2019年9月17日から19日までの3日間、カナダで開催されたPCI SSC North America Community Meetingに参加してきた。PCI SSC Community Meetingはカード決済セキュリティの国際基準を管理するPCI SSC(Payment Card Industry Security Standards Council)が主催するイベントであり、毎年、アメリカ、ヨーロッパ、アジア太平洋の3地域にて開催されている。
今回は普段、カード決済セキュリティにかかわるコンサルティング、およびPCI SSCの管理する各種基準への準拠支援等の業務に従事する筆者ら2名で出席した。
本レポートでは、PCI SSCが管理し、直近にバージョンアップを控える各種セキュリティ基準の動向や、これらの基準が発展を続けるテクノロジーにどのように対応していこうとしているのかについてまとめていく。
イベント参加でわかった決済セキュリティの注目度の高さ
PCI SSC Community Meetingは決済セキュリティに関する情報交換、最新テクノロジーや調査結果の発表を、目的としたイベントで、コンサルティング・審査機関、PCI基準への準拠を求められる企業、セキュリティベンダなど参加者は多岐にわたる。
当日は最大2トラックに分かれてカード決済セキュリティに関連する講演が行われたほか、協賛企業の展示ブースも設けられ、各社が自社サービス・製品の紹介やデモを実施していた。
全体を通じて情報共有ができる環境を重視しており、各日とも他の参加者と交流しつつ食事ができるような機会が設けられていた。実際に参加者の立場を超えて情報共有が行われている様子も見て取ることができた。
会場内では参加者同士の交流が多く見られた。
左奥には各クレジットカードブランドのブースも見える。
ベンダーショーケースでは、各企業のブースを参加者が自由に訪問し話を聞くことができた。
時間帯によっては軽食が提供され、気軽な雰囲気で交流ができた。
決済に関するセキュリティ基準の最新バージョン
PCI SSCの管理するセキュリティ基準のうち、クレジットカード情報を扱うシステム全体の基準であるPCI DSS、決済端末と決済サーバ間の暗号化通信により容易にカード情報保護を実現できるシステムの基準であるPCI P2PEの2つが現在バージョンアップを控えている。
また、決済アプリケーションに関するセキュリティ基準は、Software Security Framework(以後、SSF)という新基準へと移行しているところである。
各種基準の移行状況をまとめると、表のようになる。
表. PCI SSCの定める各種基準の移行状況
| 基準名称 | 適用対象 | 更新内容 | 更新時期 | ||
| 現行 | 更新後 | ||||
| PCI DSS | クレジットカード情報を扱うシステム全体 | v3.2.1 | → | v4.0 | 2020年下期 |
| PCI P2PE | 決済端末と決済サーバ間の通信を暗号化する仕組み | v2.0 | → | v3.0 | 2019年下期 |
|
PA-DSS Software Security Framework |
決済アプリケーション | v3.2 | → | (廃止) |
2022年10月 (廃止) |
| →決済アプリケーション +開発プロセス |
(新規) | → | v1.0 | 2019年6月 | |
今回のイベントでも、これら3基準のアップデートは重要テーマとして扱われていた。
そこで、本イベントで紹介されたこれらのアップデートの注目すべき点を見ていく。
PCI DSS v4.0
PCI DSS v4.0は、2020年下期以降の公開を目標に策定作業が進められている。
本イベントではPCI DSS v4.0において、様々な技術に対応できるフレキシビリティを持たせることが大きな目標となることが再確認された。
進歩を続ける関連技術に対しどのように対応していくかというのは、PCI DSSに限らず様々なセキュリティガイドラインにおける普遍的な課題であるといえる。今回、PCI DSSにおいては特に、クラウド技術の利用を想定した改訂がなされることが発表された。
現行のPCI DSS v3.0に準拠する場合は、準拠しようとする組織は各要件に具体的に定められた手順に従って対策を実施し、審査機関は明確に定められたテスト手順に従ってそれを確認する必要がある。これが実現できない場合には、「代替コントロール」と呼ばれる方法を用いて、要件記載の手順とは別の方法で、同等のセキュリティレベルを担保できる対策を実施することが求められている。
しかし、代替コントロールの使用は、本来の要件が業務上・技術上の制約により実現不可能である場合に限るという制約があり、原則として本来の要件に定められた対策を施すことが義務付けられている。
- PCI DSS v4.0では、上述の制約を取り払う形で代替コントロールを発展させたCustomized Approachという考え方が導入され、代替コントロールを置き換えることが本イベントで紹介された。
準拠組織がPCI DSS要件の意図に沿った対策を自ら設定し導入することができるようになり、またその利用に代替コントロールのような厳しい制約がない、という点がCustomized Approachの要点である。
