近年、詐欺や個人情報の盗難が増加しています。2005年に米連邦取引委員会に寄せられた詐欺および個人情報盗難の報告件数は68万5,000件を超え、被害総額は6億8,000万ドル以上にも上ります。これらの被害の大半は、クレジット・カードのデータが侵害されたことに起因しています。こうした状況を受け、MasterCard Worldwide と Visa International を中心とする企業連合が、小売業者や金融機関、サービス・プロバイダ向けの統一されたデータ・セキュリティ基準の制定に着手しました。
この取り組みの結果として、Payment Card Industry(PCI)Data Security Standard(DSS) と呼ばれるセキュリティ規格が誕生しました。この規格が定める要件は多岐に渡り、セキュリティ管理、ポリシー、手続き、ネットワーク・アーキテクチャ、ソフトウェア設計など、重要性の高いさまざまなセキュリティ対策基準が規定されています。2005年に発効し、2006年9月に改定されたこの規格では、決済データのセキュリティを強化するための包括的な一連の要件が定められており、これらの要件を満たしていない加盟企業はインシデントあたり最大10万ドルの罰金を科せられる可能性があります。
PCI 規格に準拠する必要のある企業は、自社で扱う取引の件数と種類に応じて、四半期ごとのセキュリティ・スキャン、自己査定、オンサイト・レビューといったさまざまな検証作業を実施することが求められます。PCI 規格に準拠することは、単に罰金を科せられないようにするためだけでなく、安定した企業運営を行うためにも重要なことです。つまり、PCI 規格に準拠することで、リスクを軽減し、より多くのチャネルでサービスを提供し、さらには顧客およびビジネス・パートナーの信頼を維持することが可能になるのです。
満たすべき12の要件
PCI 規格では、取引件数、決済チャネル数、および複数の企業間でのデータの取り扱いレベルについて複数の段階を設定しており、加盟企業は4つのレベルに分類されます。 Health
Insurance Portability and Accountability Act (HIPAA:
医療保険の相互運用性と説明責任に関する法律)や Sarbanes-Oxley Act (サーベンス・オクスリー法:
米国企業改革法、略称 SOX 法)などの規則では、その具体的な適用方法が明記されていないのに対し、PCI
規格では、加盟企業が満たすべき12のセキュリティ要件が明示されています。その要件は次のとおりです。
- カード所有者のデータを保護するため、ファイアウォールを導入し、適切な設定を維持する。
- パスワードなどのセキュリティ・パラメータをデフォルト値のままにしない。
- 保存されているカード所有者のデータを保護する。
- カード所有者のデータを公衆網経由で転送する場合は暗号化を行う。
- アンチウイルス・ソフトウェアを導入し、定期的に更新する。
- セキュリティ対策の施されたシステムおよびアプリケーションを導入し、保守する。
- カード所有者のデータへのアクセスを、業務上必要な範囲内に限定する。
- コンピュータ・アクセスを行う各ユーザに一意の ID を割り当てる。
- カード所有者のデータへの物理的なアクセスを制限する。
- ネットワーク・リソースおよびカード所有者のデータへのすべてのアクセスを追跡および監視する。
- セキュリティ・システムおよびセキュリティ・プロセスを定期的に検査する。
- 情報セキュリティに関するポリシーを策定し、運用する。
ほとんどの IT/セキュリティ担当者にとって、これらの要件の多くはごく当たり前の常識的なことのように感じられます。しかし驚いたことに、この要件を満たすことに苦労している組織は決して少なくありません。 Visa USA と米商工会議所が最近行った調査によれば、ほとんどのデータ侵害は、小売業者やサービス・プロバイダが PCI 規格に従わずに、カードの磁気ストライプに記録されている機密情報を自社システムに保存している場合に発生しています。このことからも、PCI 規格に準拠することはカード情報を取り扱う企業にとって極めて重要であると言えます。
PCI 規格に準拠するための課題
PCI 規格は確かに包括的な内容ではありますが、規格自体に準拠するためには、先に挙げた12の要件すべてを満たすことが必要になります。つまり、1つの要件を満たすことができなければ、すべての要件を満たしていないのと同じことになってしまうのです。この「オール・オア・ナッシング」型のアプローチには、功罪の両面があります。メリットとしては、12の要件すべてを満たすことで、考えられる限り最も安全にデータを保管・転送できるようになることが挙げられます。デメリットとしては、規格に完全に準拠しようとすると、(特に比較的小規模な組織にとって)過度の時間とリソースが必要になる場合があることが挙げられます。
PCI 規格の現在の仕組みからすると、小売業者やサービス・プロバイダは、要件の99パーセントを満たしていたとしても、規格自体には準拠できていないと見なされることになります。このことから多くの専門家は、規格に準拠できない組織は相当数に上る可能性があると予測しています。例えば市場調査会社の Gartner は、2006年後半の時点で PCI 規格に準拠できている企業が予想よりも少ないのは、このことが主な原因であると指摘しています。しかしそれでも、この点は(少なくとも今のところ)変更されないままとなっています。
PCI 規格に準拠するために
規格に準拠していることを証明するには、認定データ・セキュリティ企業(Qualified Data Security
Company: QDSC)に依頼してオンサイトで監査を実施してもらう必要があります。MasterCard と Visa は、QDSC としてサービスを提供するためのベンダー向け認定プログラムや、セキュリティ・スキャン・サービスを実施する企業を認可するプログラムを制定しています。またこのクレジット・カード最大手2社は、検査などのセキュリティ関連業務を実施する認定データ・セキュリティ専門家(Qualified
Data Security Practitioner: QDSP)をトレーニングする認定プログラムも提供しています。
このような認定を受けた組織の多くは、ベスト・プラクティス・セキュリティ評価や、規格への対応状況をチェックするレビュー作業、システム導入およびトレーニング、システム・インテグレーションといったセキュリティ関連、ネットワーク関連の付加価値サービスも提供しています。しかし多くの場合、高性能なセキュリティ機器を導入し、リスクを最小限に抑えるための構成を行い、最新のデータ・セキュリティ基準に準拠した各種のポリシーやプロトコルを実装することで、サードパーティに頼ることなく自社内で PCI 規格の要件を満たすことが可能です。
チェック・ポイントでは、小売業者や金融機関、情報処理業者によるPCI規格の準拠を支援する当社のソリューション群について詳しく説明した技術白書を公開しています。チェック・ポイントの各ソリューションは、包括的で統合された機能を提供し、PCI 規格に準拠するための強固な基盤として機能するほか、それ以外のセキュリティ規格に共通する各種要件の遵守も支援します。加えて、リスクの軽減、新たな決済方法のサポート、およびプライバシーの保護を実現することにより、ビジネス面でも大きなメリットをもたらします。