PCI SSC ゼネラル・マネジャー Bob Russo との交流会
【概要】
2010年05月14日、PCI SSC 本部よりゼネラルマネージャMr.Bob Russo、
広報マーケティング・ディレクター Ms.Ella Nevillを迎えPO Japan連絡会メンバー
との交流会が盛況に開催された。
【講演】
Mr.Bob Russoより、今なぜPCI DSSなのか、またPCI SSCはどんな役割を担っているのか、を中心に
PCI SSCの生い立ちから関連イベントまで幅広い内容のプレゼンテーションがあった。
====================
PCI SSCは2006年に5大カードブランド*によって創設され、
現在全世界で500以上の組織が参加しているグローバルなカードセキュリティ標準の運営団体である。
* American Express、VISA、Master、JCB、Discover
□世界各地域ごとの参加組織数
・北米(384)
・西ヨーロッパ(82)
・アジア、環太平洋(28)
・東ヨーロッパ、中近東、アフリカ(16)
・南米(9)
PCI SSCの運営は、各参加組織を基盤とし関連業界の代表による諮問機関及び運営委員会が中心となり行っている。
□諮問機関構成メンバー
・金融機関:Bank of America, National Australia Bank, Royal Bank of Scottland, JPMorgan Chase & Co 等
・加盟店:Exxon Mobile, McDonalds Corporation, Lufhansa Systems, Wal-Mart Stores 等
・カードプロセッサ:Chase Paymentech Solutions, First Data Corporation, Global Payments 等
・ベンダー及び協会:Europeans Payments Council, PayPal, Cisco, Citrix Systems 等
中核機能としてはセキュリティ標準の開発・教育機能を持つ。これは複数のワーキンググループ及び
必要に応じて設立されるタスクフォースを中心として進められる。セキュリティ標準の開発にあたっては
関連業界のべストプラクティスや諮問機関の意見またコミュニティミーティング等による参加各組織からの
フィードバックにより内容の充実を図っている。
ここでご注意頂きたい点が一つある。それはセキュリティ標準についてPCI SSCと各カードブランドは
それぞれの責任範囲が異なると言うことである。PCI SSCは開発したセキュリティ標準の要件および評価機関
を統括するが、各セキュリティ標準への準拠をどのように促進していくかは各カードブランドが責任を負う。
また、今なぜPCI DSSかについてもお話させて頂きたい。
最近の情報セキュリティを取り巻く環境の変化により、情報セキュリティ対策についてのニーズが急速に
高まりつつある。それはセキュリティ被害の額が対策に掛かる費用に比べはるかに高くつくようになった
からである。(20倍以上ともいわれる。)
□最近の情報セキュリティを取り巻く環境の変化
・セキュリティ犯罪の組織化に伴い、1件当たりの被害が拡大している。
・クレジットカードを利用した詐欺の件数が増加している。(他の詐欺よりも3割以上多い。)
・顧客の情報セキュリティレベルに対する関心が深まっている。
(被害者の約2人に1人がクレジットカード詐欺の発生したショッピングをやめている。)
しかしセキュリティ対策と一口にいっても何をどこまでやれば良いのか不明確であると組織的な
セキュリティレベルを向上することは、難しい。なぜならシステム全体のセキュリティレベルは最も脆弱な
個所に依存するからである。部分的に高いセキュリティレベルを誇っても他の弱いところを破られてしまえば
意味は無い。その中で、より明確な守るべきルールとしてPCI SSCが開発したセキュリティ標準
PCI DSS(Payment Card Industry Data Security Standard)が注目されている。
様々な業者がグローバルに連携してビジネスを行うクレジットカード業界では早くから
具体的で明確なセキュリティ標準が必要とされていたからである。
PCI SSCのセキュリティ標準はPCI DSSだけにとどまらない。以下のように関係する業者や機器もカバーする
各種セキュリティ標準をリリースし、よりシームレスなセキュリティレベルの実現に寄与している。
□PCI SSCのセキュリティ標準
・PCI PTS : マニュファクチュアラー向け
・PCI PA-DSS :ソフトウェアデベロッパー向け
・PCI DSS:加盟店、プロセッサー向け
あわせてPCI SSCでは日々変化していくセキュリティ脅威に対しての準備も怠らない。
各種セキュリティ標準は2年ごとのライフサイクル* で見直し・リリースがなされ、セキュリティ最新動向
への対応がなされている。ちなみにPCI DSSの次期バージョンは2010年10月1日にリリースされる予定である。
* 注記:2010年6月現在 一部セキュリティ標準のライフサイクルが3年に延長されました。
更に、PCI SSCでは広範囲化するセキュリティ脅威への対応及びカードビジネスの普及に伴い、
世界各国向けのサービスも拡充している。
□PCI SSCの世界各国向けサービス
・ Webサイトは多言語対応がなされており、日本語でも参照可能である。
・ ファクトシートの日本語版もリリースされている。
・ PCI DSSアプローチの優先度判断ツールの多言語対応を行っている。
そしてPCI SSCはコミュニティミーティングの開催やツールの提供を通じて
今後とも皆さまのお役に立ちたいと考えている。皆さまの御意見フィードバックを受けて
よりよい活動につなげていきたい。
□本年度開催予定のコミュニティミーティング
・Orlando, Florida September 21-23,2010
・Barcelona,Spain October 18-20,2010
□主な提供ツール
・Security standards and supporting documents
・Quick Reference Guide
・Searchable Frequently Asked Questions
・List of approved QSAs, ASVs, PA-QSAs, PED Labs
・Education and outreach - e.g., fact sheets, webinars
・Participating membership, meetings, collaboration
・A global voice for the industry
====================
最後にPCI SSCにとって日本はとても重要な地域であり、PCI SSCは今後とも日本向けに協力を惜しまない旨の
挨拶があった。
【Q/A】
プレゼンテーション終了後、各参加者から寄せられた質問を元に質疑応答が行われた。
Mr. Bob Russo は各質問に答えるだけでなく各参加者に意見を尋ねる場面もあり、
活発な意見交換が行われた。
以上