PCI DSS - デジタル・フォレンジック研究会

第7回デジタル・フォレンジック・コミュニティ2010
in TOKYO
主催:
特定非営利活動法人デジタル・フォレンジック研究会
クレジットカード情報漏えい事件に
クレジットカ
ド情報漏えい事件に
おけるデジタル・フォレンジックと
PCI DSS
2010/12/14
Copyright International Certificate Authority of Management System All rights Reserved.
アジ ンダ
アジェンダ
1.
1
2.
3.
4.
クレジットカ ドを取り巻く環境
クレジットカードを取り巻く環境
PCIデータセキュリティ基準のご紹介
法律 び各種ガイド イ と 相関
法律及び各種ガイドラインとの相関
ペイメントカードに関するフォレンジック調査の
イ ントカ ドに関する ォ ンジック調査の
国際標準化の動き
付録:参考文献
Copyright International Certificate Authority of Management System All rights Reserved.
1
弊社の紹介
会社名
国際マネジメントシステム認証機構(株)
業務内容 情報セキュリティに関する審査/監査、
第三者認証サービスのご提供
所在地
東京本社、札幌営業所
認定
・財団法人日本情報処理開発協会
財団法人日本情報処理開発協会
(以下JIPDEC)からJIS Q 27001
(ISO/IEC27001)の認証機関として認定(ISR010)
・米国PCIセキュリティ基準審議会より
認定セキュリティ評価機関(QSA)として承認
関連会社 Payment Card Forensics(株)
(株式会社UBICとの合弁会社)
Copyright International Certificate Authority of Management System All rights Reserved.
2
弊社のPCI DSSオンサイト監査実績

国内の主要インターネット決済代行事業者の全てにオンサイト監査に
実績を持つ
Copyright International Certificate Authority of Management System All rights Reserved.
3
クレジットカ ドを取り巻く環境
クレジットカードを取り巻く環境
Copyright International Certificate Authority of Management System All rights Reserved.
4
クレジットカ ドを取り巻く環境①
クレジットカードを取り巻く環境①
 米国における最大規模の情報漏えい事件
-
米国最大手の1社のデータ処理会社から約3億件のカード会員データの情報漏え
米国最大手
社 デ タ処理会社から約 億件 カ ド会員デ タ 情報漏え
い事件が発生
 接続技術の変化
-
インターネットに接続した統合店舗販売時点管理(IPOS)システムの増加
カード会員データのIPベース送信の増加
 個人情報保護法をトリガーとしたプライバシーマークの
個人情報保護法をトリガ としたプライバシ マ クの
普及と不足要素の顕在化
-
経済産業省からガイドラインが発行
「クレジットカ ド情報を含む個人情報の取扱いについて」
「クレジットカード情報を含む個人情報の取扱いについて」
JIS Q 15001はあくまで国内限定の規格
 改正割賦販売法が可決
-
クレジット事業者に対して、個人情報保護法ではカバーされていない
ク
ジ ト事業者に対し
個人情報保護法 はカバ され
な
クレジット情報の保護のために必要な措置を講じることを義務づけると
ともに、カード番号不正提供・不正取得をした者等を刑事罰の対象とする。
違反事業者に対する行政処分が法制化
Copyright International Certificate Authority of Management System All rights Reserved.
5
ハートランド・ペイメント・システムズ事件①
トランド イメント システムズ事件①
 Heartland Payment
y
Systems(NASDAQ:HPY)はニュージャー
y
(
Q
)は
ジャ
ジー州に本社を置く全米6位のペイメントカードのプロセシング会
社
 2009年1月に事件を公表し、その後の被害調査報告によると漏え
い件数は2億8,500万件を超える全米史上最大のカード情報の
漏えい事件とな た
漏えい事件となった。
 同社は、PCI DSS完全準拠企業だった。VISAのコンプライアンス
リストでは準拠ステ タスは 事故後 時停止となったが 現在は
リストでは準拠ステータスは、事故後一時停止となったが、現在は
異なるQSAにより完全準拠を達成している。
Copyright International Certificate Authority of Management System All rights Reserved.
6
ハートランド・ペイメント・システムズ事件②
トランド イメント システムズ事件②
 犯人はAlbert
犯人は
Gonzalez
 米国最大級のハッカーグループ
に所属
 本事件以外にもTJX(小売)
Dave & Busters(レストラン
チェーン)事件にも関与
 懲役20年の実刑
Copyright International Certificate Authority of Management System All rights Reserved.
7
ハートランド・ペイメント・システムズ事件③
トランド イメント システムズ事件③
 過去PCI DSSのオンサイト監査を実施したQSAに
ついては停止処分を受けることなしに現在も活動を続けている。
ついては停止処分を受けることなしに現在も活動を続けている
Copyright International Certificate Authority of Management System All rights Reserved.
