お知らせ

PCI DSS v4.0バージョンアップの進捗

2020.04.23

  • Facebookでシェア
  • Twitterでつぶやく

ペイメントカードデータの国際的なセキュリティスタンダードであるPCIデータセキュリティ基準(PCI DSS)が、現行の3.2.1から4.0へのメジャーバージョンアップを予定している。発行元となるPCI Security Standards Council(PCI SSC)は、2019年10月から12月にかけ、関係者からのフィードバックを得ることを目的に初回のRFC(Request For Comment)を実施した。PCI SSCのユーザー向けの会員組織であるParticipation Organization会員(PO会員)、認定セキュリティ評価機関(QSA)、認定スキャニングベンダー(ASV)に限定して、ドラフト第1版が公開された。結果、全世界から約3,200件のフィードバックが寄せられた。この数は歴代のバージョンアップでも異例の多さという。本解説記事は、PCI SSCから公開されているブログなどの情報をもとに取りまとめたものであるが、実際の正式な発行の際には大きく変更される可能性がある。既にPCI DSS準拠済みの企業には、先取りして実装しないことをPCI SSCからも厳格にアナウンスされているためご注意いただきたい。

 

要件ごとにセキュリティ目標と意図を明記

PCI SSCは、PCI DSS v4.0へのバージョンアップの主な目標として、以下の4点を挙げている。

  1. ペイメント業界のセキュリティニーズを満たしていること
  2. セキュリティを向上するために柔軟性と新しい手法への対応を追加すること
  3. 継続的なプロセスによりセキュリティを促進すること
  4. 各要件の検証方法と手順をさらに改良すること

これを受けて公表されたドラフト第1版では、よりセキュリティ目標にフォーカスする形で、既存要件の改訂や、新規要件の追加が行われる予定である。PCI DSSを構成する12要件についてはバージョン4.0でも基本的に変更されることはない。

 

カスタマイズバリデーションにより柔軟なアプローチが可能に

従来のPCI DSSは、セキュリティ要件を厳密に満たすよう対策を求める技術基準であり、定義されたテスト手順に従うことにより、QSAや内部セキュリティ評価人(ISA)は明確な適合性の評価が可能であった。PCI DSS v4.0では、定義された従来の手法に加え、よりセキュリティ目標にフォーカスした新たな要件の評価の方法として「カスタマイズバリデーション」を提示している。

カスタマイズバリデーションは、各PCI DSS要件の意図とセキュリティ目標に注目する。要件に厳密に従わなかったとしても、意図に沿ってセキュリティ目標が満たせていることが示せればよいことになる。従って、どのようなテクノロジーで準拠すれば良いかは、準拠企業が自由に考えることができ、柔軟なアプローチが可能になる。一方で大きく影響を受けるのは、従来からある「代替コントロール」の考え方である。

現行のPCI DSS v3.2.1では、正当な技術上の制約、または文書化されたビジネス上の制約がある場合に限って、記載されている通りに明示的に要件を満たすことができない場合に、要件に記載されたのとは異なる手段で対応する代替コントロールの適用を認めている。PCI DSS v4.0のカスタマイズバリデーションの考え方を取る場合、要件のセキュリティ目標と意図に対して、とり得る対応策は自由に考えられる。カスタマイズバリデーションという新たな考え方は、技術的な制約やビジネス上の制約が無くても、要件の意図に適合し、リスクに対応できることを評価者に示せれば、要件を満たすと認められる。

カスタマイズバリデーションを認めることで、準拠企業はPCI DSS対象範囲に、目的に応じた最新のセキュリティ技術を取り入れることが可能になる。セキュリティ目標と技術を理解した企業にとっては、より柔軟な手法でPCI DSSに準拠しつつ、セキュリティを強化できる。一方で、準拠性を評価するQSAやISAにとっては、単にテスト手順の判断にとどまらず、セキュリティ目標の本質的な理解が必要となる。

 

外部のクラウドサービスを考慮

2019年9月にPCI SSCのブログに掲載された” 5 Questions About PCI DSS v4.0”では、カスタマイズバリデーション以外にも、PCI DSS v4.0の変更点として以下を挙げている。

  1. 組織が PCI DSS の範囲を検証するための要件
  2. サービスプロバイダーへの追加要件
  3. 異なる認証の選択肢を視野に入れたパスワードに関する要件の見直し
  4. リスク管理プロセスをより明確にし、組織に指針を提供するためのリスクアセスメント要件の更新

また、従来はPCI DSS要件の補助文書(Information Supplement)として提供していた、パブリッククラウドサービスなど新しい技術への対応についても取り込んでいくことが示されている。PCI DSSの対象範囲として外部のクラウドサービスを扱えるよう、既存の要件については要件表記が変更され、必要に応じて新たな要件が追加されることが予想される。特にクラウドサービスプロバイダーの役割と期待される対応については、付録書(Appendix )Aとして取りまとめられる予定である。

 

PCI DSS v4.0正式版公表は2021年以降

前述の2019年12月に締め切られたRFCの約40%は加盟店からのものだったという。PCI SSCでは全てのフィードバックをレビュー後、ドラフト第2版を作成し、2度目のRFCを実施する予定である。時期はおそらく2020年中盤から後半になると思われるが、現在の世界中で蔓延する新型コロナウィルスの影響により遅れることも想定される。

2020年3月にPCI SSCのブログに掲載された” How Industry Feedback is Shaping the Future of PCI DSS”では、PCI DSS v4.0の正式版の公表は早くても2021年以降であり、移行期限は公表から2年後であるとしている。2019年春の時点では2020年下半期の公表を目指していたので、フィードバックの結果、スケジュールは少し遅くなっている。

繰り返しになるが、第1回のRFCで公開された版はドラフトであり、最終版のPCI DSS v4.0とは異なることを強調した上で、ドラフト版の記載に沿った実装は控えるようにと、PCI SSCは厳格にアナウンスしている。数多くのフィードバックを受けて、第2ドラフトの内容についても今後変更されることが想定される。

(執筆:代表取締役CEO 瀬田陽介)

 

弊社関連サービスのご案内