決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(1/3)

2010年12月1日9:05

決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(1/3)

第4回 PA-DSS要件8~12の解説

決済アプリケーションセキュリティ基準「PA-DSS」入門 第4

はじめに

10月28日、PCI SSCよりPCI DSSのバージョン2.0が公開された。これに合わせて、PA-DSSのバージョン2.0も公開されている。PCI DSSバージョン2.0における変更点については、ひとことで表すと”大きな変更点はなく、多くの要件で明確化が図られている”といえるだろう。PA-DSSはもともと、PCI DSSから派生してアプリケーション実装向けに再構成されているものであるため、PCI DSSと同じく、要件が大幅に変更された、もしくは判断基準が大きく増減した、といった点はないと考えて良いだろう。

しかし、PA-DSSでは文書構成が大きく変わった点がある。PA-DSSは前回まででも言及していた通り、多くの要件でPCI DSSの要件が参照されていたが、これがPA-DSSの要件、テスト手順の中に取り込まれた。つまりPA-DSSの要件を読み解いていくには、都度PCI DSSも参照していく必要があったが、今回のバージョンアップで参照先の内容はPA-DSSのテスト手順自体に取り込まれたため、基本的にはPCI DSSを参照することなく、PA-DSSの要件、テスト手順で完結する作りとなっている(図1)。これは対応するベンダにとっても、アプリケーション審査を行うPA-QSAにとっても、作業を進める上では大変便利になったと言えるだろう。

図1

なお、本連載は要件1~14の順に解説を行っていたが、バージョン2.0のアップデートにおける再構成で、要件番号がひとつ減り、1~13となった(図2)。幸い、ここまで解説した部分については要件番号(大項目)の変更はなかったため、このまま要件8から解説する。ベースはバージョン2.0として、バージョンアップで変更があった部分についてはその都度触れていくこととする。

図2

要件8. 安全なネットワーク実装の促進

決済アプリケーションは、導入先環境のPCI DSS準拠を阻害してはならない

要件8は、要件、テスト手順は1項目のみであり、バージョン2.0においても特に変更点はない。PCI DSS準拠環境で動作し、当該決済アプリケーションがPCI DSS準拠状況を阻害してはならない、という意図の要件である。例えば、PCI DSSで求められている対策として、アンチウィルスソフトウェアの導入があるが、この決済アプリケーションが動作するためにアンチウィルスソフトウェアをインストールしてはならない、といったソフトウェア仕様だと、本要件に抵触するおそれがある。関連するPCI DSS要件として、1、3、4、5、6が挙げられているので、各要件で何が求められているかをおさらいしてみよう。

●要件1…ファイアウォール、ルータの安全な構成

●要件3…保存するカード会員データの判読不能化

●要件4…公共ネットワークを伝送するカード会員データの暗号化

●要件5…アンチウィルスソフトウェアの導入と管理

●要件6…開発プロセスにおけるセキュリティと、パッチの適用

例えば、決済アプリケーションが下記のような特徴を持ってしまっていると、上記PCI DSS要件に対応できなくなり、PCI DSS準拠を阻害することになるため、本要件を満たす事ができなくなってしまう。

●決済アプリケーションが動作するために、ゲートウェイにおけるアウトバウンドの通信を遮断できない

●決済アプリケーションが、カード会員データをハードディスクに平文で保存する

●決済アプリケーションが、インターネットを通じて、FTPを使用してサーバにカード会員データを送信する

●決済アプリケーションがうまく動かなくなるためアンチウィルスソフトウェアを導入できない

●決済アプリケーションをインストールしている端末で、OSのパッチを適用できない

要件は1項目であるものの、要求事項の内容は幅が広く、対応する具体的なイメージが湧きにくい要件ではあるが、加盟店環境のPCI DSS準拠を促進する、というPA-DSSの本来の目的をあらわしている要件といえる。決済アプリケーションの開発におけるテスト環境では、PCI DSSに準拠する事を意識し、上記要件に抵触しないようにするアプローチを明文化するのが良いだろう。

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(2/3)へ

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(3/3)へ

⇒⇒連載目次へ

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP