資料ダウンロード

株式会社インテリジェント ウェイブ
事業推進本部 海外・企画推進部
今井美菜穂, CISSP, CISA, PMP
2010年7月16日(金)
(ISC)2 第9回ISLS
1. PCI DSSの基本
2. PCI SSCの活動
3. 米国と日本の現状比較
4. PCI SSCの推進対策
5. 2010年の動向と考察
2010
本セッションにおける内容は私見であり、(株)インテリジェント ウェイブやPCI
Security Standards Council LLC.の公式見解ではありません。
本内容は一部を除き、2010年6月末時点のPCI SSC, LLC.
(https://www.pcisecuritystandards.org/)の情報を参考に作成したものです。WEBサ
イトとの本内容の相違については、 全てWEBサイトを正とします。
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
1
社名
: 株式会社インテリジェント ウェイブ
設立
: 1984年(昭和59年)【2001年6月JASDAQ上場】
従業員数: 266名(2009年末時点)
本社
: 東京中央区
事業内容:
クレジットカードビジネス業務
カードビジネスのオンラインネットワーク基盤のシステム構築 等
→国内クレジットカード取引の約50%
システムソリューション業務
カード利用不正検知システム開発および販売 等
セキュリティシステム業務
情報漏えい防止ソフトの開発・販売
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
2
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
3
Payment Card Industry Data Security Standard
国際クレジットカードブランド5社(American
Express・Discover・JCB・ MasterCard・VISA)が共同で
策定した、クレジットカード業界におけるグローバルセ
キュリティ基準
ver. 1.1 : 2006年9月公開、同日発効
ver. 1.2 : 2008年10月公開、同日発効
次期バージョン:2010年10月末公開予定
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
4
クレジットカード番号を保管、処理、送信する全ての企業
• クレジットカード会社
• 加盟店(店舗販売、通信販売、オンライン通信販売)
• プロセッサー(決済代行会社等)
• 関連ベンダー(POSシステム、バーコードスキャナ等)
準拠方法:
「自己診断」「訪問監査」「脆弱性審査」
年間のカード取引件数に応じてブランドによって決定
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
5
要件1.
要件2.
カード会員データを保護するために、 要件7.
ファイアウォールをインストールし
て構成を維持すること
要件8.
システムパスワードおよび他のセ
キュリティパラメータにベンダ提供 要件9.
のデフォルト値を使用しないこと
要件3.
保存されたカード会員データを保護
すること
要件4.
オープンな公共ネットワーク経由で
カード会員データを伝送する場合、
暗号化すること
要件5.
アンチウィルスソフトウェアまたは
プログラムを使用し、定期的に更新
すること
要件6.
安全性の高いシステムとアプリケー
ションを開発し、保守すること
カード会員データへのアクセスを、
業務上必要な範囲内に制限すること
コンピュータにアクセスできる各
ユーザに一意の ID を割り当てる。
カード会員データへの物理アクセス
を制限する。
要件10.
10. ネットワークリソースおよびカード
会員データへのすべてのアクセスを
追跡および監視する。
要件11. セキュリティシステムおよびプロセ
スを定期的にテストする。
要件12. 従業員および派遣社員向けの情報セ
キュリティポリシーを整備する。
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
6
要件1.
要件2.
カード会員データを保護するために、 要件7.
ファイアウォールをインストールし
ネットワーク&
て構成を維持すること
要件8.
システム・
システムパスワードおよび他のセ
セキュリティ
キュリティパラメータにベンダ提供
要件9.
のデフォルト値を使用しないこと
要件3.
保存されたカード会員データを保護
すること
要件4.
データ・セキュリティ
オープンな公共ネットワーク経由で
カード会員データを伝送する場合、
暗号化すること
要件5.
アンチウィルスソフトウェアまたは
アプリケーション&
プログラムを使用し、定期的に更新
すること
デスクトップ・
要件6.
