クレジットカード業界には「PCI DSS(Payment Card Industry Data Security Standard)」と呼ばれるセキュリティ基準がある。クレジットカードの会員データを取り扱う際の基準で、一般的な組織の機密情報の取り扱いにも有効だとして、最近では広くセキュリティ基準として採用されている。
そのPSI DSSの最新版であるバージョン3.2が4月28日にリリースされた。最新のセキュリティ基準の変更点や特徴について、PCI SSC(Payment Card Industry Security Standards Council)のInternational DirectorであるJeremy King氏に話を聞いた。
このセキュリティ基準は、カードの不正利用や情報漏えいなどを防止する目的で定められている。安全なネットワークの運営や、会員データの保護、プログラムの脆弱性への対策、アクセス制御手法の導入、定期的なネットワークの監視やテストといったさまざまな項目が設けられており、クレジットカードを扱う組織は対応が求められている。
策定より10年が経過しており、3年ごとに定期的なアップデートを行うことで、最新のセキュリティ環境に適応させている。しかしながら今回のバージョンアップである3.2は、これまでのリリースサイクルから外れたアップデートが行われている。
脆弱性対応のためのアップデート
理由は、「SSL/TLSの脆弱性に対応するため」(King氏)。米国立標準技術研究所(NIST)が、SSLとTLS 1.0についてセキュリティ上の問題があると発表したのが2014年1月だが、インターネットの暗号化技術として広く使われていたため、影響はPCI DSSにも及んだ。PCI SSCでは2015年4月にPCI DSS v3.1をリリースして、2016年6月30日までにSSL/TLS1.0から移行するよう求めた。
PCI DSSでは、カード会員のデータをインターネット網でやりとりする場合に「暗号化すること」を必須としていたが、当時はほとんどの企業がSSLや初期バージョンのTLSを使っていたという。当初、PCI SSCは移行期限を伸ばし「6カ月程度で十分」と調査結果から導き出していた。
しかし、この期限では「移行が困難」という市場の声が大きかったという。「技術的にSSLを撤廃するのは簡単だったが、ビジネス上では撤廃するのが難しかった」とKing氏。当初の日程だと「業務的に損失が多くて耐えられない」という要望が強かったという。そこで2015年12月、PCI SSCは移行期限を「2018年6月30日まで」と設定した。
具体的には、クレジットカードサービスを提供するプロバイダに「TLS 1.1またはそれ以降を導入したサービス」の提供を求め、加盟店側は「NISTに規定された安全なTLSのバージョンを2018年6月までに導入する」ことが必要となる。今後新規にシステムを実装する際は、TLS 1.1(推奨は1.2)を導入することが必要となる。決済端末に関しては、SSL/TLS 1.0の脆弱性に対応していれば継続して利用できる。
PCI SSCでは、移行をサポートするためのガイダンスも変更し、SSL/TLS 1.0からどのように移行するか、リスク緩和技術の提案、適切な設定の事例などを追加し、スムーズに移行できるようにサポートを提供する。
King氏は「SSLではセキュリティを担保できないということを理解してもらう必要がある」と強調し、2018年6月の期限まではSSLを使い続けることも可能だが、「その間にセキュリティの認識を高めてもらいたい」と話す。