「PCI DSS準拠」を進める手順とポイント、クラウド利用の場合

みなさん、こんにちは。ビジネス推進グループの沖です。

安全にクレジットカード情報が取扱われる環境を整備する目的で、2018年5月ころに改正割販法の施行が予定され、実施すべき具体的内容は実行計画が定めている状況はご存じの通りです。実行計画が求めている対策完了時期は多くの場合2018年3月であり、時間的猶予が少なくなりつつある状況ではありますが、個別事情は一旦横に置いておいて、本記事ではPCI DSS準拠を目指す場合に必要な一般的な手順の全体像を追いかけて、何がポイントとなるかを見ていきます。

PCI DSS準拠を進めるざっくりとした基本手順は、大きく4ステップに整理できると考えられます。1.カード会員データ取扱い調査、続いて2.適用範囲(スコープ)の正確な決定、3.決定した適用範囲に対するPCI DSS要件実装、4.PCI DSS運用の開始と維持の4つです。

この表は、PCI SSCが公開しているガイダンス文書のうち、
Guidance for PCI DSS Scoping and Segmentation v1.1-May 2017
から、3章 Scoping Definition and Categoriesに掲載されている表の引用ですが、わかりやすくするためにステップを大くくりにまとめました。

 
ステップ Activity Description
1.カード会員データ取扱い調査 カード会員データ受領の識別
  • 全ての支払チャネルと、カードデータ受領手段を識別する
データ保存・処理・伝送の場所と経路を文書化
  • すべてのカード会員データフローを文書化
  • データ保存、処理、伝送に関与する人、プロセス、テクノロジを識別する
2.適用範囲(スコープ)の正確な決定 範囲内の全システムコンポーネント、プロセス、人員の識別
  • カード会員データ環境(CDE)に接続されるか、CDEにセキュリティの影響を与えうる、すべてのプロセス、システムコンポーネント、人員を識別する。
スコープ減少コントロールを実装
  • CDEとCDE外システム間の通信を、必要な通信に限定するコントロール実装
  • CDEに接続する必要がない、あるいはCDEに影響しない、人、プロセス、技術をCDEから分離するコントロールを実装
3.PCI DSS要件実装 全PCI DSS要件実装
  • 範囲(In Scope)について、PCI DSS要件を識別し、実装する。
4.PCI DSS運用の開始と維持 維持と監視
  • PCI DSSコントロールが有効であり続けるように、プロセスを実装する
  • 変更がなされたとき、影響が及ぶ範囲内の人員、プロセス、技術が正確に識別されるように運用する

 

1.カード会員データ取扱い調査

PCI DSS準拠活動の着手前、あるいはこれから本格化する初期段階でよく聞くざくっとしたお悩みに、「何をすればよいかわからない」、「(対策に)いくらぐらいかかるかわからず前に進められない」というものがあります。これらのお悩みの根源が、自社の事業活動に含まれるカード会員データの取扱いが整理できていないことに起因していることがよくあります。PCI DSSはカード情報取扱範囲に対する要求事項ですから、自社のカード情報取扱が整理できていない状況は、そもそもPCI DSS適用対象に関する情報がないことと同義です。最初のステップでは次のステップの入力情報、すなわち自社事業に関係するすべてのカード情報取扱を洗い出す調査を実施します。大事なことは網羅することですが、調査のコツはシンプルです。空間的な移動に該当するカード会員データのフローと時間的な変化に該当するデータライフサイクルの両面から追跡する方法をおすすめします。たとえば、バックアップデータに含まれるカード会員データを含めることを失念しやすいですが、破棄するまでは調査対象ですから、データライフサイクル視点からも追跡することで追跡漏れを防ぎやすくなります。

 

2.適用範囲(スコープ)の正確な決定と 3.PCI DSS要件実装

カード会員データの取扱いが調査できたら、続いて2.適用範囲(スコープ)の正確な決定がなされ、続いて3.決定した適用範囲に対するPCI DSS要件実装が待ち構えていますが、これらの手順はなかなかきれいに順番どおりになりません。対象となった範囲のシステムについて、たいていの場合、業務自体を見直すことでデータ取扱いを減らしたり、システム構成を見直してカード情報取扱と直接関係しないシステム要素をネットワーク分離するとか、いろいろな策を実施してカード情報取扱範囲の削減を考えます。2.適用範囲の決定と、3.PCI DSS要件実装のステップは行きつ戻りつしながら落としどころに落ち着くことが普通です。最近は、3.PCI DSS要件実装のシステム基盤としてクラウド利用も選択肢になります。クラウド利用でPCI DSS準拠を進める場合は、責任分担がポイントです。以下の通りです。

 

クラウド利用とPCI DSS責任

クラウドベンダーはいくつもありますが、ここではクラウドのPCI DSS準拠の取組に関してTop2であるAmazon Web Servicesと Microsoft Azureに注目します。クラウド利用側がPCI DSS準拠する目的で利用する主要サービスは主にIaaSですがPaaSも利用します。クラウドTop2の両社ともに、ネットワーク、仮想マシン、ストレージ、データベース、ログ管理機能などなどさまざまなサービスが提供されていますが、利用側がPCI DSS準拠をめざす場合、クラウドベンダーに対するPCI DSS審査によりPCI DSS準拠確認済みのサービスを利用することが前提です。

ときどき誤解されることがあるのですが、PCI DSS準拠済みサービスを利用するだけで利用側がPCI DSS準拠と認められるわけではありません。利用側のPCI DSS準拠が認定されるためには、PCI DSS責任に関してクラウドが定めるクラウドと顧客側の責任分担の結果、顧客側責任と整理された責任に対して、すべてのPCI DSS要求事項に対応する必要があります。クラウドにおけるPCI DSSに関する責任分担参考情報は、幸いなことにAWSやAzureそれぞれが情報提供してくれています。ここでは責任分担の理解に役立つ情報入手先の掲載にとどめます。

 

  • AWSの場合

▼AWS利用でPCI DSS準拠を目指すときの参考情報

https://aws.amazon.com/jp/compliance/pci-dss-level-1-faqs/

▼責任共有モデルの説明

https://aws.amazon.com/jp/compliance/shared-responsibility-model/

▼PCI DSS Responsibility SUMMARYとAOC(準拠報告書)

AWSアカウントからartifactと呼ばれるパッケージで入手可能

 

  • Azureの場合

▼Azure利用でPCI DSS準拠を目指すときの参考情報

https://www.microsoft.com/ja-jp/trustcenter/Compliance/PCI

▼責任共有モデルの説明

https://gallery.technet.microsoft.com/Azure-PCI-DSS-Responsibilit-02d4b4b2?redir=0

▼ AOC(準拠証明書)

http://aka.ms/azure-pci

 

まとめ

本記事ではPCI DSS準拠を進める手順を追いかけつつ、PCI DSS準拠を達成するためのポイントはデータ取扱いの網羅と、PCI DSS責任の見極めにあることを見てきました。

特に、カード会員データの取扱いを明らかにすることがすべての始まりであるということや、クラウド利用の場合はクラウドベンダーが提供しているPCI DSS責任分担参考情報を利用し、利用側のPCI DSS責任となる責任範囲に対するPCI DSS要件を満たすシステムを設計・構築し、PCI DSS運用を行うことで、利用側がPCI DSS準拠となります。

 

皆様がPCI DSS準拠へ至る途中段階にあり、本記事の一部が役立つようでしたら幸いです。