安全性の高いシステムとアプリケー
セキュリティ
ションを開発し、保守すること
カード会員データへのアクセスを、
業務上必要な範囲内に制限すること
アクセス・
コンピュータにアクセスできる各
コントロール&
ユーザに一意の
ID を割り当てる。
ID管理
カード会員データへの物理アクセス
を制限する。
要件10.
10. ネットワークリソースおよびカード
会員データへのすべてのアクセスを
追跡および監視する。
運用・モニタリング
要件11. セキュリティシステムおよびプロセ
スを定期的にテストする。
要件12. 従業員および派遣社員向けの情報セ
セキュリティポリシー
キュリティポリシーを整備する。
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
7
カード会員データを保管、処理、送信する全てのシステム
及びプロセス。
例えば…
• 情報処理システム
• ネットワーク・インフラ
• 抽出データ
• バックアップ
• ログファイル
• 紙媒体の記録
•人
• 組織全体の構成及びプロセス
• 業務委託先・取引先
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
8
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
9
PCI Security Standards Council LLC.
国際クレジットカードブランド5社が共同で運営する
セキュリティ推進協議団体。設立は2006年9月。
ミッション:
PCIセキュリティ基準の開発、管理、教育、及び啓蒙
• データ・セキュリティ基準
)
データ・セキュリティ基準(
基準(PCI DSS)
• ペイメント・アプリケーション・データ・セキュリティ
基準 (PA-DSS)
• PIN トランザクション・セキュリティ(PTS)
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
10
新基準の発行
カードセキュリティの推進
普及・啓蒙活動
企業・団体の参加メンバー拡大、フィードバックの収集
認定スキャニングベンダー(ASV)、認定監査機関(QSA)
などの資格認定、認定プロセスの管理
QSA、ASV、PED認可デバイス一覧の管理
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
11
PCISSCは、期限、罰金、インセンティブ等の準拠に関する活
動には関与しない。各ブランドにて実施。
各ブランドのコンプライアンス・プログラム:
• American Express
データ・セキュリティ・オペレーティング・ポリシー(DSOP)
• Discover
インフォメーション・アンド・コンプライアンス
• JCB
データ・セキュリティ・プログラム
• MasterCard
サイト・データ・プロテクション(SDP)
• Visa
カード・インフォメーション・セキュリティ・プログラム(CISP)
アカウント・インフォメーション・セキュリティ(AIS)
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
12
VISA
Master
Card
American
Express
JCB
DISCOVER
PCI SSC
国内の関連業界団体
日本カード情報
セキュリティ
協議会(JCDSC)
PCI SSC PO
Japan連絡会
PCI SSC認定セキュリティ評価機関
PCISSC参加組織
ASV
QSA
PO
Approved Scanning
Vendors
Qualified Security
Assessors
Participating
Organizations
クレジットカード会社(イシュア・アクワイアラ)
プロセッサー(決済代行会社等)・加盟店
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
13
参加資格:
支払処理システムに関連する組織(PCI SSCにて審査)
会員組織(Participating Organization, PO)の利点:
・一般公開に先立ち、DSS
DSS 仕様に対する、修正・新たな仕様の草案
について意見を述べる
・PCI SSC主催の年次コミュニティ会議に参加する
・PCI SSCに対して、新たな検討事項を発案・発議する
・PCI SSC諮問委員会の参加団体代表者を選出する
・PCI SSC諮問委員会選挙の候補者を推薦する
年会費:2,500米ドル(2010年6月末時点)
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
14
会員数:528(2010年6月末時点)
業界別会員数
地域別会員数
6% 3% 2%
北米
15%
30%
34%
欧州
74%
アジア大平洋
CEMEA
加盟店
プロセッサー
金融機関
8%
8%
17%
中南米・カリブ 3%
POSベンダー
協会団体
その他
https://www.pcisecuritystandards.org/participation/member_list.html
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
15
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
16
PCI DSS認定取得状況:
2010/3末時点で、米国のVISAレベル1及びレベル2加盟店の約95%が