8
クレジットカ ドを取り巻く環境②
クレジットカードを取り巻く環境②
 国内でもクレジットカード情報の漏洩事件/事故が多発
- サウ
サウンドハウスのECサイト(音響機器)から約2.7万件流出
ド ウ
サイト(音響機器)から約
件流出
(08年4月)
- アリコジャパンの情報システムから約5千件流出(09/7月)
- アミューズのECサイト『アスマート』から約5万件流出(09/8月)
- デジタルダイレクトのECサイト『saQwa(サクワ) ネットショッピ
ング 』から約5.2万件流出(09/9月)
- カード会社から不正利用に関する監視業務を受託する
ベルシステム24の契約社員がカード情報を不正に取得し逮捕
が
ド情
逮
された(10/6月)
- ネットスーパー運営会社『NEO BEAT(ネオビート) 』から1.2万
』から1 2万
件の情報漏洩(10/8月)
- 『さくら観光』高速
『さくら観光』高速バス予約サイトから5.2万件のカード会員情報
ス予約サイトから5 万件のカ ド会員情報
が漏えい(10/9月)
Copyright International Certificate Authority of Management System All rights Reserved.
9
事故の考察
 ECサイトからの情報流出事件/事故
- 原因
ECサイトに保管されていた会員のクレジットカード情報が、
海外からSQLインジェクション攻撃をされたため。
海外からSQLインジェクション攻撃をされたため
- 事故後の必要な対応
※SQLインジェクション攻撃
• 顧客の問い合わせ対応
• 認定機関によるフォレンジック調査
• 警察への被害届
• 広報
データベースコマンド入力
• カード取扱再開のための対応
→PCI
PCI DSSへの準拠が再開の条件
- 対応コストは莫大
Copyright International Certificate Authority of Management System All rights Reserved.
10
PCIデ タセキュリティ基準のご紹介
PCIデータセキュリティ基準のご紹介
Copyright International Certificate Authority of Management System All rights Reserved.
11
PCI DSSとは
DSSとは?
 国際的なクレジット産業向けのデータセキュリティ
基準(Payment Card Industry Data Security
Standard)
 VISA、 MasterCard 、American Express、JCB、
Discover、5つの国際ペイメントブランドによって
2006/9月に設立されたPCIセキュリティ基準審議会
(米国)が制定した事実上の基準
Copyright International Certificate Authority of Management System All rights Reserved.
12
PCI基準とは
PCI基準とは?
加盟店とプロセッサ
ソフトウェア開発
製造メーカー メーカー
PCI PTS
PIN
エントリー
エントリ
デバイス
PCI PA-DSS
ペイメント
アプリケーション
ベンダー
PCI DSS
データセキュリティ基準
デ
タ キ リティ基準
Copyright International Certificate Authority of Management System All rights Reserved.
13
PCI DSS準拠の対象
外部委託
iDC事業者
など
外部委託
PCI DSSの対象範囲
ペイメント
ゲートウェイ
(決済代行)
承認要求
カ ド会社
カード会社
(アクワイアラ)
プロセシング
(データ処理会社)
購買許可
承認要求
購買許可
コールセンター
事業者など
外部委託
購買許可
PCI DSSの対象範囲
承認要求
ペイメントブランド
のネットワーク
加盟店
プロセシング
(データ処理会社)
コールセンター
事業者など
購入
PCI DSSの対象範囲
購買許可
カード提示
承認要求
コ ルセンタ
コールセンター
事業者など
PCI DSS準拠が必要な事業体
加盟店
カード発行
サービスプロバイダ
クレジットカード会員
カード会社 外部委託
(イシュア)
プロセシング
(データ処理会社)
Copyright International Certificate Authority of Management System All rights Reserved.
14
PCI DSS準拠制度の概要
ペイメントブランド
PCIセキュリティ
基準審議会(PCI SSC)
※米国組織
準拠要請
自己問診表(SAQ)
脆弱性検査レポート
準拠性 監査報告書(ROC)
報告 準拠証明書(AOC)
カード会社
(アクワイヤラ)
準拠要請
承認
認定ネットワーク
スキャニングベンダー
スキャニングベンダ
ASV
承認
認定セキュリティ評価機関
QSA
提出
検査
(四半期毎)
加盟店
監査
(年次)
サービス
プロバイダ
Copyright International Certificate Authority of Management System All rights Reserved.
15
加盟店のレベル①
レベル
1
VISA Inc.
