近年、顧客が小売店、銀行、サービスプロバイダ、クレジットカード会社に管理を任せている個人データや金融データの意図的または過失による漏洩や侵害が、かつてない規模で増えています。数々の有名企業やブランドでも、データセキュリティの大規模な欠陥が明らかになったことがメディアで大々的に報道され、金融市場でも厳しい批判を受けました。
クレジットカード業界では、このような犯罪攻撃に対処するため、自らセキュリティへのイニシアティブを発動し、政府による追加規制よりも更に広範かつ詳細な要件を設けています。PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカードデータの取り扱い、処理、格納、転送に関する共通のプロセスと予防措置を定めた、広範なセキュリティ基準です。
2006 年 9 月、大手クレジットカード会社 5 社(American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International)は、PCI 基準の継続的な向上を目的とした独立監督機関である PCI Security Standards Council の設立を発表しました。発表と同時に、PCI 基準のバージョン 1.1 が策定されました。
コンプライアンス要件
PCI Data Security Standard 要件は、クレジットカード保有者のデータを格納、処理、転送するすべてのクレジットカード ネットワークメンバー、加盟店、サービスプロバイダに適用され、(電子商取引を行っていない)小売、メール/電話での注文、電子商取引など、あらゆる支払いチャネルに影響するものです。PCI DSS では、下表のように、6 つのカテゴリーで主な要件が定められています。
検証要件
基幹となるデータセキュリティの基準は、新たに発足された PCI Security Standards Council によって管理されていますが、コンプライアンスに関する要件は、各クレジットカード会社が独自に設定しています。カードネットワークによって要件は異なりますが、代表的なものとして、MasterCard の Site Data Protection Program (サイトデータプロテクションプログラム)や Visa の Cardholder Information Security Program があります。両社では、加盟店やサービスプロバイダを対象に個別のコンプライアンス検証要件を設けており、課せられる要件は企業の規模によっても異なります。コンプライアンスレベルは、年間の取引数に応じたリスク影響度に基づいて下の表のように定められています。
検証の実施
主要クレジットカードネットワークごとに異なりますが、コンプライアンス違反に対するペナルティには厳しいものもあります。クレジットカード取引の禁止や、手数料の増額など、重大な制裁が加えられる場合もあり、深刻なセキュリティ違反に関しては、1 件につき最高 50 万ドルの罰金が科せられます。
コンプライアンスの検証要件と強制措置は今後も変更される可能性があるため、加盟店やサービスプロバイダは、加入しているすべてのカードネットワークの要件を綿密にチェックする必要があります。
ソリューション: QualysGuard PCI
一見、PCI コンプライアンスおよび検証要件(特に、外部スキャン要件)は大きな課題のように思われます。加盟店やサービスプロバイダでは、いくつかの選択基準を設けることで選択プロセスを簡素化できます。
|
認定済みの PCI スキャンベンダの使用 — ネットワークスキャンを有効なものにするには、そのスキャンが認定済みの PCI スキャンベンダによって実施されている必要があります。 |
|
|
システムを干渉しないスキャン — スキャンツールによっては、システムが侵害される場合があります。スキャンはネットワークを中断せずに、ほぼ自動処理で実施される必要があります。 |
|
|
精度 — テストサービスは、真の脆弱性を正確に特定でき、誤検出がないことがきわめて重要です。誤検出のケースは、1 つずつ手動で調べて改善しなくてはなりません。誤検出や未検出が発生すると、他の作業に多大かつ不必要な負担がかかり、PCI コンプライアンスの維持に要する人件費もかさみます。 |
|
|
効果的な脆弱性改善プロセス — サービスプロバイダは、発覚したすべての脆弱性に関して、テスト済みの文書化された改善プロセスを提供するとともに、専門的なテクニカルサポートも提供する必要があります。 |
|
|
自動レポートとオンライン提出機能 — QualysGuard PCI では、レポートを自動的に作成してオンラインで提出できるため、コンプライアンス管理が大幅に簡素化され、担当者の負担も軽減されます。 |
|
|
再利用可能なスキャンデータ — 収集したスキャンデータは有益で、PCI 以外にも適用できます。スキャンデータは、他のセキュリティ管理プロセスや SIM ツールで再利用することもできます。 |
QualysGuard PCI — オンデマンド PCI
Qualys は、認定済みの PCI スキャンベンダとして、加盟店やサービスプロバイダによる PCI DSS へのコンプライアンス評価および継続的な維持を支援します。QualysGuard PCI は、ハードウェアやソフトウェアのインストール、メンテナンスに煩わされることのないオンデマンドの Web アプリケーションであり、PCI コンプライアンスのテスト、レポーティング、提出を簡単に行える高精度で使いやすいツールです。QualysGuard PCI は、Qualys の代表的ソリューションである QualysGuard と同様の非常に高精度なスキャンインフラストラクチャとテクノロジーを基盤としています。QualysGuard は世界の数千の企業で使用され、ネットワークへの攻撃の原因となるセキュリティの脆弱性から各社のネットワークを保護しています。QualysGuard PCI によって、加盟店やサービスプロバイダはあらゆる検証要件を満たすことができます。QualysGuard PCI では、ユーザが PCI 自己評価質問表をオンラインで入力/提出し、すべての外部システムに対して定義済みの PCI スキャンを実施し、PCI 基準で要件となるネットワークやシステムの脆弱性の特定と解決を実行できます。
QualysGuard PCI の主な機能:
|
|
オンラインの自己評価質問表は、必要に応じて何度でも確認することができます。これにより、社内の他の社員との共同作業も可能になります。 |
|
|
ユーザアカウントに含まれるシステムに対しては、無制限に PCI スキャンを実施できます。すべての外部システムを四半期に 1 度スキャンすることも、コンプライアンス目的で必要が生じるたびにスキャンすることもできます。 |
|
|
PCI レポートでは、PCI 基準で定義された Executive Report と Technical Report が提供されます。 |
|
|
オンライン提出機能により、加盟店が PCI コンプライアンスを確立した時点で、アクワイアラに自動通知できます。 |
|
|
使いやすく迅速なプロセスによって、スキャン中に検出された誤検出にも対応し、誤検出を除去できます。 |
QualysGuard PCI の最も重要な機能は、シックスシグマレベルの精度です。この精度は、すべての主要オペレーティングシステム、サービス、アプリケーションに関する既知の脆弱性を網羅した広範な知識を収めた、業界で最も完全な脆弱性ナレッジベースによって実現しています。この精度は、100 万件のスキャンで欠陥がわずか 3.4 件以下という現在のエラー率に表れています。
脆弱性管理
PCI コンプライアンス
