ブログ
デジタルトラスト

PCI DSS v4.0：新しい決済セキュリティ規格

加盟店とサービスプロバイダーがコンプライアンスを維持するために知っておかなければならない変更点。

PCI DSS v3.2.1は最近廃止され、2024年4月1日にv4.0 に差し替えられました。この新版には重要な変更事項が含まれます。決済カードデータを取り扱うすべての加盟店およびサービスプロバイダーは、法令遵守義務を果たすために、これらの変更事項を認識し、実施に備える必要があります。

新しい要求事項の多くは2025年3月31日までのベストプラクティスですが、そのメッセージは明確です。つまり、将来の日付で設定された要求事項が有効になる前に、すべての要求事項を確実に実施し、これらの要求事項に準拠するための計画を今すぐ開始するよう促しているのです。

PCI DSSとは

PCI DSSは、安全なカード決済を保証するために、カードスキーム（Visa、Mastercardなど）と業界の専門家団体が開発したグローバル基準です。このセキュリティコントロール一式は、情報セキュリティの基本的側面を網羅し、その適用範囲は決済カード処理システムに関わる人、プロセス、およびテクノロジーまで及びます。

決済カードデータの保存、処理、または送信を行うすべての事業体は、PCI DSSに準拠する義務を負います。この規格は、クラウドサービスプロバイダー、決済ゲートウェイ、マネージドサービスプロバイダーなど、クレジットカード処理環境のセキュリティに影響を与える可能性のある事業体にも適用されます。

v4.0の目的

この規格は、決済システムで使用される新技術に起因する新たなリスクと攻撃手法への対処を目的としています。改定の内容：

セキュリティ目標を達成するために、さまざまな方法を用いて柔軟性を高める。
進化する脅威に基づき、セキュリティ上のニーズに対応する。
継続的業務としてセキュリティを推進する。
条例遵守を検証する方法と手順を強化して盛り込む。

v4.0では、次の点に留意して、いくつかの重要な改定が行われました。

カスタマイズされたアプローチ：規範的な管理ではなく、セキュリティ目標の達成を基点として要求事項をテストし、検証するための新しい報告方法。
役割および責任：継続的プロセスとしてセキュリティを推進するために、各要求事項について役割と責任を定義し、職務の効果的な割当てと管理を徹底させます。
適用範囲の文書化：旧版では、評価を裏付けるために常に必要とされていましたが、新版では詳細なアーティファクトが必須となりました。加盟店については年1回、サービスプロバイダーについては年2回の審査を行います。
対象を絞ったリスク分析：マルウェア、アプリケーション、システムアカウント、POI検査、ログのレビュー、脆弱性管理、および決済ページの整合性チェックについて、リスクレベルに基づいて、特定の法令遵守活動の頻度を定義します。
多要素認証（MFA）に関する要求事項の強化：管理アクセスのみならず、カード保有者データ環境（CDE）へのすべてのアクセスに関してMFAが必須となります。これにより、潜在的な不正アクセスに対するセキュリティが強化されます。。
継続的脅威に対処するための、電子商取引およびフィッシングに関する新要求事項：決済ページの文言、および電子メールシステムの「注意義務」のインテグリティ・チェック。
暗号化の強化、および鍵の管理：強力な暗号鍵の使用、保存されたPANの鍵付きハッシュ、インベントリ、および個別の鍵管理手順が必須となりました。
ロギングおよびモニタリングの強化：各種の環境におけるアクティビティ、アクセス、およびアラートのより広範なロギング。アノマリおよび疑わしいアクティビティをより的確に検知するためのログレビュー自動化。
IAMおよびパスワードのセキュリティ強化：ブルートフォース攻撃に対する防御を目的とした、より強力なパスワード要求事項およびポリシー。システムおよびアプリケーションのアカウント、特に対話型ログイン機能を持つアカウントを見直し、重点的に管理します。
認証済み内部脆弱性スキャン：アセスメントに遅れないように追加的な所見を確実に是正するためには、プランニングおよびスコーピングが必要です。
脆弱性管理：緊急（Critical）または重要（High）と評価された脆弱性だけでなく、すべての脆弱性の是正。
インシデント対応：予期せぬPAN検出、決済ページの変更等。