MasterCard
((AIS)
)
(SDP)
(
)
・当該ブランドの年間の
取引件数が600万件以
上、または地域のVISA
がレベル1と判断したグ
ローバルな加盟店
・当該ブランドの年間の取
引件数が600万件以上
・過去にカード情報の
漏洩事件を起こした加盟店
・MasterCardがレベル1と
判断した加盟店
JCB
(JCBデータセキュ
リテ プ グラム)
リティプログラム)
American
Express
(DSOP)
・当該ブランドの年間の
取引件数が100万件以上
・International取引を処
理する加盟店、または過
去にカード情報の
漏洩事件を起こした
加盟店
・当該ブランドの年間の
取引件数が250万件以
上またはAmerican
Expressがレベル1と判
断した加盟店
・当該ブランドの年間の
取引件数が100万件未満
・当該ブランドの年間の
取引件数が5万~250万
件以上またはAmerican
Expressがレベル2と判
断した加盟店
・Visaがレベル1と判断した
加盟店
2
・当該ブランドの年間の
取引件数が100万~
600万件
・当該ブランドの年間の取
引件数が100~600万件以
上
Visaがレベル2と判断した
・Visaがレベル2と判断した
加盟店
・International取引を処
理する加盟店
※VISA Inc.とVISA Europeでは基準が異なる。
Copyright International Certificate Authority of Management System All rights Reserved.
16
加盟店のレ ル②
加盟店のレベル②
レベル
3
VISA Inc.
MasterCard
(AIS)
(SDP)
・当該ブランドの年間の
電子商取引における取引
件数が2万~100万件
・当該ブランドの年間の
電子商取引における取
引件数が2万~100万件
JCB
(JCBデータセキュ
(JCBデ
タセキ
リティプログラム)
American
Express
(DSOP)
N/A
・当該ブランドの年間の
取引件数が5万件未満
N/A
N/A
・Visaがレベル3と判断
した加盟店
4
・当該ブランドの年間の
電子商取引における取引
件数が2万件未満
・レベル1~3以外のす
べての加盟店
・当該ブランドの年間の
取引件数が100万件未満
※VISA Inc.とVISA Europeでは基準が異なる。
Copyright International Certificate Authority of Management System All rights Reserved.
17
加盟店の検証要件①
レベル
1
VISA Inc.
MasterCard
(AIS)
(SDP)
・QSAによる年1回の
オンサイト監査
・ASVによる四半期毎
のネットワークスキャン
American
Express
(DSOP)
JCB
(JCBデータセキュ
リティプログラム)
・QSAによる年1回の
オンサイト監査
・QSAによる年1回の
オンサイト監査
・QSAによる年1回の
オンサイト監査
ASVによる四半期毎の
・ASVによる四半期毎の
ネットワークスキャン
・ASVによる四半期毎の
ネットワークスキャン
・ASVによる四半期毎の
ネットワークスキャン
・PCI SSC主催の加盟店
トレーニングに参加し、
資格継続している監査担
当者による年1回の自己
問診、またはQSAによる
年
年1回のオンサイト監査
監査
・年1回の自己問診
・ASVによる四半期毎の
ネットワークスキャン
・準拠証明書(AOC)
2
・年1回の自己問診
・ASVによる四半期毎
のネットワークスキャン
・準拠証明書(AOC)
・ASVによる四半期毎の
ネットワークスキャン
※期限:2011年6月30日
・ASVによる四半期毎の
ネットワークスキャン
ネットワ
クスキャン
Copyright International Certificate Authority of Management System All rights Reserved.
18
加盟店の検証要件②
レベル
3
4
VISA Inc.
MasterCard
(AIS)
(SDP)
・年1回の自己問診
・年1回の自己問診
・ASVによる四半期毎
のネットワークスキャン
・ASVによる四半期毎の
ネットワークスキャン
・年1回の自己問診(推
奨)
・年1回の自己問診
(推奨)
・ASVによる四半期毎
のネットワークスキャン
(推奨)
推奨
・アクワイアラが定める
準拠要件
American
E
Express
(DSOP)
JCB
(
(JCBデータセキュ
デ タ キ
リティプログラム)
N/A
・ASVによる四半期毎の
ネ トワ クスキ ン
ネットワークスキャン
(強く推奨)
N/A
N/A
・ASVによる四半期毎の
ネットワークスキャン
(推奨)
Copyright International Certificate Authority of Management System All rights Reserved.
19
サービスプロバイダのレベル①
①
レベル
VISA Inc.
MasterCard
(AIS)
(SDP)
1
・Visa Netに接続する
プロセッサ、または取
引の伝送/処理/保
存 件数が年間
存の件数が年間30万
件以上あるサービスプ
ロバイダ
2
・取引の伝送/処理/
保存の件数が年間30
未満のサービスプロバ
イダ
・すべてのTPP※1
American
Express
(DSOP)
JCB
(JCBデータセキュ
リティプログラム)
・すべてのTPP
・すべてのTPP
・年間30万件超の取引を
伝送/処理/保存する
DSE※2
・過去にカード情報の
漏洩事件を起こしたことが
あるすべてのTPP及び
DSE
・年間30万件以下の取引
を伝送/処理/保存
するDSE
※1 TPP (サ
(サードパーティープロセッサ):取引処理サービスをアクワイアラのために行うサービスプロバ
ドパ ティ プロセッサ):取引処理サ ビスをアクワイアラのために行うサ ビスプロバ
イダ(インターネットペイメントサービス等)
※2 DSE (データストレージエンティティ):取引処理サービスを加盟店又は他のサービスプロバイダの
ために行うサービスプロバイダ(Webホスティングサービス等)
Copyright International Certificate Authority of Management System All rights Reserved.