Customized Approachでは、各要件の意図に沿った対策を検討し、実施することまでを準拠組織が行う。これまでのように、要件に記載の具体的な手順に従わなければならない、ということはなく、要件で求められるセキュリティレベルが達成できる対策を自ら考え設定すればよい。
それを踏まえて、審査機関はその対策が十分であるかどうか確認する手順を設定し、テストすることとなっている。(これまで同様要件に記載の対策を実施するDefined Approachという選択肢も残される。)
準拠組織が要件の意図に沿った対策を設定するためには、各要件の意図が明確であることが求められる。そのため、PCI DSS v4.0では、各要件の意図と達成すべき目標が明確になるよう要件の書き直しが行われる。PCI SSCはこれを“目的志向型”の要件と呼んでおり、Customized Approachを実現して様々な技術へのフレキシビリティを実現するための肝になる部分である。
PCI DSS v4.0におけるCustomized Approachの導入は、PCI DSS要件の記載に縛られず様々な技術を用いたセキュリティ対策を施せるようにする、非常に意欲的な挑戦であるように思える。これによって、フレキシビリティのある基準が実現され、さらなるセキュリティレベルの向上が期待できる。
Customized Approachにおける準拠組織と審査員との担当範囲が明らかにされた。
準拠組織が自ら対策を設定できる。(PCI SSC資料を参考に筆者作成)
PCI P2PE v3.0
PCI P2PEは、カード決済端末で読み取ったカード情報を即座に暗号化し、受信側の決済サーバでそれを復号する、という仕組みに対応したソリューション(これをPCI P2PEソリューションと呼ぶ)を認定するための基準である。
本イベントでは、PCI P2PEの新バージョンであるv3.0において、PCI P2PEソリューションの普及を促進するためのアップデートがなされることが紹介された。
カード決済セキュリティにおいて、保護すべき対象であるカード情報を扱うシステムや業務を少なくすることは重要なファクターである。PCI P2PEソリューションの導入によって、カード情報がエンドポイント間で暗号化されることを保証するのは、これを実現するための効果的なアプローチである。
また、多数の小売店を持つような大規模加盟店にとっては、カード情報フローが単純化され、システムの管理が容易になるというメリットも大きい。実際に、本イベントの別セッションでも大規模加盟店のPCI DSS準拠におけるPCI P2PEソリューションの有効性について述べられていた。
このような理由で、PCI P2PE準拠の決済端末は着実に種類を増しており(直近3年間で2倍)、それに伴いPCI P2PEソリューションの種類も増している(直近3年間で3倍以上)。これらは今後、更に普及していくことが期待されている。
- PCI P2PE v3.0では、P2PEソリューションの普及をさらに促進するため、コンポーネントプロバイダタイプの細分化が行われることが説明された。
PCI P2PEに準拠する場合、PCI P2PEソリューション全体として認定を受ける方法の他に、ソリューションを構成するコンポーネント単体で認定を受ける方法とがある。
これは、PCI P2PEソリューションの一部機能に特化して認定を受けるための仕組みである。
このような形で準拠するための区分として、装置に対する鍵の入れ込みを担当するKIF(Key Injection Facility)、暗号化を行う端末部分を担当するEncryption-Managementなどのコンポーネントプロバイダタイプが存在する。
PCI P2PEソリューションを開発するソリューションプロバイダは、これら認定済みのコンポーネントを採用することで、コンポーネントで既に対応済みの要件に関する審査を不要とすることができる。この仕組みは、コンポーネントのみを提供したいコンポーネントプロバイダにとっても、審査の負荷を減らしたいソリューションプロバイダにとってもメリットのあるものである。
今回、PCI P2PE v3.0においてコンポーネントプロバイダタイプの細分化が行われ、例えばKIFはKey LoadとKey Managementというさらに細かな区分に分けられる。これによってコンポーネントプロバイダとしての参入障壁が低下し、より多くのPCI P2PE対応サービス・ソリューションが提供されるようになると考えられている。
結果として、PCI P2PEソリューションの選択肢が増えることにより、加盟店のPCI DSS準拠もさらに促進されることが期待される。
SSF(Software Security Framework)
SSFは、決済ソフトウェア全般のセキュリティ基準として、2019年6月より公開されている比較的新しいフレームワークである。
本基準は、決済ソフトウェアに対する既存のセキュリティ基準であるPA-DSSを将来的に置き換えるものとして策定されている。この置き換えによって、基準そのものをより現代的なソフトウェアおよびその開発手法に適応させることが、SSF策定の大きな目的であることが確認された。
