PCI コンプライアンスを遵守するセキュリティ専門家のほとんどがすでにご存知のように、PCI セキュリティ基準審議会は Payment Card Industry Data Security Standard のバージョン 3.0 をリリースしました。
これまでと同様に、SSC は PCI DSS バージョン 2.0 からバージョン 3.0 への変更点の概要を発表しました。加盟店またはアセッサの方は、新しい要件が発効する 1 月までの間にこの 2 つの文書を必読してください。
PCI DSS バージョン 2.0 が 2010 年に導入されたとき、委員会は、基準の継続的な成熟によって変更の必要性 が減少する、言い換えれば、基準が進化し続け、新しいバージョンが導入されるにつれて、新し い要件の必要性は減少すると予想していました。したがって、PCI DSS バージョン 3.0 の変更点は主に明確化と追加情報であり、新しい要件ではありません。
とはいえ、PCI DSS リリース 1.2.1 からリリース 2.0 への移行とは異なり、リリース 3.0 では、加盟店と攻撃者がテクノロジを使用する方法の変化を反映するために必要な変更はわずかです。具体的には、PCI DSS バージョン 1.2.1 から PCI DSS バージョン 2.0 への移行には 2 つの変更しかありませんが、バージョン 2.0 からバージョン 3.0 への移行には 20 の変更があります。もちろん、各変更点について詳しく説明することは不可能であり、これらの変更点の範囲に基づいて、加盟店が最も懸念する 5 つの分野を要約することを試みました。具体的には、ほとんどの加盟店にとって、最も影響が大きいと思われる5つの変更点です。
第一の側面:侵入テスト
このため、加盟店はペネトレーションテストサービスを慎重に選択し、選択したベンダが採用する手 順が業界で認められている方法論に準拠していることを確認することが重要です。PCI DSS 3.0 コンプライアンスプログラムの準備を進めているすべての加盟店は、最優先事項として、侵入テ ストの依頼に推奨される業界で認められた手法を採用する必要があります。
第二の側面:システム・コンポーネントのリスト
メディアではあまり議論されていませんが、実務的な観点から、大きな影響を及ぼす可能性のあるもう 1 つの新 しい要件は、「PCI DSS の範囲内にあるシステムコンポーネントのリストを維持すること」です。この場合の「システムコンポーネント」は、基準の 10 ページに詳しく説明されていますが、基本的には、カード会員データ環境内のすべてのハードウェアおよびソフトウェアコンポーネントを指します。
この要件に関するテスト手順では、評価者に「システムインベントリを確認し、ハードウェアおよびソ フトウェアコンポーネントのリストが維持され、それぞれの機能/用途の説明が含まれていることを確認す る」ことが明確に義務付けられています。つまり、加盟店は、カード所有者のデータ環境のすべてのコンポー ネントを文書化するだけでなく、コンポーネントの機能および用途を説明する必要があります。加盟店は、「ビジネス正当化の記録を含め、許可されたワイヤレスアクセスポイントのリストを維持する」こ とが求められます。
ご存知のように、リストを最新の状態に保つことは容易ではありません。歴史的に見ても、加盟店がリストを維持する要求を満たすことは困難でした。なぜか?なぜなら、そのようなインベントリは頻繁に変更され、環境の実際のコンポーネントを正確に反映させるために手作業が必要になることが多いからです。その結果、自動化されていない大規模または複雑な環境では、ハードウェアおよびソフトウェア・コンポーネントの信頼性の高いインベントリを維持することは、ほぼ不可能な作業となっており、少なくとも容易ではありませんでした。
この複雑さは、仮想化が関係している場合や、環境が複数の地理的な場所にまたがっている場合に悪化します。また、プロプライエタリー・ベンダーが、部外者が保守するシステムを提供する場合も、複雑さが増します。このような要因が、すでに実現が困難な要件に拍車をかけています。加盟店のITおよびコンプライアンスチームは、このようなインベントリーを作成・管理するための方法の開発・検討に多くの時間を費やす必要があることは間違いありません。
第三分野:サプライヤーとの関係
要件 12.8.5 および 12.9 では、個々のサービスプロバイダおよびエンティティによって管理される PCI DSS に関する情報を指定することが要求されるようになりました。たとえば、事業者がホスティングされたデータセンタープロバイダーを使用する場合、そのデータセンターへの物理的なアクセス制限はそのプロバイダーによって管理され、それらの場所へのアクセスの管理面はクライアント事業者によって管理されることがあります。この場合、PCI DSS 3.0 では、加盟店はベンダーまたはサービスプロバイダとのこの責任の割り当てに明示的に同意し、書面で確認する必要があります。
この要件により、加盟店はベンダーのリストを管理し、そのサービスが CDE と相互作用する際のコンプライアンス状況を追跡するだけでなく、PCI DSS 要件に関して該当する各ベンダーの適切な責任分担を指定し、ベンダーと書面による契約を締結する必要があります。