20
サービスプロバイダの検証要件
レベル
1
Visa Inc.
MasterCard
(AIS)
(SDP)
・QSAによる年1回の
オンサイト監査
ASVによる四半期毎
・ASVによる四半期毎
のネットワークスキャン
・準拠証明書(AOC)
・QSAによる年1回の
オンサイト監査
・ASVによる四半期毎の
ネットワークスキャン
・Visa Incのサービスプ
ロバイダリストに掲載
2
・年1回の自己問診
・年1回の自己問診
・ASVによる四半期毎
のネットワークスキャン
・Visa Incのサービスプ
ロバイダリストには掲載
されない(レベル1とし
て検証すれば掲載)
・ASVによる四半期毎の
ネットワークスキャン
American
Express
(DSOP)
JCB
(JCBデータセキュ
リティプログラム)
・QSAによる年1回の
オンサイト監査
・QSAによる年1回の
オンサイト監査
・ASVによる四半期毎の
ネットワークスキャン
・ASVによる四半期毎の
ネットワークスキャン
Copyright International Certificate Authority of Management System All rights Reserved.
21
サービスプロバイダの再検証
Visa Inc.
MasterCard
(AIS)
(SDP)
American Express
(DSOP)
・監査報告書(ROC)承認日より12ヶ
月以内に年1回の再検証を行わなけ
ればならない。
・準拠証明書(AOC)レポート日より
12ヶ月以内に年1回の再検証を行わ
なければならない。
・監査報告書(ROC)レポート日より
12ヶ月以内に年1回の再検証を行わな
ければならない。
・検証書類は期日までに承認されなけ
検証書類 期 ま
承認されな
ればならない。
・MasterCardはROCの受付または
C は OC 受付または
レビューを行わない
・期日を過ぎた検証書類は義務の不
履行とみなされ次のように色分けされ
たリストに記載される。
・準拠証明書(AOC)が受領されるま
で、MasterCard Webサイトの準拠
で、
サイトの準拠
サービスプロバイダ一覧から削除さ
れる場合がある。また該当するアク
ワイアラに対して準拠していないと評
価されることがある。
価される
ある。
・Amexは顧客に対し、スキャン期日の
は顧客に対し
キ
期
30日前までに、またROC期日の30日
前及び90日前までに再検証を行わな
ければならないことを通知
-期日超過が60日までの場合は黄色
-期日超過が61日以上の場合は赤色
・期日超過が90日以上となったサービ
期日超過が90日以上とな たサ ビ
スプロバイダは検証書類が受領及び
承認されるまでリストから削除される。
・ROCは顧客の年1回の再検証期日ま
でに承認されなければならない。その
期日を過ぎたROCは義務の不履行と
みなされ、Amex独自の義務履行管理
みなされ、
独自 義務履行管理
プロセスが実行される。ROCが承認さ
れると、その後のROCのレポート日か
ら12ヵ月後として新たに再検証が設定
される。
※JCB(JCBデータセキュリティプログラム)では再検証についての定めはない。
Copyright International Certificate Authority of Management System All rights Reserved.
22
国際カ ドブランドからの要求①
国際カードブランドからの要求①
 VISA International(以下VISA Inc
Inc.)による
)による
AIS(アカウントインフォメーションセキュリティ)プログラム
- VISA
S Inc.に直接賠償責任を負うのは加盟店募集の
c に直接賠償責任を負うのは加盟店募集の
クレジットカード会社(アクワイアラ)
- 保管禁止データの削除期限
• 2009/9/30
- レベル1加盟店のPCI DSS完全準拠の期限
• 2010/9/30
- 期限を超過した場合はVISA Inc.は、当該加盟店と契約してい
るクレジットカード会社(アクワイヤラ)に対して罰金を含む何ら
社(
ラ)
罰 を含 何
かのリスクコントロールを課すことを表明している。
Copyright International Certificate Authority of Management System All rights Reserved.
23
国際カ ドブランドからの要求②
国際カードブランドからの要求②
 MasterCard
SDP(サイトデータプロテクション)プログラム
- MasterCardに直接賠償責任を負うのはアクワイアラ
- 四半期に
四半期に一度のPCI
度のPCI DSS準拠に関する報告を怠った場合に対する
ペナルティ
→最大$25,000
- PCI DSSの非順守に対するペナルティ
DSSの非順守に対する ナルティ
→レベル1加盟店/レベル1,2サービスプロバイダ:最大$25,000
→レベル2加盟店:最大$10,000、レベル3加盟店:最大$5,000
- PCI DSSの非順守のよるクレジットカード情報の漏洩のペナルティ
→保管禁止データの違反
保管禁止デ タ 違 $100,000(最大$500,000)
$
(最大$
)
→当該加盟店が順守を達成するまで最大$25,000/1日につき
→調査費その他関連費用
- イシュアに支払われる補償金
イシ アに支払われる補償金
→再発行1カードあたり最大$ 25、モニターすべきカード1カードあたり最大$5
24
Copyright International Certificate Authority of Management System All rights Reserved.
