2022年9月13日から15日の日程で、PCI SSC North America Community Meeting（以下、NACMと記載）がカナダオンタリオ州トロントで開催されました。

新型コロナウィルスの影響で対面で開催されたのは3年ぶりです。PO、QSA、 PCIP、その他、PCISSCコミュニティーに所属するメンバーが一堂に会し、クレジットカード、キャッシュカード、デビットカードなどのカードセキュリティーに関する最新の動向や情報、PCI DDSの最新バージョンのバージョン4の情報についてセッション形式で発表されました。

今回のNACMのセッションでPCI SSCから新規に発表されたのは次の二つ。

• Participation Organization（以下、POと記載）の拡充
• Knowledge training

POとは、PCIの各基準が策定される際のRFCの提出やPCI SSCの運営への意見の提出、SIGと言われるワーキンググループへの意見提出や投票が許されるメンバーです。POの拡充はこれまで企業のみが資格を得られていたが、今回個人POを認めたことと、企業ユーザの中に特別枠を設けてprincipal memberを新設したことが発表されました。

Knowledge trainingとは、例えば、これまでPCI QSAはPCI DSSのトレーニングのみを受けてきましたが、P2PE (Point to Point Encryption)やSSF (Software Security Framework)などのPCI DSSの周辺の標準やガイドラインについては、各標準やガイドラインの文書を読むことで知識を得ていました。Knowledge trainingコースが新設されたことで、PCI QSAは各標準やガイドラインについて、オンラインで学習することができるようになりました。これは我々PCI QSAにとってはとても良い企画です。

PCI DSS v4.0については、2025年に向けてv3.2.1から切り替えが行われます。v4.0では64の新しい要件が定義されており、v3.2.1からの移行はそれなりの準備が必要であることが多くのセッションで発表されました。その移行の準備については、適切な人を割り当て、きちんとプロジェクトプランを立て、その内容の全てを文書化することにより移行をスムーズに進められるとのこと。

審査の準備としては、次の各ステップを確実にこなすことが、PCI SSC主催のセッションで強く言われていました。

• GAP分析
• コントロールの理解
• 何をすれば良いか正しく知る
• スコープを定める

重要なことは、v4.0を深く理解すること！そして、すぐに始めること！

PCI DSS v4.0に関して多くのセッションで取り上げられていたのが、Defined approachとCustomized approachです。Defined approachとはこれまでのPCI DSSの手法。Customize approachとはv4.0で新たに定義された手法で、defined approachとの違いは、事業体が独自にリスク評価をして、コントロールを作成すること。要するにPCI DSSに新たにリスクベースアプローチが採用されたと言うこと。会期の中で多くのセッションで情報提供やQAが実施されましたが、普通の事業体ではdefined approachで進めるのが良いとのこと。customized approachを採用できるのは、現段階では重要インフラ事業者の様に、すでに事業体で詳細なリスク分析が実施され、リスク分析に応じたコントロールが定義されている事業体である。今後customized approachを採用したい企業は、リスク評価ができる素地を整え、ゆっくりと移行していくことが肝要であると思います。