後編の今回は、要件7から12、および付録A1からA3の PCI DSS V4.0.1のポイントとV3.2.1からの変更点について概説します。各要件の意図や理解のポイントも付け加えていますので、ぜひ参考にしてみてください。

後編は要件7から要件12まで、および付録A1～A3です。

前編はこちら：PCI DSS V4.0.1の12要件のポイントとV3.2.1からの変更点(要件1～要件6)

要件 7: システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な範囲に制限する

要件7では、最小権限の原則に則り、業務上の必要性に基づいてシステムコンポーネントおよびカード会員データへのアクセスを制限します。

まず、事業体はビジネス要件に沿ったアクセスポリシーと手順を定義し、実装する必要があります。定義したポリシーは明確に文書化し、従業員を含む全関係者に周知する必要があります。

カード会員データへのアクセスは、定義したポリシーに沿って職務を遂行するために必要なシステム、アプリケーション、および個人に限定しなければなりません。これにより従業員は各自の役割に必要なデータのみにアクセスできるようになり、誤用や偶発的な漏えいの可能性を減らすことができます。

認証および承認の仕組みは、要件7で重要な役割を果たします。事業体は、カード会員データにアクセスする個人の身元を確認するために、強力な認証方法を実装する必要があります。アクセスは、事前に定義された役割と責任に基づいて付与され、アクセス許可の変更は慎重に管理および監視される必要があります。

要件7を順守することで、事業体はビジネス要件に沿ったアクセス制御を実装し、アクセス制御の不備による機密情報の漏えいリスクを低減することが可能になります。

V3.2.1からの主な変更点

• アクセス権の定期的レビュー頻度に対するターゲットリスク分析：アクセス権定期レビュー頻度をターゲットリスク分析で決めてその根拠を文書化することを求めています。

要件 8：ユーザの識別とシステムコンポーネントへのアクセスの認証

要件8は、システムコンポーネントおよび機密情報へのアクセスを識別し、認証することを求めています。識別と認証によって、正当なユーザまたはプロセスのみが重要なシステムや情報にアクセスできるようになります。

ユーザまたはプロセスの識別は、この要件の根幹です。事業体はユーザまたはプロセスを一意に識別し、区別するメカニズムを実装する必要があります。識別には、ユーザ名、従業員ID、またはその他の一意の識別子が含まれます。

認証メカニズムは、ユーザの身元を確認するために非常に重要です。要件8ではすべてのシステムコンポーネントへのアクセスにIDとパスワードによる管理などを、さらに管理者権限によるCDEへのアクセスと、CDEに接続するネットワークへのリモートアクセスには多要素認証（MFA）などの強力な認証方法の使用を求めています。強力な認証方法は、パスワードを超えるセキュリティの追加レイヤーを提供し、権限のない個人がアクセスすることをより困難にします。

要件7で定義したアクセス制御と、要件8の認証を組み合わせることにより、組織は、ユーザの役割と責任に基づいたCDEやシステムコンポーネントへのアクセスポリシーを定義することができます。

要件8に従うことで、事業体は、ユーザアクセスを制御し、ユーザIDを検証し、システムとデータのセキュリティを確保するための強固な基盤を確立できます。

V3.2.1からの主な変更点

• MFA要件の適用範囲の拡大：管理アクセスだけでなく、CDE（カード会員データ環境）へのすべてのアクセスにMFAが原則必要になりました。
• パスワード変更頻度に関する選択肢の追加：パスワード変更頻度（90日ごとなど）の要件以外にも、アカウントのセキュリティ状態を動的に分析し、それに応じてリソースへのリアルタイムアクセスを自動的に決定することができるようになりました。
• 無効な認証試行回数の変更：ユーザIDをロックアウトするまでの無効な認証試行回数が、6回から10回に増えました。
• パスワード文字数の変更：パスワードの長さについて、7文字以上から12文字以上(または、システムが12文字をサポートしていない場合は、最低8文字の長さ)にする必要があります。
• 対話式ログインに使用できるシステムまたはアプリケーションアカウントの管理：対話型ログインに使用できるすべてのアプリケーションおよびシステム・アカウントについて、パスワード/パスフレーズをファイルまたはスクリプトにハード・コーディングしないことを求めています。