SSFでは、ソフトウェアのセキュリティに関する基準において、PCI DSSでも意図されていた“目的志向型”の要件の定められ方が採用されることにより、要件準拠のために多種多様な技術を用いることのできるフレキシビリティが確保されている。また、近年の短いサイクルでの開発・バージョンアップのプロセスに対応すべく、ソフトウェアのセキュアな開発サイクルについて定めた新たな基準が追加され、複数の基準の集合体という形をとることになった。
これらにより、SSFは現在から将来にわたっての決済ソフトウェアセキュリティに対して、十分なフレキシビリティをもって対応できる基準となっている。さらに、複数基準の集合体となっていることからもわかるように、今後の拡張によって更に対応範囲を広げていくことが想定されている。
全体の更新の方向性
ここまで、3つのセキュリティ基準に関して、注目すべき更新内容を確認してきた。全体を通して感じ取れたのは、準拠の負荷を軽減していきたいという思いと、将来にわたって利用可能なフレキシビリティのある基準にしたいという思いである。
今回、紹介した3基準すべてについて、準拠負荷の軽減につながるような施策が導入されることが発表されている。セキュリティというのは、ともすればその人的、経済的負担等を理由に、重要性が理解されていてなお(非常に残念なことに)後回しにされがちな分野であった。今回の方向性が、このような状況を打破する一助となることに期待したい。
また、フレキシビリティという言葉も、今回のイベントでたびたび耳にするキーワードであった。PCI DSS v4.0、SSFで言及された“目的志向型”の要件記載という点は、まさにこのフレキシビリティを実現するための取り組みである。PCI SSCは、「単一の基準があらゆる対象にフィットすることはない」という考えを明確に示している。これまで、PCI SSCの管理する各種基準は実施すべき対策を非常に具体的に記している傾向にあったため、今回の方針はやや意外にも思えるが、このような考え方に基づくものなのであろう。
これら2つの方向性は、今後のこれらの基準の更なる発展と、それを利用するユーザの増加を目指したものである。電子決済がますます普及しつつある環境にあった変化であるといえよう。
おわりに
今回のPCI SSC Community Meetingの開催地バンクーバーでは、クレジットカード決済が非常に普及しており、小売店はもちろんのこと、路上のパーキングメータや電車・バスの運賃支払い(切符を買うのではなくクレジットカードで直接乗ることも可能)にも利用することが可能であった。
これは同時に、それだけ多くの保護すべき情報が溢れていることを意味する。
このような環境ゆえに、各種基準のアップデートにより、各種加盟店がこれら基準により準拠しやすい環境にしていくことが重要であることは身をもって感じられた。
クレジットカードを使って乗車できることをアピールするデザインのバスも走行していた。
今回重要なキーワードとなった“フレキシビリティ”は、大きな可能性と難しさの両方をはらんだ目標である。
例えば、クラウドサービスの利用が大きく普及した近年の情勢に、PCI DSSが十分なスピード感をもって対応できなかったことは、PCI DSS v4.0において、クラウドへの対応を意識させた一つの要因であろう。PCI SSCの意図するフレキシビリティのある基準は、新技術が登場するたびにセキュリティ基準の再検討、改訂を行わなければならないというこれまでの制約を取り払うものである。
進歩が速く、また将来の予測もしづらい情報技術の世界において、これは非常に大きな強みである。
一方で、フレキシビリティのある基準に対応するにはそれだけ高度な知見が求められる。
今回取り上げた新基準においても、各要件の意図や達成すべき目標が明確化される一方、実際にそのための手法を検討・実装し、効果があるか検証するのは被審査組織と審査機関の責任となるからである。
当然、十分な知見をもって行わなければ、不十分な対策で良しとしてしまうリスクをはらんでいる。
幸いにして、PCI SSCの管理する各種基準には、それぞれ認定の審査機関が存在する。
準拠に際してはこれら知見のある審査機関が関与することによって、対策の妥当性に一定の担保を得ることができる。
それゆえ、特に準拠組織の立場では、審査機関のような信頼できる専門家と密に連携し、疑問が生じた場合はすぐに相談できるような体制を整えておくことが求められるようになるといえる。
NRIセキュアテクノロジーズでは、PCI SSCの定める各種基準の認定審査機関として、準拠支援サービスとしてコンサルティングから審査までワンストップのサービスを提供している。
また、PCI SSCの各種基準に限らない決済セキュリティ全般のコンサルティングを実施しており、例えばQRコード決済のリスク評価サービスを業界で先駆けて提供している。
決済セキュリティに関してなにか不安を感じていらっしゃる場合は、ぜひご相談いただきたい。
- PCI DSS 準拠支援コンサルティング/審査
https://www.nri-secure.co.jp/service/consulting/qsa
PCI P2PE 準拠支援コンサルティング/審査 - https://www.nri-secure.co.jp/service/consulting/p2pe
QRコード決裁のリスク評価サービス
https://www.nri-secure.co.jp/news/2019/0128-3
