- 2024年12月10日
- 社員日記
PCI SSCアジアパシフィックコミュニティミーティング 2024 参加レポート
2024年11月20日から21日にかけて、ベトナムのハノイで開催されたPCI SSCアジアパシフィックコミュニティミーティングに参加しました。このイベントは、カードブランドやPCI関連ベンダー、ユーザ企業、そして政府機関など、250名以上の業界関係者が対面・オンラインで参加した一大イベントです。本イベントは、PCI DSS v4.xなどの最新動向や、セキュリティ脅威への対応策を議論するための場であり、アジアパシフィック地域を中心に、グローバルな視点から業界が直面する課題や革新的な取り組みについて情報交換が行われました。
数回に渡って、イベントで収集した情報と、筆者が特に興味を持ったテーマについて記事を紹介しますが、まず第一回目として、PCI SSCアジアパシフィックコミュニティミーティング 2024の概要をレポートしたいと思います。
イベントの意義
今年のテーマは「Shaping the Future of Payment Security(決済セキュリティの未来を築く)」
このコミュニティミーティングは、最新のPCI関連の動向を業界内でいち早く共有する場であり、以下のような目的を持っていると感じました。
- PCI DSS v4.xをはじめとする新基準の導入と適応
- セキュリティ脅威の現状とそれに対する防御策の検討
- クレジット決済業界における最新の技術トレンドの共有
- アジア太平洋地域における特有の課題と、その解決方法の模索
- 他地域との情報比較を通じたグローバルな視点の獲得
プログラムのハイライト
本イベントでは多岐にわたるセッションが用意されており、業界内のトレンドや具体的な課題に焦点が当てられました。特に以下のテーマが注目を集めました。
「Your Journey Through the Key New PCI DSS v4.x Requirements (PCI DSS v4.xの主要な新要件)」
保存されたアカウントデータ保護、認証、フィッシング防止など、2025年3月施行の新要件について解説。組織のセキュリティ体制を強化する具体策を紹介。
「Safeguarding Your “Boat” So You Don’t Get Hooked (フィッシング対策)」
フィッシング攻撃を防ぐためのベストプラクティスや要件を探る冒険形式のセッション。
「Cross Walking IT Compliance Standards with PCI DSS (ITコンプライアンス規格とPCI DSSの整合性)」
ISO 27001、NIST CSF、HIPAAなどの他規格とPCI DSSをどのように統合的に管理するかを議論。具体例やベストプラクティスを通じて、効率的なコンプライアンス手法を紹介。
「New vs. New: Exploring PCI DSS v4.0 and ISO/IEC 27001:2022 (PCI DSS v4.0とISO/IEC 27001:2022の比較)」
両規格の高レベルな比較と統合方法、リスク評価や是正措置の考え方を紹介。
「Security Is a Continuous Process (継続的なセキュリティ管理)」
架空のテーマパークを例に取り、PCI基準の適用がどのように失敗を防げたかを探る。
「The Hitchhiker’s Guide to the Software Security Galaxy (ソフトウェアセキュリティの未来)」
クラウド、ローコード開発、AIなど新技術がもたらすセキュリティリスクと、それを安全に活用するための方法を紹介。
「The Legend of AI and Cloud Security (AIとクラウドセキュリティ)」
生成AIやSaaSの進化がもたらすサイバーセキュリティの進展を探り、PCI DSSとクラウドセキュリティの整合性を図る方法を紹介。
「Optimizing Cloud Security Compliance (クラウドセキュリティコンプライアンスの最適化)」
クラウドサービスのセキュリティコンプライアンスを最適化するための戦略と、最新の規制や基準に対応する手法を紹介。
「PCI SSC MPoC and Mobile Update (モバイル決済とMPoCの最新動向)」
モバイル決済の進化、MPoC標準の重要性、取引の安全性を向上させる戦略を紹介。
「Navigating the Quantum Shift: A Framework for Transitioning to Post-Quantum Cryptography (ポスト量子暗号への移行)」
量子コンピューティング時代に向けた暗号技術の移行手順、量子脅威への対応策を紹介。
「Charting the Course: Assessing 2024’s Payment Security Scene, Predicting 2025’s Trends (決済セキュリティの現状と未来予測)」
2024年のサイバー脅威やデータ侵害を評価し、2025年の技術動向とリスクに備える戦略を提供。
「Security in an Age of Exponential Innovation (技術革新時代のセキュリティ)」
2050年を見据えた新技術の可能性と課題を議論し、セキュリティ強化の大局的な視点を提供。
「Unlocking Opportunities, Navigating Challenges, and Addressing Security Gaps for Biometric Payment (バイオメトリックペイメント)」
生体認証技術がもたらす価値と課題を探り、APAC市場における戦略を共有。
「Case Study of a Card Breach within A Ransomware Attack (ランサムウェア攻撃によるカード流出事例)」
実際の事例から教訓を学び、データ侵害の防止策を議論。
特に以下のセッションが筆者にとって印象的でした。
「PCI DSSと他のセキュリティ規格への準拠を効率良く管理する方法」
PCI DSSを他の規格(ISO 27001、NIST CSFなど)と統合的に管理するための実践的なアプローチ。
「量子暗号とポスト量子暗号」
次世代の量子コンピュータに対応するためのポスト量子暗号への移行プロセスと量子暗号が公開鍵暗号基盤に与える影響。
「バイオメトリックペイメント」
生体認証技術の決済システムへの応用可能性と、関連するセキュリティ課題。
「AIとクラウドセキュリティがペイメントに与える影響」
クラウド技術と生成AIの急速な進化がもたらす新たなセキュリティリスクと、それらを安全に活用するための戦略。
「モバイル決済の現在と未来」
モバイル環境におけるセキュリティの進化をテーマにしたMPoC関連の最新動向。
次回の記事では、日本のPCI業界の皆様に役立ち、筆者も特に興味を持ったテーマについてさらに掘り下げていきたいと思います。このコミュニティミーティングを通じて得られた知見が、PCI DSS準拠やセキュリティ対策を検討している企業にとって参考になれば幸いです。
筆者
沈 洵弘
株式会社レオンテクノロジー 審査部
QSA、CISSP、CISM、CISA