要件 9：カード会員データへの物理アクセスを制限する

要件9はカード会員データが保存、処理、送信されるエリアまたはデバイスについての物理的なセキュリティに関する要件です。

事業体は職務上の役割と責任に基づき、許可された担当者のみがアクセスできる物理的なアクセス管理を確立し、実装する必要があります。物理的なアクセス管理には、鍵、アクセスカード、生体認証システム、セキュリティ要員などの仕組みが含まれます。これらの仕組みによって、権限のない個人によるカード会員データへのアクセスを防止します。

訪問者ログの管理と監視も重要です。事業体はカード会員データを含む機密エリアに入る個人の記録を保持し、ログを監視することで、不正アクセスや疑わしい行為を検出できます。

また、本要件では決済端末の管理についても触れています。決済端末のリストの維持と定期的な検査を通して、改ざんや不正な置換から保護します。

要件9では物理的なアクセスポイントを厳格に管理し、許可された個人のみがカード会員データにアクセスできるようにすることを求めています。この積極的なアプローチにより、カード会員データの物理的な改ざんや盗難に起因するデータ漏えいのリスクを低減します。

V3.2.1からの主な変更点

• POI 装置の定期検査の頻度を決定するターゲットリスク分析：POI装置の検査の頻度をターゲットリスク分析で決めてその根拠を文書化することを求めています。

要件 10: システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視する

要件10では、システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視することを求めています。

事業体は、システムコンポーネント、特にカード会員データを保存または処理するコンポーネントへのすべてのアクセス（ユーザのアクティビティ、ログイン試行、システムイベントなど）について、詳細にログを記録する必要があります。そして、ログを積極的にレビューおよび分析し、異常、疑わしい活動、または潜在的なセキュリティインシデントを特定する必要があります。v4.0.1から加えられたログレビューのシステム化は、リアルタイムの脅威検出に役立ちます。

ログは最低1年間保存し、直近3か月分はすぐに利用可能な状態で維持する必要があります。そのため、ログの保存期間と形式を定めたログ保存ポリシーの策定が重要です。ログの適切な保存と管理は、フォレンジック調査やコンプライアンス対応に非常に役立ちます。

V3.2.1からの主な変更点

• 監査ログのレビューを実行するための自動化メカニズムの使用：監査ログのレビューを実行するために自動化メカニズムを使用することを求めています。
• 監査ログの定期的なログレビューの頻度を決めるターゲットリスク分析：要件10.4.1では定義されていない他のシステムコンポーネントの定期的なログレビューの頻度をターゲットリスク分析で決めてその根拠を文書化することを求めています。
• 重要なセキュリティ管理システムの障害対応：サービスプロバイダだけでなく加盟店も含めたすべての事業体が重要なセキュリティ管理システムの障害対応に関する要件を満たす必要があります。

要件 11：システムおよびネットワークのセキュリティを定期的にテストする

要件11は、主にシステムとネットワークのセキュリティテストに関する要件です。

悪用の可能性につながるシステムやネットワークの脆弱性を特定することを目的とし、無線LANアクセスポイントの検出、内部と外部の脆弱性スキャンと内部と外部からのペネトレーションテスト、重要なファイルの変更検知等を定期的に実施することを事業体に対して求めています。

さらに事業体はテスト中に検出された脆弱性を修正し、緩和するためのプロセスを確立する必要があります。セキュリティ上の脆弱性に迅速に対処するためには、適切なタイミングで是正の措置を講じなければなりません。

文書化はPCI DSSのすべての要件を通して不可欠です。事業体はテスト結果、修正作業などセキュリティテスト活動の記録を保持する必要があります。記録はコンプライアンスの証拠となり、セキュリティ対策の継続的な改善に役立ちます。

要件11を遵守することで、事業体は脆弱性を積極的に特定して対処し、セキュリティ侵害の可能性を低減することで、強固なセキュリティを維持することができます。

V3.2.1からの主な変更点

• 内部脆弱性スキャンで発見されるすべての脆弱性 (高リスクまたはクリティカルにランク分類されていないもの) の管理に対するターゲットリスク分析：内部脆弱性スキャンで見つかったその他の該当するすべての脆弱性についてターゲットリスク分析を実施して管理することを求めています。
• 認証内部脆弱性スキャン：内部脆弱性スキャンに認証スキャンが必要になりました。

要件 12：組織の方針とプログラムによって情報セキュリティをサポートする

要件12は、情報セキュリティをサポートする方針とプログラムの整備と、従業員のセキュリティ意識の向上にかかわる内容です。

事業体は、ビジネス目標および規制要件に沿った情報セキュリティ方針および手順を定義、文書化し、従業員に認識させる必要があります。これにはデータ保護、アクセス制御、インシデント対応などが含まれます。

