PCI DSS ~クレジットカード業界のセキュリティ基準~

PCI DSSとは

電子商取引の拡大、さらに各種社会インフラ(電気、水道、ガス、各種交通機関)等、クレジットカードを利用できる店舗、機会の拡大により、クレジットカードの取扱高は増加傾向にあります。それに伴い、クレジットカード情報の偽造や不正利用等のリスクもまた増加傾向にあり、クレジットカード情報や顧客情報等の管理面が重要視されています。

そこでクレジットカード情報および取引情報の安全な管理を目的に、国際カードブランドによりクレジットカード業界におけるセキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」が策定されました。

PCI DSSはクレジットカード情報を扱う全ての加盟店・決済代行事業者を対象としており、該当する全ての企業に対し準拠することを求めています。
要求項目は、ネットワークのセキュリティ、カード会員データの保護、システムの保守管理、セキュリティ・ポリシーの整備など、クレジットカードを取り扱う業務全般に及ぶ6項目、12の要件で構成されています。
ISMSやプライバシーマークなど、他のセキュリティ基準に比較すると、使用するプロトコルやソフトウェアの種類、設定方法など、より具体的な内容まで踏み込んでいる点が特徴です。

PCI DSSの12要件
Ⅰ. 安全なネットワークとシステムの構築・維持

要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する

要件2:システムパスワードおよびその他のセキュリティパラメータに、ベンダ提供のデフォルト値を使用しない

Ⅱ. カード会員データの保護

要件3:保存されるカード会員データの保護

要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

Ⅲ. 脆弱性管理プログラムの整備

要件5:すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する

要件6:安全性の高いシステムとアプリケーションを開発し、保守する

Ⅳ. 強固なアクセス制御手法の導入

要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する

要件8:システムコンポーネントへのアクセスを確認・許可する

要件9:カード会員データへの物理アクセスを制限する

Ⅴ. 定期的なネットワークの監視及びテスト

要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

要件11:セキュリティシステムおよび管理手順を定期的にテストする

Ⅵ. 情報セキュリティポリシーの整備

要件12:すべての担当者の情報セキュリティポリシーを整備する

マクニカネットワークスが提供するPCI DSSへの準拠を支援する製品

Citrx
PCI DSS 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する

Webアプリケーションファイアウォール

  • Webアプリケーションの脆弱性対策専用アプライアンス
  • 独自機能「Deep Stream Inspection」によりレイヤーの高い攻撃に対応
  • 外部からの攻撃をブロックし、カード番号等の内部からの情報漏えいを防ぐ
  • 優れた運用機能により、複数のアプリケーションを1台で管理

Citrix Application Firewallは、Web Application Firewall市場の草分け的存在であり、WAF市場をリードする製品です。独自機能「Deep Stream Inspection」をベースに、高いレイヤーでパケットの検査を行い、SQLインジェクション、クロスサイトスクリプティングやなりすましといった、今まで防ぐことができなかった高度な攻撃をブロックし、情報漏えいを防ぎます。

GemaltoSafeNet
PCI DSS 要件3: 保存されるカード会員データの保護

HSM(ハードウェアセキュリティモジュール)鍵管理ソリューション

デジタルIDやPKI(公開鍵基盤)アプリケーションのための幅広いプラットフォームに対応したハードウエア・セキュリティ・ソリューションです。

Gemalto社の「Safenet HSMシリーズ」は、PKIにおいてもっとも重要な要素である秘密鍵を安全に保管します。秘密鍵のライフサイクル(鍵生成、保管、破棄)を通して、サーバ上に一切秘密鍵が出ることはありません。また、実際に署名を行う際にも、秘密鍵はHSMの中で保管され続けます。

Thales
PCI DSS 要件3: 保存されるカード会員データの保護

決済用HSM(ハードウェアセキュリティモジュール)

