PCI SSCの最新ソフトウェア基準 「PCI Software Security Framework」とは?(上)

2019年5月30日8:00

2019年1月にPCI SSCより新たなソフトウェアセキュリティ基準として、Secure Software StandardとSecure Software Lifecycle(Secure SLC)Standardがリリースされました。日本国内では、実行計画における「非保持と同等相当」でも参照されるPA-DSSの後継となる本基準について、PA-DSS審査員(PA-QSA)より概要を紹介します。

NTTデータ先端技術株式会社 セキュリティ事業部 セキュリティコンサルティング担当 担当課長 池谷 陽氏

実行計画では、内回りでP2PE導入もしくはDUKPT実装しない場合はPA-DSSに

NTTデータ先端技術は、ソフトウェアのセキュリティ基準の審査を行うPA-QSAの立場として、最新のソフトウェアセキュリティ基準について概要を紹介します。

NTTデータ先端技術株式会社 セキュリティ事業部 セキュリティコンサルティング担当 担当課長 池谷 陽氏

当社はセキュリティの各種ソリューション、監視、診断、コンサルティング、審査サービスを提供しており、PCI関連の資格としては、国内の審査会社としては最多となる6種類の審査・評価資格を保持し、PCI DSS、PA-DSS、P2PE、3-D Secureなど幅広い基準に対応しています。2017年より、クレジット取引セキュリティ対策協議会のWG1(情報保護分野)委員として、実行計画や各種ガイドラインの策定に協力させていただいています。

実行計画とPA-DSS

最初に実行計画とPA-DSSの関係性から説明します。実行計画は改正割賦販売法の施行で、クレジットカード情報を取り扱うあらゆる事業者のセキュリティ対策の実務上の指針として策定されたものです。これには3本の柱があり、情報保護、カード偽造防止、非対面の不正利用防止となりますが、このうち情報保護の分野で、対面加盟店が求められる対応について整理しました。

対応の選択肢としては、PCI DSSに準拠するか、非保持化(外回り方式:自社で保有する機器・ネットワークにおいて、カード情報を保存・処理・通過せずに決済する)が求められます。外回り方式は簡単に言うと、POSを経由せずにクレジット取引を完了するものであり、CCT端末などを利用して共同利用型決済センターへ直接カード情報を送信します。

一方で、POSを経由して内回り方式でクレジットの処理をするものについては、例えば認定されたP2PEソリューションを利用することが可能です。これはエンドポイント間の暗号化ソリューションになりますので、カードリーダ端末で読み込まれて暗号化されたデータがPOSで復号されずにそのままセンターへ送信される方式になります。

P2PEソリューションを利用しない場合は、11項目の技術要件を満たすことになりますが、この技術要件の11項目もまたその中に選択肢があり、DUKPT(ダックパット)方式の暗号化を行う、あるいは、PA-DSS準拠のPOSアプリケーションを実装する選択肢に分かれています。ですので、内回り方式でP2PEソリューションを導入しない、あるいはDUKPT(ダックパット)方式を行わないことになると、必ず選択肢はPA-DSSになります。

PCIの主な基準とPCI Software Security Frameworkの役割

PCIの主な基準プログラム、特にソフトウェアに関係するものについて説明します。まず、加盟店、カード会社、PSP(決済代行会社)などの事業体を対象としたPCI DSSがあります。そして、このような事業体の決済環境の中で使用されるPOSや決済ミドルウェアなどのペイメントアプリケーションを対象に作られた基準がPA-DSSであり、主に不特定の顧客へ販売されるパッケージのソフトウェアが認定対象です。決済環境を運営する事業体が自社向けに内製したアプリケーションは、その事業体のPCI DSSで評価すればよく、PA-DSS認定の対象とはなりません。

P2PEは、セキュリティ基準としては1つですが、認定対象はP2PEソリューション、P2PEコンポーネント、P2PEアプリケーションの3種類があります。このうち、P2PEアプリケーションは、P2PEソリューションで使用されるカードリーダ端末の中で稼働するアプリケーションを対象としており、適用される要件は「ドメイン2:アプリケーションセキュリティ」であり、これがPA-DSSによく似た要件となっています。

SPoC(スポック)というのは、Software-Based PIN Entry on COTSの略で、COTSというのはCommercial Off-The-Shelf、民生品や市販品といった意味となります。つまり、市販品のスマートフォンやタブレットを使ったモバイルPOS等でカード所有者のPINを入力できるようにするソリューションのことです。通常PIN入力にはPCI PTSに認定されたPINPAD専用のハードウェアを使うことになっていますが、このソリューションによって、COTSデバイス上のソフトウェアで安全にPINを入力して、暗号化したカード情報を決済センターに送ることができるようになります。SPoCは2018年1月にリリースされた新しい基準で、現時点で認定済みソリューションは出ていません。