次に、従業員や請負業者に対して、情報セキュリティの維持における役割と責任に関するトレーニングを実施します。教育プログラムの継続的な実施は、事業体内にセキュリティ文化を根付かせるのに役立ちます。

また、インシデント管理と対応のトレーニングも重要です。事業体は、情報セキュリティインシデントが発生した際に迅速に対応できるようインシデント対応計画を定期的に見直し、トレーニングを実施します。これらの活動の記録を残し、維持することでコンプライアンスの証拠となります。

要件12に従うことにより、事業体全体で情報セキュリティをサポートするための強固な枠組みを確立することができます。これにより、セキュリティが技術的なだけでなく、企業の価値観や慣習に根付いた文化的な取り組みであることが保証されます。

V3.2.1からの主な変更点

• 使用中の暗号スイート及びプロトコルの定期的な見直し：使用されている暗号スイートおよび暗号プロトコルを文書化して
• ハードウェアおよびソフトウェアテクノロジーの定期的な見直し：使用中のハードウェアおよびソフトウェアテクノロジーを、12か月ごとに見直しを行う必要があります。
• PCI DSS適用範囲の定期的な確認：PCI DSSの適用範囲は、少なくとも12か月に1度の定期的な確認と適用範囲内の環境が大幅に変更した場合があった場合に文書化して確認する必要があります。記録としてレビュー結果の文書化も必須となります。
• セキュリティ意識向上トレーニングの強化：セキュリティ意識向上トレーニング（セキュリティ教育）には、CDEのセキュリティに影響を与える、フィッシングおよび関連する攻撃ならびにソーシャルエンジニアリングの脅威と脆弱性の認識を含める必要があります。
• インシデント対応要員に対する定期的な訓練の頻度を定義するためのリスク分析：インシデント対応要員に対する定期的な訓練の頻度を定義するために、ターゲットリスク分析を実施する必要があります。
• 想定外の場所に保存されたPANが検出された場合のインシデント対応手順：PANが予想外の場所で検出された場合に、インシデント対応手順を実施し、開始する必要があります。インシデント対応手順の整備も必要になります。

付録 A1: マルチテナントサービスプロバイダ向けのPCI DSS追加要件

付録1は、カード会員データを扱う複数の事業体にマルチテナント環境を提供するサービスプロバイダ向けの追加要件です。

マルチテナント環境では、データの分離とセキュリティが複雑になります。付録1では、異なる事業体のカード会員データを分離して保護するためのガイダンスを提供します。また、環境特有の課題に対処するための追加的な管理および保護措置の概要も示しています。

マルチテナント型サービスプロバイダが情報漏えいのリスクを負うことなく、複数の事業体のカード会員データを安全に取り扱うためには、付録1の追加要件を遵守することが極めて重要です。

付録 A2：カード提示POS POI端末接続用にSSL/初期のTLSを使用する事業体向けのPCI DSS追加要件

付録2は、カード提示型のPOS端末およびPOI端末の接続にSSLまたは早期TLSを使用する事業体を対象とし、セキュリティ強化のための特定の追加要件を規定しています。

この要件は、SSLおよび早期TLSの使用が既知の脆弱性のために推奨されていないことから、当該プロトコルに関連するセキュリティリスクに対処することを目的としています。より安全な暗号化プロトコルへの移行を義務付け、カード提示端末接続の安全な構成に関するガイダンスを提供します。

該当する事業体は、ペイメントカード取引のセキュリティを強化するために、付録2に記載されている追加要件を遵守する必要があります。

付録 A3: 指定事業者向け追加検証（DESV）

付録3は、指定事業者（Designated Entities）向けに調整された追加の検証要件です。

本要件は、指定された事業体がその事業体固有のセキュリティ上の課題に沿った高レベルのセキュリティを維持することを保証するために設計されています。その結果PCI DSSへの準拠を実証するためのより厳密なテスト、監視、および報告が含まれる場合があります。

指定事業者は、役割と業務の性質により、固有のセキュリティのニーズに効果的に対処するために、付録3で説明されている特定の追加検証要件を注意深く検討し、準拠する必要があります。

本稿ではPCI DSS V4.0.1の要件7から12、および付録に関するポイントを解説しました。前編と合わせて、V4.0.1への移行にお役立てください。

前編はこちら：PCI DSS V4.0.1の12要件のポイントとV3.2.1からの変更点(要件1～要件6)