特に中小規模の加盟店に支持されている。PCI SSCのサイト上ではテスト・評価されたPIN入力ソリューションのリストを加盟店向けに公開する。
「Software-based PIN Entry on COTS」を土台とし、PCI SSCは加盟店の市販デバイス上で非接触決済を受け付けるための新たなセキュリティ基準「Contactless Payments on COTS」を策定中である。
3-D セキュア(3DS)
2017年、PCI SSCは「PCI 3DS Core Security Standard」と「PCI 3DS Software Development Kits(SDK)Security Standard」をリリースした。これはEMVCo の3DSプロトコルの最新バージョンの安全な導入を支援するためのものである。EMV 3DSはカード会員がウェブブラウザやモバイルアプリケーションを通じ、オンラインで買い物をする場合にイシュアとの本人認証を可能にし、非対面取引での不正によるリスクから加盟店を保護する。EMVCo とPCI SSCの協働により3DSソリューションの機能性テストとセキュリティ評価の両面において迅速で有機的な対応が可能となった。
EMV 3DS ソリューションはオンライン決済において犯罪者によるカード会員データの盗難をさらに困難にすることになる。非対面取引での不正は世界的な課題となっており、PCI SSCはこれらのソリューションの安全な導入を支援する。
