今回はPCI DSS v4.0で新たに追加された要件の中でターゲットリスク分析と、ターゲットリスク分析が必要な要件について解説します。

PCI DSS v4.0の要件12.3.1に基づくターゲットリスク分析（以下、TRAと記載する）は、事業者の運用環境に特有のリスクをより効果的に管理し軽減するために、柔軟性のあるアプローチを求めています。脅威の進化と運用環境の変化に伴い、一律のセキュリティ対策の適用頻度はもはや有効ではなくなり、TRAにより事業者固有の属性に基づいたリスク評価、優先順位付け、セキュリティ対策の調整が可能になります。

TRAの概要

TRAの導入は、様々なPCI DSS要件に関連するセキュリティ対策の適切な頻度と範囲を特定するために事業者に義務付けられています。このプロセスでは、保護すべき資産の特定、潜在的な脅威や脆弱性の評価、そして事業者の環境に固有のリスクの影響を総合的に分析します。これにより、事業者は自身のセキュリティ対策がビジネスの目標及び運用実態に適合していることを確認できます。

TRAは、単純なチェックリストにとどまらず、事業者のリスク状況への深い理解を促進します。重要な資産の特定からそれに関連する脅威と脆弱性の評価、リスク実現時の潜在的な影響の評価まで、事業者はこれらの情報に基づいてセキュリティ対策の頻度と厳格さを決定します。

TRAの実施方法

要件12.3.1に従ったTRAの実施は、セキュリティ対策の運用頻度を特定し適応するための方法を提供します。これには以下のステップが含まれます。

1. 保護対象の資産を特定する: 保護が必要な資産、例えばカード会員データ、システム、ネットワーク、物理的環境を明確に識別します。
2. 要件が保護する脅威を特定する: 特定された資産に対する潜在的な脅威、外部の攻撃や内部の不正行為、技術的脆弱性を含む、を特定します。
3. 脅威が実現する可能性や影響に寄与する要因の特定: 脅威が実現する可能性とその影響を評価し、脆弱性の存在やセキュリティ対策の欠如、外部環境の変化などを考慮します。
4. 脅威実現の可能性を最小化するための対策の頻度とその正当性の分析: リスクの重大性とセキュリティ対策の有効性に基づき、対策の運用頻度を決定し、その選択の正当性を文書化します。この過程において、リスク評価の結果と対策の選択理由が明確にされます。
5. 少なくとも12カ月ごとにリスク分析をレビューし、その結果が依然として有効であるか、または新しいリスク分析が必要かを判断する： 組織はリスク環境の変化に応じて、TRAを定期的にレビューし更新することが求められます。このレビューにより、セキュリティ対策が現在のリスクに対して引き続き適切であるかどうかを確認し、必要に応じて調整を行います。
6. 年次レビューの結果に基づき、必要な時期にリスク分析を更新する: TRAの結果に基づいてセキュリティ対策やポリシーの更新が必要になる場合があります。これは、組織がセキュリティ対策を現在のリスク状況に適応させ、継続的に改善するための重要なステップです。

TRAを実施することで、事業者はリスクベースのセキュリティ管理を採用し、リソースを効果的に配分しながら、事業者の特定のリスクプロファイルに合わせてセキュリティ対策をカスタマイズできます。これにより、進化する脅威からカード会員データをより効果的かつ効率的に保護することが可能になります。

要件12.3.1に基づくTRAの実施は、PCI DSS v4.0のコンプライアンスを確保しながら、セキュリティとビジネスの要件のバランスを取るための鍵となります。事業者はこのプロセスを通じて、セキュリティ対策の計画と実施において、リスクに基づいた適切な判断を下すことができるようになります。

PCI DSS v4.0でTRAが必要な各要件の概要

PCI DSS v4.0におけるTRAは、組織が特定のセキュリティ対策の実施頻度を事業者自身のリスク評価に基づいて柔軟に定義することを目的としています。TRAを通じて、セキュリティとビジネスの要求のバランスを取りながら、変化する脅威環境に迅速に適応し、PCI DSSの要件を満たすことが可能になります。

1. 要件 5.2.3.1: マルウェアのリスクがないと特定されたシステムコンポーネントについて、TRAに基づき定期評価の頻度を定義します。これにより、すべてのシステムコンポーネントに対してAVやアンチマルウェアソリューションをデプロイしていない場合でも、そのリスクが増加したか、同じままかを確認し、新たなリスクに対してこれらのテクノロジーをどの程度の頻度で見直すべきかを決定できます 。
2. 要件 5.3.2.1: 定期的なマルウェアスキャンの頻度をTRAによって定義し、選択したスケジュールの正当性が必要です。例えば、6か月ごとに一度と決めた場合、その決定に有効なビジネス上の正当性があるかどうかを検討する必要があります 。
3. 要件 8.6.3: アプリケーション及びシステムアカウントのパスワードやパスフレーズをTRAに基づき、定期的に変更する必要があります。これにより、アクセス制御の強化と不正アクセスのリスク軽減が図られます。
4. 要件 9.5.1.2.1: POIデバイスの定期検査の頻度と種類をTRAで定義し、デバイスの物理的なセキュリティを保証し、不正な改ざんや損傷から保護する措置が講じられます。
5. 要件 10.4.2.1: 要件10.4.1で定義されていないその他のシステムコンポーネントに対する定期的なログレビューの頻度をTRAによって定義し、セキュリティインシデントの早期発見を促します。
6. 要件 11.3.1.1: 高リスクまたはクリティカルと評価されない脆弱性の管理はTRAに基づきます。これにより、セキュリティ対策の優先順位付けと効果的なリスク管理が実現されます。
7. 要件 11.6.1: 支払いページのHTTPヘッダや内容に対する不正な変更を警告する検知メカニズムをTRAに基づき決定し、定期的に実施するか、少なくとも7日ごとに実施します。
8. 要件 12.10.4.1: インシデント対応要員の定期訓練の頻度をTRAによって定義します。これにより、セキュリティインシデントが発生した際に迅速かつ効果的に対応できるようにします。

これらの要件の適用は、組織がセキュリティ対策を継続的に評価し、リスクベースで適切なセキュリティ対策を計画及び実施することを可能にします。結果として、組織はPCI DSSのコンプライアンスを維持し、カード会員データを保護します。このプロセスにより、組織はPCI DSSの要件に準拠するだけでなく、カード会員データのセキュリティを強化することが可能になります。