カード会員データの保護
カ
ド会員デ タの保護
 クレジットカードの磁気ストライプまたはチップ内のデータを
さす
さす。
 カード会員データ
-
プライマリアカウント番号(15
プライ
リアカウ ト番号(15 ~16桁):PAN
16桁) PAN
チップ
カード会員名
サービスコード
サ
ビスコ ド
有効期限
 センシティブ認証デ
センシティブ認証データ
タ
PAN
4000 0012 1111 2222
ICMS Taro 12/10
有効期限
カード会員名
磁気ストライプ
- 全磁気ストライプ/チップ上の
磁気ストライプイメージ
- CVC2/CVV2/CID/CAV2
- PIN/PINブロック
Copyright International Certificate Authority of Management System All rights Reserved.
CVV2
CVC2
25
バージョンアップサイクル
ジョンアップサイクル
 V2.0以降、バージョンアップサイクルが2年間から3年間
に変更とな た
に変更となった。
Copyright International Certificate Authority of Management System All rights Reserved.
26
オンサイト監査の概要①
 監査基準
- ~2011/12/31
PCI DSS Ver1.2(リリース
(リリ
2008/9月)
月)
- 2011/1/1~
PCI DSS Ver2.0(リリース 2010/9月)
 対象範囲
- 全てのカード会員データ環境とそれらに接続されるネットワーク
コンポーネント、サーバー、アプリケーション
- カード会員データが取り扱われる全ての拠点(店舗、データセ
カ ド会員デ タが取り扱われる全 の拠点(店舗 デ タセ
ンター、コールセンターなども含まれる)
 監査サイクル
- 年次
 監査手法
- システムコンポーネントや拠点のサンプリングにて実施
(サンプル抽出の明確な根拠を監査報告書に明示する必要があ
(サン
抽出 明確な根拠を監査報告書 明示する必要 あ
る。)
Copyright International Certificate Authority of Management System All rights Reserved.
27
オンサイト監査の概要②
 監査項目数
- 毎年
毎年12要件+付録A/約280項目の全項目を監査
件 付録
約
全
を監査
(要件のサンプリングは認められていない)
- 項目毎に適合/不適合を判断する。不適合への対処は、
項目毎に適合/不適合を判断する 不適合 の対処は
是正の目標期日を明確にし、必要によってフォローアップ監査
を実施する。
を実施する
 代替策による対応
- オリジナルの要件に準拠できない場合は、理由と代替策により
目的が達成される手段を文書化し「準拠に関するレポ ト
目的が達成される手段を文書化し「準拠に関するレポート
(RoC)」と共に提出する。
Copyright International Certificate Authority of Management System All rights Reserved.
28
6つの目標と12要件
安全なネットワークの構築・維持
要件1:カード会員データを保護するためにファイアウォールを導入し、適切な設定を維持すること
要件2:システムパスワ ドと他のセキュリティパラメ タにベンダ 提供のデフォルトを使用しないこと
要件2:システムパスワードと他のセキュリティパラメータにベンダー提供のデフォルトを使用しないこと
カード会員データの保護
要件3:保存されたカード会員データを安全に保護すること
要件4:公衆ネットワーク上でカード会員データを送信する場合 暗号化すること
要件4:公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
脆弱性を管理するプログラムの整備
要件5:アンチウィルスソフトウェアまたはプログラムを利用し、定期的に更新すること
要件6 安全性の高いシステムとアプリケ シ ンを開発し 保守すること
要件6:安全性の高いシステムとアプリケーションを開発し、保守すること
強固なアクセス制御の導入
要件7:カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件8:コンピュータにアクセスする利用者毎に個別のIDを割り当てること
ピ
要件9:カード会員データへの物理的アクセスを制限すること
定期的なネットワークの監視およびテスト
要件10:ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること
要件11:セキュリティシステムおよび管理手順を定期的にテストすること
情報セキュリティポリシーの整備
要件12:従業員と契約社員のための情報セキュリティポリシーを整備すること
Copyright International Certificate Authority of Management System All rights Reserved.
29
法律及び各種ガイドラインとの相関
Copyright International Certificate Authority of Management System All rights Reserved.
30
米国における法整備の状況
 マサチューセッツ州(2007年2月)、ミネソタ州(2007年4月)、テキ
、
、
サス州、カルフォルニア州(ともに2007年5月)、ネバダ州(2009年
6月)にPCI DSSの順守を州法により義務化した。
 テキサス州法では、漏洩事故を起こした事業者は金融機関(カー
ド会社)に対してPCI DSSを順守していたことを証明できれば
(30日以内に書面により提出)損害賠償を免れる。
(30日以内に書面により提出)損害賠償を免れる
Copyright International Certificate Authority of Management System All rights Reserved.