そして本題のPCI Software Security Frameworkですが、PA-DSSの後継として策定された新たなセキュリティ基準の枠組みで、Secure Software StandardとSecure Software Lifecycle(Secure SLC)Standardの2つのセキュリティ基準が含まれます。

策定の背景として、今までのPA-DSSの枠組みでは、例えばいったんアプリケーションが認定を受けると、PCI SSCのリストに掲載されますが、これにはバージョン情報も含まれます。それがバージョンアップすると、またそのリストの情報を更新する必要がありますし、セキュリティに影響のあるアップデートがあれば部分的にまた審査を受けないといけません。こうした仕組みは、リリースを頻繁に繰り返すような、Agile(アジャイル)、DevOps(デブオプス)といった新しいソフトウェア開発手法とは、相性が良くありませんでした。

また、PA-DSSが最初にリリースされたのは2008年で、主にPOSなどのクラシカルな、従来型のアプリケーションを対象としていましたので、スマートフォンやタブレットなどをプラットフォームとしたモバイルPOSのようなものを対象に考えられていませんでした。そういったものは追加のリスク対策が必要と認識されており、モバイルデバイス上のアプリケーションはPA-DSSの認定対象外という扱いになっています。

こういった今までの課題を解決するのが、2019年1月にリリースされたPCI Software Security Frameworkです。リリース時点で、Secure Software StandardとSecure Software Lifecycle(Secure SLC)Standardの2つの基準で構成されています。前者は、ペイメントアプリケーション自体のセキュリティ、後者はそれを維持・運用していく製品のライフサイクル管理の観点で、従来のPA-DSSを2つに分割したようなイメージです。

基準は、Objective-based Approachという新しい考え方をベースに作られており、全体的に目的・目標をより重視した構成になっています。ソフトウェアのセキュリティに、万人向けの万能な方法はないという前提に立ち、今までの基準にあったようなパスワードの桁数や、定期的な実施項目の頻度まで定めた要件が新しい基準では採用されておらず、リスクベースのアプローチがより重要になっています。つまり、今までは最低限ここまでやっておけばよいという考え方が通用する側面がありましたが、今後は求められる目的や個々のソフトウェアにおけるリスクに基づいて何をどこまでどうすべきかを考えていかなければならない方向にシフトしていると捉えていただければと思います。なお、Objective-based Approachは、ソフトウェアの基準に限った話ではなく、次期のPCI DSSのバージョンでも、適用されていくようです。

PCI Secure Software Standardの認定の対象はソフトウェア単位で、これはPA-DSSと同じです。ソフトウェア単位で審査を受けて、認定されるとPCI SSCのリストに掲載されます。ソフトウェアの評価を行う審査会社向けに、新たな認定プログラムも策定され、SSA(セキュア・ソフトウェア・アセッサー)という名前になるようです。この認定のプログラムは、2019年の中頃にリリースが予定されています。

PCI Secure Software Lifecycle(Secure SLC)Standardは、認定の対象はソフトウェアではなく、ベンダ単位になります。Secure Software認定済みのソフトウェアにセキュリティ影響のある変更が発生すると、変更内容に応じて部分審査をその都度受けなければなりませんが、Secure SLCの認定を取ると、部分審査に代わってベンダ自身で検証できるようになります。ベンダ自身が自己検証を安全に行っていけることを示すための基準ですので、まさに製品のライフサイクルの基準となっています。こちらも2019年の中頃に詳細が決まりますが、審査会社はSSLCA(セキュア・ソフトウェア・ライフサイクル・アセッサー)という名前になります。Secure SLCに認定されたベンダについては、ソフトウェアと同じように、PCI SSCのリストに掲載されます。

▶▶後編へ続く

※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のNTTデータ先端技術株式会社 セキュリティ事業部 セキュリティコンサルティング担当 担当課長 池谷 陽氏の講演に加筆を加え、紹介しております。

お問い合わせ先
■NTTデータ先端技術株式会社
セキュリティ事業部
〒104-0052 東京都中央区月島1-15-7
パシフィックマークス月島7F
TEL:03-5859-5422
URL:http://www.intellilink.co.jp
お問い合わせフォーム
Email:sec-info@intellilink.co.jp

page toppagetop