高度なセキュリティ機能を有する鍵管理や暗号化などの処理を行う決済専用のハードウェアアプライアンス製品です。

THALES社の決済用HSMは、世界のクレジット決済ネットワーク上のトランザクションを保護しており、PCI DSSの下記要件に対応しています。

要件3.4 すべての保存場所でPAN(プライマリアカウント番号)を少なくとも読み取り不能にする

要件3.5 カード会員データの暗号化キーを漏えいや誤使用から保護する

要件3.6 カード会員データの暗号化キーの管理プロセスおよび手順を文書化し、実装する

HSMを利用したスマートデバイス決済プラットフォーム事例

決済HSM「payShieldシリーズ」で鍵管理を行い、高いセキュリティと信頼性を実現

株式会社ロイヤルゲートが開発したスマートデバイス決済プラットフォーム「PAYGATE(R)」は、決済端末、アプリケーション、データセンターのすべてをスコープ範囲としてPCI DSSに準拠しており、鍵管理を行う決済HSM「payShieldシリーズ」もPCI DSS準拠を支援しています。

「PAYGATE(R)」は、エンタープライズ向けのスマートデバイス決済プラットフォームです。
スマートデバイスとbluetoothで接続できるマルチ決済端末「PAYGATE AIR」は、接触ICやPINパッド(PCI-PTS4.0)に対応。FelicaやType A、Type BのNFCなどにも対応。スマートデバイス側のAPPに関しては、iOS、Android、Windowsなど幅広いOSに対応し、API連携やSDK連携など上位システムとの連携も柔軟です。
また、決済センターに関しては、カード番号を復号化するHSMはオンプレ環境に設置していますが、それ以外はパブリッククラウド環境(Microsoft Azure)に設置。ハイブリット構造でPCI DSSを完全準拠しています。

図 PAYGATE システムフロー

「PAYGATE AIR」は、JIS1・JIS2のデュアルヘッドを採用。PCI-PTS4.0、EMV Level1,2コンタクト、EMV Level1コンタクトレス、FeliCaなどにも準拠し、マルチ決済を実現します。

2015年10月以降、ライアビリティシフトによる加盟店端末のIC化にいち早く準拠し、またスマートデバイス決済の特徴上、bluetoothやインターネット通信の過程や汎用で使われるスマートデバイスでも安全にカード情報の鍵管理が行われるようにDUKPTキーマネジメントを採用。復号化や、暗号化キーの再生成など、PayshieldシリーズのHSMを採用しています。2次元のバーコードリーダーなどを実装したタイプも発売しており、モバイルPOSとの連携などにも期待されています。

図 bluetooth接続型マルチ決済端末PAYGATE AIR

Citrix NetScaler とThales nShield の組み合わせによる解決例

増大するSSLトラフィックとセキュリティにおける課題

近年ますますSSL トラフィックの重要性が増しており、企業は次の理由により、SSL のセキュリティを軽視することが許されなくなってきています。

  • より多くの機密情報がSSL トラフィックを通じてやり取りされているため、不完全なキー管理の実施が原因でデータの漏えいが引き起こされた場合、漏えいの通知、罰金の支払い、知的財産の盗難などにより多額の費用が発生することになります。
  • より多くのミッションクリティカルなアプリケーションがSSL を使用して配備されているため、従業員の生産性や顧客満足度に直接影響するような性能上の問題が発生する可能性があります。
SSL トラフィック高速化と暗号化キーの保護による解決方法

Citrix NetScalerとThales nShieldの両ソリューションを組み合わせて、SSLトラフィックを最適化し、クリティカルな暗号化キーをセキュアに管理することにより、ITインフラストラクチャーから機密データが漏えいするリスクを最小化できます。

SSL トラフィック高速化と暗号化キーの保護による解決方法

図1:Thales nShield ConnectとCitrix NerScalerを組み合わせて動作させることで、セキュアなキー管理を提供すると同時に、SSL処理のオフローディングと高速化を実現できる