31
個人情報保護法との相関①

個人情報保護法第20条安全管理措置
経済産業省から発行される個人情報保護ガイドラインに下記の通り解説
- 「なお、クレジットカード情報については、別添の「クレジットカー
ド情報を含む個人情報の取扱いについて」に掲げられた措置を
講じることが望ましい。 」
 2007年3月改訂の個人情報保護ガイドライン
- 別添『クレジットカード情報を含む個人情報の取扱い』
① クレジットカード情報等について特に講じることが望ましい安全管理措置
クレジットカ ド情報等について特に講じることが望ましい安全管理措置
の実施
② クレジットカード情報等の保護に関する規定を含む契約の締結
③ クレジットカード情報等を直接取得する場合のクレジットカード情報等の
ジ
ド情 等 直
ジ
ド情 等
提供先名等の通知又は公表
Copyright International Certificate Authority of Management System All rights Reserved.
32
個人情報保護法との相関②
 『クレジットカード情報を含む個人情報の取扱い』における各項目を
実践するために講じることが望まれる手法の例示
①クレジットカード情報等について特に講じることが望ましい安全管理措置の実施
 クレジットカード情報等について、利用目的の達成に必要最小限の範囲の保存
期間を設定し、保存場所を限定し、保存期間経過後適切かつ速やかに破棄
 クレジット売上伝票に記載されるクレジットカード番号を一部非表示化
表
 クレジットカード読取端末からのクレジットカード情報等の漏えい防止措置を実
施(例えば、クレジットカード読取端末にはスキミング防止のためのセキュリティ
機能(漏えい防止措置等)を搭載する等)
 クレジットカード情報等を移送・送信する際に最良の技術的方法を採用
 他のクレジットカード販売関係事業者等に対してクレジットカード情報等が含ま
れる個人情報データベース等へのアクセスを許容している場合においてアクセ
ス監視等のモニタリングを実施
Copyright International Certificate Authority of Management System All rights Reserved.
33
改正割賦販売法の施行①

平成20年6月 国会にて改正法案が決議
-
支払可能見込額調査義務及び過剰与信防止義務
個別クレジット業者(個別信用購入あっせん業者)に対しても
登録制を導
登録制を導入して、登録を受けた法人以外の営業を規制した。
登録を受 た法
外 営業を規制 た
クレジットカード番号等の保護
•
第35条の16(クレジットカ ド番号等の適切な管理等)
第35条の16(クレジットカード番号等の適切な管理等)
-
•
クレジットカード番号等の不正提供・不正利用を防止するため、そうした行為をした者
などは刑事罰の対象になる。また、クレジット会社だけでなく、加盟店やその委託先な
どにお てクレジットカ ド番号などの情報を利用して る事業者に対して、安全管理
どにおいてクレジットカード番号などの情報を利用している事業者に対して、安全管理
措置が義務付けられた。法定刑は3年以下の懲役または50万円以下の罰金となる。
第35条の17(改善命令)
-
経済産業大臣は違反業者に対して当該措置に係る業務の方法の変更その他必要な
措置をとるべきことを命ずることができる。
Copyright International Certificate Authority of Management System All rights Reserved.
34
改正割賦販売法の施行②
改
割賦販売法 施行②

平成20年12月26日 政令案
-


具体的な管理基準は認定割賦販売協会が制定
平成 年 月
平成21年4月4日
パブリックコメント公開
リック
ン 公開
平成21年12月1日 改正割賦販売法の施行。同時に
(社)日本クレジット協会(日本クレジット産業協会が改称)が
35条18に基づく認定割賦販売協会として
づ
経済産業大臣より認定を受けた。
-
認定割賦販売協会の役割
•
•
•
•
業界の自主規制ルールを定める。
自主規制ルールが実効されるよう、会員に遵守状況の調査・指導する。
利用者の利益保護のために、加盟店に関する情報を登録し、共同して利用す
る制度(加盟店情報交換制度)の運営をする。
利用者の相談・苦情の対応を行い、広報・啓発活動を強化する。
Copyright International Certificate Authority of Management System All rights Reserved.
35
PCI DSSとISMSの相関①
 財団法人 日本情報処理開発協会(以下J
日本情報処理開発協会(以下JIPDEC)より「クレジッ
C)より クレジッ
ト産業向けISMSユーザーズガイド」が2006年3月に発行されて
いる。(2009年3月改訂)
 要点
- ISMSとPCI DSSは共に情報セキュリティ基準である
DSSは共に情報セキュリティ基準である。
- PCI DSSの目的は、カード関連情報の保護に対しISMSは
業種を問わない広範な領域への適用を目的として設計され
た基準である。
- PCI DSSは実装レベルの詳細な規定である。
実装
規定
Copyright International Certificate Authority of Management System All rights Reserved.
