今回と次の2回に分けて、PCI DSS V4.0.1の要件のポイントとV3.2.1からの変更点について概説します。

前編は要件1から要件6までです。

後編はこちら：PCI DSS V4.0.1の12要件のポイントとV3.2.1からの変更点(要件7～要件12および付録)

要件 1: ネットワークセキュリティコントロールの導入と維持

要件1は、機密性の高いカード会員データを保護するための強固なネットワークセキュリティ管理の必要性に重点を置いています。主な目的は、カード会員データを危険にさらす可能性のあるネットワークを不正なアクセスから保護することです。

ネットワークのセグメンテーションはPCI DSSの要件ではありませんが、PCI DSSの適用範囲を狭くすることに役立ちます。ネットワークをより小さく分離されたセグメントに分割することで、事業体はアクセスをより適切に制御し、カード会員データが潜在的な脅威にさらされるのを制限することができます。ファイアウォールやアクセスリストなどのアクセス制御メカニズムは、セグメンテーションに対して重要な役割を果たします。これらのソリューションにより、信頼できるネットワークと信頼できないネットワーク間の接続を制御できます。

管理策を単に導入するだけでなく、進化する脅威に対応するためにセキュリティ対策を一貫して更新し、適応させることで、安全なネットワーク環境を維持することが重要です。事業体は、定期的なレビュー、評価、テストを実施し、ネットワークセキュリティ対策が継続して有効であることを確認する必要があります。

V3.2.1からの主な変更点

• 「ファイアウォール」から「ネットワークセキュリティコントロール(NSC)」への用語変更：ネットワークの概念が、伝統的なファイアウォールに加え、クラウドセキュリティグループや仮想アプライアンス、WAFなど多様な技術を含む概念へと拡張されました。

要件 2：すべてのシステムコンポーネントにセキュアな設定を適用する

要件2ではPCI DSS の適用範囲内にあるすべてのシステムコンポーネントを安全に構成することの重要性が強調されています。

システムの運用において不要な機能、サービス、およびポートを無効にすることで、攻撃対象領域を最小化し、潜在的な攻撃者が脆弱性を悪用することをより困難にします。オペレーティングシステム、データベース、アプリケーション、ネットワークデバイスなどのシステムコンポーネントの各要素は、ベストプラクティスと業界標準に合わせてセキュアに構成する必要があります。

時間の経過とともに新たな脆弱性が出現する可能性があるため、構成設定は定期的に見直しを行い、セキュリティパッチは適切なタイミングで導入します。見直しとともに、システムコンポーネントのインベントリを維持し構成を文書化することで、コンプライアンスが確保されます。

要件2のプロアクティブなアプローチは、セキュリティ侵害のリスクを低減するだけでなく、セキュアな環境を維持する作業の簡素化にもつながります。

V3.2.1からの主な変更点

• 要件2では注意すべき変更点はありません。

要件 3: 保存されたアカウントデータの保護

要件3では、保存されたアカウントデータを保護するための暗号化の重要性を強調しています。

暗号化は、機密データを権限のない第三者に読み取られないようにするための基本的なセキュリティ対策です。事業体は、業界標準およびベストプラクティスに沿った強力な暗号化方法を使用し、高レベルのセキュリティを提供する暗号化アルゴリズムと鍵管理プロセスを実装する必要があります。これにより、データはストレージのライフサイクル全体を通じて保護されます。

暗号化データの機密性と完全性を維持するためには、暗号鍵を適切に管理することが不可欠です。鍵管理には、鍵の生成、安全な保管、アクセス制御、ローテーション、および必要に応じた鍵の廃棄が含まれます。

要件3を遵守することで、事業体は保存されたカード会員データに関連するデータ漏えいのリスクを大幅に低減できます。暗号化は堅牢な保護手段として機能し、データが侵害された場合でも安全性を維持します。

V3.2.1からの主な変更点

• オーソリ前までの間保存するSAD(機密認証データ)の保管方法が要件化：加盟店やサービスプロバイダー(カード発行業務以外)に対しても、オーソリ前のSADの保管に関するビジネス上の理由の文書化および強力な暗号化を求めています。
• ディスクレベルまたはパーティションレベルの暗号化の明確化：ディスクレベルまたはパーティションレベルの暗号化は、取り外し可能な電子媒体上でPANを読み取り不能にするためにのみ使用可能となりました。

要件 4：オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する

要件4では、オープンな公共ネットワークで送信中のカード会員データのセキュリティに焦点を当てています。

カード会員データを公共ネットワークで送信する場合、強力な暗号化方法を使用して暗号化することで、送信中にデータが傍受されても、第三者に解読できないようにするのがこの要件の目的です。