これらの異なる要件を維持・管理することは、実際には難しいことです。なぜでしょうか?主な理由は2つあります。1つ目は、CDE関連のサプライヤーをすべてチェックする必要があること、2つ目は、特定のサプライヤーごとの使用状況を正確に分析する必要があることです。実際には、マーチャントは、サプライヤーやサービスプロバイダーが何をしているのか、管理責任をどのように分担すべきなのか、これらを説明する文書をどのように作成すべきなのかを正確に把握しなければなりません。次に重要なのは、関連するサービスプロバイダに同意してもらい、契約書に署名してもらうことです。ベンダーの交渉に携わったことのある人なら誰でも、これらの問題の交渉は時間のかかる努力であり、争いになる可能性があると言うでしょう。
第四分野:マルウェア対策
要件5.1.2では、加盟店に対して、「通常はマルウェアの影響を受けないシステムについては、進化するマルウェアの脅威を特定および評価するために、定期的な評価を実施する必要がある」ことを求めています。つまり、通常はマルウェアに感染しないシステムを使用している場合は、これを確実に維持するためのプロセスを導入する必要があり、これらのプラットフォームに何らかのマルウェアが出現した場合は、これを認識する必要があるということです。要件 5.3 では、ウイルス対策機構の動作を無効にしたり変更したりするには、管理者から明示的な承認を得る必要があり、この承認には期限が設けられていることが求められています。
組織によっては、これらの要件、特に 2 番目の要件が何らかの影響を及ぼす可能性があります。PCI DSS 2.0 では、ウイルス対策ソフトウェアが導入され、更新済みまたは最新バージョンで稼動していること、およびログを生成する機能を備えていることのみが要件となっています。これらの要件は、誰が、どのようにツールをインストールし、どのように設定したかに関係なく満たされていました。しかし、それはもう通用しません。マーチャントは現在、ユーザがアンチウイルスの仕組みを無効にしたり変更したりできないようにする必要があり、この機能を利用するためにアンチウイルスシステムを設定する必要があります。これは、CDE全体でこの機能を検証するための展開戦略と同様に、より高いレベルの技術的な計画の両方を必要とするかもしれません。間違いなく、ほとんどの加盟店は、この要件を満たすために、より多くの事務手続きを踏まなければなりませんが、この変更は、上記の要件ほど難しいものではありません。
エリア5:物理的アクセスとPoSマシン
9.3 要件 9.3 では、加盟店に対して、現場の要員による機密エリアへの物理的なアクセスを管理すること を求めています。このアクセスは、権限を付与され、各人の職務権限に基づいて管理される必要があり、アクセ スが終了した場合はアクセスを取り消す必要があります。 9.9 要件 9.9 では、加盟店に対して、「カード自体に直接接触してペイメントカードデータをキャプチャするデ バイスを、デバイスの改ざんやすり替えから保護すること」を求めています。".ほとんどの加盟店はすでに要件9.9を満たそうとしていると思われますが、もしまだ小売店舗でティッシュを保管するためにサーバキャビネットを使用している加盟店があれば、そろそろやめた方が良いかもしれません。
しかし、9.9の条件を満たすのは少し難しいかもしれません。なぜでしょうか?小売店、レストラン、医院、フードトラック、タクシー、その他のユニークな小売セグメントなどです。これらの小売業者はPOS機器の「定期点検」に慣れていますか?例えば、機器が交換されていないことを確認するためのシリアル番号のチェックなどです。そうではありません。地理的に分散した複数の小売店舗でそのようなチェックを行うために必要な労力を想像してみてください。同様に、この要求事項のテスト手順では、ポリシー/手順に「機器のリストを維持する」ことが含まれていることを具体的に検証しています。現在、どれだけの加盟店が独自のPoSデバイスのリストを持っているでしょうか。これは確かに良いプラクティスですが、現実にはそのような加盟店はほとんどありません。サイト管理者や小売施設管理者にとって、これは全く新しい概念であり、完全に展開するにはかなりの社会化、準備、担当者のトレーニングが必要になる可能性があります。
概要
お分かりのように、これらの新しい要件や更新された要件に対応するために、多くの仕事を抱えている企業もあります。もちろん、特定の使用環境やビジネス文化は、ビジネスがこれらの要件をどの程度満たすかに影響します。ただし、これらは、少なくとも移行期間中は加盟店に最も大きな影響を与える PCI DSS 3.0 の変更点です。場合によっては、これらの影響は明らかであり、これらの要件の実装に着手して初めて実感できる場合もあります。いずれにせよ、加盟店はこれらの変更に対応できるよう、今すぐ計画を開始する必要があります。そうしないと、2014 年または 2015 年に初めて PCI DSS 3.0 のアセスメントを受けたときに、不愉快な経験をすることになるかもしれません。