既にPCI DSSに準拠し、認定を取得済み。2006年の実績から約3倍の
準拠率。
VISAレベル1加盟店
5%
VISAレベル2加盟店
6%
95%
準拠済み
準拠済み
未準拠
未準拠
94%
http://usa.visa.com/download/merchants/cisp_pcidss_compliancestats.pdf
関連法令:
2007年より複数の州にてPCI DSS準拠を州法として定める動き。最
近では、2010年7月よりワシントン州にて同様の州法が施行。
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
17
17
大規模な犯罪・不正使用事件により、情報セキュリティに対する
企業認識の高まり。
また、改正割賦販売法の施行により、加盟店、業務委託先に対する
カード会社の取組みについて強化の動き。
但し、関連犯罪の
関連犯罪の発生率が
発生率が海外と
海外と比べて低
べて低めであること、
めであること、また経
また経
済情勢も
済情勢も影響し
影響し、各企業のカードセキュリティ
各企業のカードセキュリティ対策
のカードセキュリティ対策に
対策に対する緊急
する緊急
度には、
には、ばらつきが生
ばらつきが生じている。
じている
2010年
年9月
月
2009年
年12月
月
改正割賦販売法
2009年
年7月
月
アリコジャパン
情報流出事件
-3万件超
-カード会社に対する
カード番号等の安全管
理義務、加盟店の指
導・監督
VISAタイムライン
-VISAレベル1加盟店の
PCI DSS完全遵守期限
(海外共通)
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
18
作業量・・。
コスト・・。
人がいない・・。
管理が大変・・。
何から始
から始めれば良
めれば良いか、わからない。
わからない
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
19
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
20
Prioritized Approachの発行
PCI DSSの各要件を1~6の”セキュリティマイルストーン”
で分類。対応プロセスのガイドライン。
万一侵害された場合に、最も大きな影響を受けるところ
から対応し、重要ポイントのリスクを早期に軽減。
段階的なステップアップで、全体的なリスク管理、及
び、コンプライアンスを目指す。
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
21
マイルストーン
緊急度
高
低
ゴール
1
センシティブ認証データの削除とデータ保持の制限
2
境界、内部、及びワイヤレスネットワー クの保護
3
支払カードアプリケーションの安全確保
4
システムへのアクセス制御及び監視
5
保管されたカード会員データの保護
6
準拠における残りの取組みの確立、全コントロールの
確実な適所導入
原文引用>https://www.pcisecuritystandards.org/education/docs/Prioritized_Approach_PCI_DSS_1_2.pdf
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
22
https://www.pcisecuritystandards.org/education/docs/Prioritized_Approach_PCI_DSS_1_2.pdf
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
23
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
24
PCI DSS ver. 2.0(仮称):
2010年10月末公開予定、2011年1月1日発効予定
既存バージョン(ver. 1.2)との比較表:
最終レビュー中、7月~9月の間に公開予定
スタンダード ライフサイクルの変更
・ver. 1.2: 2011年12月31日まで有効予定
・ver. 2.0: 2014年12月31日まで有効予定
・3年毎にメジャーバージョンアップ(ver.X.0)
https://www.pcisecuritystandards.org/education/webinars.shtml
Standards Lifecycle Update June 22, 2010 and June 23, 2010
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
25
2010年、日本は
2010
年、日本はPCI
PCI SSCの重点推進国。
SSCの重点推進国。
セキュリティ要件は今後も強化
課題:継続的な改善、セキュリティの定着化
プロセス・技術・人の効率的なアプローチ
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
26
https://www.pcisecuritystandards.org/index.shtml
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
27
ご静聴ありがとうございました。
minaho_imai@iwi.co.jp
Copyright©2010 INTELLIGENT WAVE INC. All Rights Reserved
28