36
PCI DSSとISMSの相関②
 ISMSの管理策133項目との親和性が高く
ISMSの管理策133項目との親和性が高く、PCI
PCI DSS監査項目の
順守状況を確認することによりISMSの管理策を80%程度確認す
ることができる。(詳細は「クレジット産業向けISMSユーザーズガ
イド」の2 3 PCI DSSとISMSのマッピング参照)
イド」の2.3
 ISMSの4項に要求されるPDCAサイクルの運用と差分の適用した
管 策 評価 確 をす
管理策の評価/確認をすることによりISMSの運用と統合すること
統合す
が可能である。
 ISMS認証の要求する審査サイクルとPCI DSSの要求する
監査サイクルが同じであるため同時に審査(監査)することも可能
である。
である
Copyright International Certificate Authority of Management System All rights Reserved.
37
ペイメントカードに関する
フォレンジック調査の国際標準化の動き
Copyright International Certificate Authority of Management System All rights Reserved.
38
認定フォレンジック制度の概要①
カ
カード会社との加盟店契約において、加盟店やサービスプロバイ
ド会社との加盟店契約において 加盟店やサ ビスプロバイ
ダはカード情報の漏えい事故が起きた際のフォレンジック調査が
義務付けられて る。
義務付けられている。
 今まではペイメントカード情報漏えい事故の際のフォレンジック調
今までは イメントカ ド情報漏えい事故の際のフォレンジック調
査機関は国際ペイメントブランド毎に個別に認定されていた。
例:VISA→QIRA /MasterCard→QFI
Copyright International Certificate Authority of Management System All rights Reserved.
39
認定 ォ ンジック制度の概要②
認定フォレンジック制度の概要②
 2010年11月にフォレンジック調査機関の認定が各ブランドから
機
定
PCI SSCに移管され、カード情報の漏えい事故発生の際にフォレ
ンジック調査が必要な場合は認定フォレンジック機関(PCI
F
Forensics
i Investigators
I
ti t
:PFIs)が実施することになる。
PFI )が実施する とになる
 本制度
本制度の施行によりフォレンジック調査後の報告書など5つの
施行
り
ジ ク調査後 報告書など
ペイメントブランド(VISA/Master/JCB/American
Express/Discover)共通の対応が可能となる。
Express/Discover)共通の対応が可能となる
 フォレンジック調査の際には
フォレンジック調査の際には、事故発生時におけるPCI
事故発生時におけるPCI DSSの
適合状況を同時に明らかにする必要がある。
Copyright International Certificate Authority of Management System All rights Reserved.
40
事故発生後の対応フロ
事故発生後の対応フロー
ペイメント
ブランド
カード会社
カ
ド会社
調査
要請
報告
一次
報告
最終
報告
<一次報告>
・被害範囲
・原因
・発生日時と頻度
・PCI
PCI DSS適合状況
・再発防止策の評価
等
(アクワイヤラ)
調査
依頼
加盟店
事故発生
約款
合意
弊社
調査
開始
<事故状況の
ヒアリング>
・発生経緯
・対象の特定
対象 特定
・ログの有無
等
<最終報告>
漏えいした
カ ド会員デ タ
カード会員データ
の特定
調査
実施
詳細
調査実施
Copyright International Certificate Authority of Management System All rights Reserved.
PCI DSSの
適合性評価
41
弊社の取り組み①
PCIセキュリティ基準
審議会
(米国:PCI SSC)
フォレンジック調査とPCI DSSアセスメントの依頼
Payment Card
Forensics(株)
株
クレジットカード情報の
漏えいの可能性がある
加盟店やサービスプロバイダ
PFIsとして承認(予定)
サービス提供
フォレンジックの調査要請 レポート提出
クレジットカード会社
(アクワイヤラ)
• フォレンジック調査のプロシージャ提供
• フォレンジック調査用のラボ提供
• フォレンジック調査員の派遣
レポート提出
UBIC
• PCI DSSオンサイトアセスメント
のプロシージャ提供
• PCI DSSオンサイト評価の受託
オ サイ 評価 受託
ICMS
国際ペイメント
ブランド
Copyright International Certificate Authority of Management System All rights Reserved.
42
弊社の取り組み②
②
 UBIC
- 会社名
(株)UBIC 東京証券取引所マザーズ:2158
- 事業内容 情報漏洩や内部不正等の原因調査を行うフォレンジック調査サービス
国際訴訟におけるDiscovery(証拠開示)支援サービス
- 実績
不正調査支援 約500件、
約500件 国際訴訟支援 約150件 ※2010年8月末現在
警察・官公庁及び民間向けトレーニング 累計500名以上
警察等の各種法執行機関へフォレンジックシール販売実績多数
 ICMS
- 会社名
国際マネジメントシステム認証機構(株)
- 事業内容 情報セキュリティに関する審査/監査、第三者認証サービスの提供
- 認定
PCI SSCより認定セキュリティ評価機関(QSA)として承認
財団法人日本情報処理開発協会(JIPDEC)よりISMS/ISO27001
認証機関として認定
- 実績
ISMS認証組織数
約70社
PCI DSS定期オ
DSS定期オンサイト監査
サイト監査
約20社
※2010年10月現在
Copyright International Certificate Authority of Management System All rights Reserved.