要件を満たすために、事業体は業界標準とベストプラクティスに沿った暗号化プロトコルを実装する必要があります。

TLS(Transport Layer Security)などのセキュアなトランスポート層プロトコルは、送信中のデータを暗号化するために使用されます。セキュアなプロトコルを安全に設定し、新たな脆弱性に対処するために常に最新の状態に保つことが不可欠です。

要件4の遵守によって、事業体は公共ネットワーク上でのカード会員データの伝送中に、データの傍受や不正アクセスのリスクを大幅に低減できます。暗号化は、データが傍受された場合でも悪意のある第三者がデータにアクセスできないよう、安全性を保証する堅牢なセーフガードとして機能します。

V3.2.1からの主な変更点

• 信頼できる鍵および/または証明書：オープンな公共ネットワーク上でのカード会員データの送信に使用される証明書が有効であり、有効期限が切れていないか失効していないことを確認する必要があり、信頼できる鍵と証明書のインベントリの維持を求めています。

要件 5：悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する

要件5は、マルウェアと呼ばれる悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護することを要求します。システムとデータの機密性および完全性を脅かす悪意を持ったコードから、システムコンポーネントを守らなければなりません。

要件5ではすべてのシステムコンポーネントに信頼性のあるマルウェア対策ソフトウェアを導入することを求めています。マルウェア対策ソフトウェアについては設定を定期的に確認し、最新の定義ファイルやパッチを適用して維持します。これにより既知の脆弱性に対処し、マルウェアの検出および駆除能力を最適化します。また、マルウェアスキャンの結果、検出された脅威、対応措置などといったマルウェア対策活動の監査証跡を詳細に記録します。この監査証跡は、セキュリティの透明性とコンプライアンスの証拠を提供します。

要件5への対策を通して、事業体はマルウェアに対する強固な防御を構築し、データ漏えいなどのセキュリティインシデントのリスクを軽減できます。

V3.2.1からの主な変更点

• 「アンチウイルス」→「マルウェア」への用語変更：シグネチャベースだけでなく、EDR・行動分析・機械学習型等の対策まで含めるよう定義が拡大されました。
• マルウェアのリスクがないと特定されたシステムコンポーネントの定期的な評価方法に対するターゲットリスク分析：マルウェアのリスクがないシステムコンポーネントに対する脆弱性の評価頻度をターゲットリスク分析で決めてその根拠を文書化することを求めています。
• リムーバブル電子メディアに対するマルウェア対策の追加：リムーバブル電子メディアマルウェアソリューションを導入し自動スキャンを実行することを求めています。
• フィッシング攻撃に対する人員の特定および保護の追加：フィッシング攻撃に対する人員の検出および保護のためのコントロールの実施を求めています。

要件 6：安全なシステムおよびソフトウェアの開発と維持

要件6では、安全なソフトウェアの開発とシステムの脆弱性管理を求めています。

事業体は、堅牢なセキュリティの維持確立のために、安全なソフトウェア開発ライフサイクル(SDLC)アプローチを採用し、初期の計画段階から導入・保守に至るまでセキュリティ対策を統合する必要があります。これには、設計、コーディング、テストの各段階におけるセキュリティ脆弱性の特定と対処が含まれます。

安全なコーディングの実践は不可欠です。事業体は、業界標準のガイドラインとセキュアコーディングのベストプラクティスに従って、入力のサニタイズ、データの検証、適切なアクセス制御の実装、コードレビューの実施などを通して、開発プロセスにおける脆弱性の可能性を最小限に抑える必要があります。

さらに事業体はシステムやソフトウェアをセキュリティパッチやアップデートで最新の状態に保つ必要があります。セキュリティ脆弱性の特定と管理のために、適切な情報源から情報を収集し、脆弱性に対処するプロセスを構築することが重要です。

要件6を遵守することで、事業体はサイバー脅威の影響を受けにくい安全なシステムとソフトウェアを構築し、維持することができます。

V3.2.1からの主な変更点

• 特注ソフトウェアおよびカスタムソフトウェアのインベントリの維持：特注ソフトウェアおよびカスタムソフトウェアのインベントリを維持することを求めています。
• 公衆向けのウェブアプリケーションへのWAFの設置：WAFのような自動化された技術ソリューションの設置が必須になりました。

次回は、要件7以降を見ていきますので、お楽しみに。

後編はこちら：PCI DSS V4.0.1の12要件のポイントとV3.2.1からの変更点(要件7～要件12および付録)