こんにちは、ペイメント事業部システム課マネージャーの戸田です。
今回は久しぶり(?)にPCI DSSのお話しです。
以前、PCI DSS v4.0について記事を書いたのですが、対応を進める中で理解したことや気づいたことをご紹介したいと思います。
ターゲットリスク分析
PCI DSSは12の要件があり、各要件の中でさらに細かい要件が決められております。
その中で「12.3 カード会員データ環境に対するリスクが正式に特定、評価、管理されている」という要件があり、ターゲットリスク分析を実施しましょうという内容となっております。
リスク評価プロセスの要件はv3.2.1でもありましたが、v4.0ではテンプレートも用意され、文書化や承認に関してもより具体的な内容となっております。
まあ、リスク分析を行いましょうというのは問題ないのですが、PCI DSS v4.0では他の要件で「要件12.3.1 に規定される~」という風に他の要件を対応する際にターゲットリスク分析の実施が前提となっているものが多々あります。
つまり、PCI DSS v4.0に完全準拠するにあたり、まずはターゲットリスク分析の実施が必要となるわけです。
過去のバージョンとの兼ね合いでv4.0も要件12にあるのかもしれませんが、最初に必要なのであれば要件1の最初に書いておいてくれと少し思いました。
PCI DSS要件の適用範囲
v4.0ではクラウド環境に関する記述が明記されました。
サブスクペイのシステム環境はAWSがメインとなりますが、クラウド環境の記述が明記されたことでv3.2.1よりもわかりやすくなったような気がします。
あと、タブレット、モバイルデバイスなど普段業務で一般的に使用される機器が追記されたり、音声ファイル、ビデオ録画などサーバーやNW機器以外の追記も増えています。
また、プリンター、スキャン、印刷、ファックスを行う多機能デバイス(=複合機)も入っており、適用範囲として認識しないといけないものが広がり大変になったなという印象です。
時間枠
v3.2.1では「毎月」「四半期」といった表現でしたが、v4.0では「30~31日に1回」「90日~92日に1回」など具体的な数字での表現になりました。
特に「毎日」は「1年を通じて毎日(営業日に限らず)」とこれまで曖昧だった営業日外の対応も必要だということが明記されました。
まあ、数字で表現されたり営業日に限らずと明記されたおかげでわかりやすくなった気がします。
パスワード要件
v3.2.1ではパスワードは7文字以上となっておりましたが、v4.0では12文字に変更となりました。
サブスクペイでは以前のIPAの内容に沿って8文字以上としていましたが、今後は12文字に変更する必要があります。
カード会員データ環境(CDE)へのアクセスの勘違い
v4.0の対応を進めていく中で、CDEへのアクセスで勘違いしていたものがありました。(※「CDE」に関してはPCI DSSドキュメントなどをご参照ください)
これまでCDEへのアクセスとはフル桁のカード情報を取り扱うサーバーやNW機器にSSHやRDPなどでアクセスすることだと思い込んでいました。
それ自体は間違っておりませんが、例えばCDE内のWebサーバーで動く管理用アプリケーションがあった場合、たとえそのアプリケーションがカード情報を閲覧できなかったとしても、アプリケーションへのアクセス=CDEへのアクセスになるとのこと。
つまり、フル桁のカード情報が見られるか見られないかではなく、CDE内にあるサーバー、NW機器、データベース、アプリケーションへのアクセスは全てCDEへのアクセスとなるわけです。
言われてみれば確かにそうなのですが、CDEへのアクセスはv4.0でMFAが必須になるなど強化されているため、2025年3月のFuture-Datedまでにどのように対応するか悩ましいところです。
今後について
現時点ではドキュメントや一部運用手順などをv4.0の要件に対応できておりますが、システム要件への対応はまだまだ道半ばといった状況です。
2025年3月の期限までに対応しないといけないことは色々とありますが、Future-Datedの要件を含めた完全準拠を達成した時には、よりセキュアな環境になっているはずです。
今後も常にお客様に安心してご利用いただけるサービスを提供できるよう気を引き締めて取り組んでいきたいと思います。
We are hiring!!
ROBOT PAYMENTでは一緒に働く仲間を募集しています!!!
speakerdeck.com
www.robotpayment.co.jp