43
事故発生時の注意点
事故発生時には、事実確認や被害範囲の特定などを行うため直ちに証
拠保全の必要があります 下記の点にご注意ください
拠保全の必要があります。下記の点にご注意ください。
 対象の
対象のハードウェアを特定し、事故対策責任者の管理下に置いて下さい。
ドウ アを特定し、事故対策責任者の管理下に置いて下さい。
但し、不用意にデータにはアクセスしないで下さい。
 対象機器がネットワークに接続されているのであれば、ネットワークケーブルを抜く
など接続を遮断下さい。
など接続を遮断下さい
 対象機器の再起動はしないでください。
デ タ消去やソフトウ ア( ッチを含む)のインスト ルをしないでください。
 データ消去やソフトウエア(パッチを含む)のインストールをしないでください。
 ハードウェア、その付属品、及び周辺環境を保全しておいてください。
 関係者からヒアリングを行い、状況の詳細を把握してください。
 自社情報システム及びセキュリティ担当者とのチャンネルを確保しておいて下さい。
但し、具体的な作業の指示はしないようご注意ください。
 証拠保全の為に、まずは専門家である弊社にご相談ください。
証拠保全の為に まずは専門家である弊社にご相談ください
Copyright International Certificate Authority of Management System All rights Reserved.
44
Payment Card Forensics(株)の特長
 PCI SSCの承認する認定フォレンジック機関
す
定
ジ
機
(PFIs)である。(予定)
 24時間365日事故受付
標準サ ビスとして英語/日本語にて対応
 標準サービスとして英語/日本語にて対応
※全ての工程を日本人の専門スタッフが対応致します。
 事故対応のコンサルティングやシステム強化なども
事故対
ティ グ シ テ 強 な も
オプションサービスとして対応可能
Copyright International Certificate Authority of Management System All rights Reserved.
45
最後に
 重要なのはクレジットカード情報を守ることであり、
基準に準拠することではない。
但
キ リティ 施策を
け講
も完
 但しセキュリティの施策をどれだけ講じても完璧には
ならない。
 投資対効果の観点上、基準が設定されている
投資対効果の観点上 基準が設定されている
(=ものさしがある)ことは望ましい状態
 ”ものさし”が国際的に共通であることが望ましいと考える
ものさし が国際的に共通であることが望ましいと考える。
 完全準拠企業からの情報漏えい事件が、QSAの確認
不足や要件の解釈の幅に起因するものであ ては決して
不足や要件の解釈の幅に起因するものであっては決して
ならない。
Copyright International Certificate Authority of Management System All rights Reserved.
46
付録:参考文献
Copyright International Certificate Authority of Management System All rights Reserved.
47
PCI DSSの関連文書
 PCI基準用語集
https://www pcisecuritystandards org/documents/pci glossary v20 pdf
https://www.pcisecuritystandards.org/documents/pci_glossary_v20.pdf
 PCI DSS v1.2 要件とセキュリティ評価手順
https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf
 PCI DSSナビゲート
https://www.pcisecuritystandards.org/documents/navigating_dss
https://www
pcisecuritystandards org/documents/navigating dss
_v20.pdf
 自己問診
https://www.pcisecuritystandards.org/documents/pci_dss_saq_instr_guide_v2
.0.pdf
 Prioritized Approach for PCI DSS 1.2
https://www.pcisecuritystandards.org/documents/Prioritized_Approach_PCI_
DSS_1_2.pdf
_ _ p
Copyright International Certificate Authority of Management System All rights Reserved.
48
書籍のご案内
 内容一部紹介
- PCI DSSの概要
- PCI DSS準拠のための初段階
- 要件1~12の詳細解説
- PCI DSS文書化要求、システム要求の例
- 代替コントロール策定の要件とテスト手順
代替 ント
ル策定の要件とテスト手順
- 自己問診の概要
- PCI DSS準拠未完了時の対応
- PCI DSS今後の動向
 発行 国際マネジメントシステム認証機構/
株式会社TIプランニング
 著者 瀬田陽介
 価格 9万4,500円(税込)
現在Ver2.0発行のキャンペーン価格で販売させていただいております。
詳細は下記URLをご参照ください。
http://www.paymentnavi.com/book/5594.html
Copyright International Certificate Authority of Management System All rights Reserved.
49
ご清聴ありがとうございました
 PCI DSS準拠に関するお問い合わせや書籍のご購入、
拠
、
セミナー内容に関するご質問などお気軽にご連絡ください。
 お問い合わせ先
gyoumu@icms co jp
gyoumu@icms.co.jp
0120-796-115
Twitter:iCMS JP
Twitter:iCMS_JP
 書籍のご購入
ご
http://www.paymentnavi.com/book/5594.html
Copyright International Certificate Authority of Management System All rights Reserved.
50