2007年4月26日、世界最大級の情報セキュリティカンファレンスである「RSA Conference Japan 2007」が開催されました。多くのセキュリティソリューションベンダーがひしめく中、ネットワンシステムズでは「PCIDSS」対応ソリューションにおけるセッションを行いました。
今回のNetOne PCIDSS講座 Vol.2では、本セッションでスピーカーを務めたセキュリティ事業推進本部 コンサルティング部の豊田部長が説明した「PCIDSS」とISMSとの違いや、「PCIDSS」要件と記載例、ネットワンシステムズが展開する「PCIDSS」準拠サービス等についてご紹介します。

NetOne PCIDSS講座
Vol.2「ISMSだけでは足りない、PCIDSSによる具体的セキュリティ対策に関する新基準」

ネットワンシステムズ株式会社
セキュリティ事業推進本部
コンサルティング部
部長　　豊田 祥一

なぜ、セキュリティ対策はISMSだけでは足りないのか？

「PCIDSS」は、カード会員データ及びこれに関連する機密情報を保護するために実施すべき事項を規定しています。認証取得の対象企業は主としてクレジットカード加盟店とプロセッサーですが、カード会員データも機密情報の一部と捉えることができるため、今後クレジットカード業界とは関係のない企業に対しても、「PCIDSS」を活用したビジネス展開が期待されています。しかしながら、既にセキュリティ管理基準として必須条件となりつつあるISMSを取得していれば、信頼性の高いセキュリティ対策を実施しているというイメージを持つ方も多いのではないでしょうか。

ISMSはマネジメントシステムを導入することを目的としており、自己評価が原則で、セキュリティ対策は自ら検討して決定しなければなりません。一方で、「PCIDSS」は機密情報を保護することを目的とし、クレジットカード業界の基準に則っており、セキュリティ対策が要件として具体的に記述されています。つまり、「PCIDSS」ではISMSだけではなしえなかった、現状のセキュリティ対策における客観的評価基準、いわばISMSを補完するものとして活用できるのです。

「PCIDSS」の要件と記載例

「PCIDSS」は、6つのカテゴリーにおいて12項目の実施すべき事項を規定しています。

これらの要件項目に対し、どのような詳細要件が定められているのでしょうか？

要件1を例にとってご紹介しますと、カード情報あるいは取引情報を保護するために、ファイアウォールを導入することを求めています。対象となるファイアウォールは、外部から社内ネットワークへの不正アクセスを防止するものだけではなく、より機密性の高い社内エリアを保護するものについても含まれています。要求事項では、ファイアウォールの設定基準を確立することが求められていますが、この基準にはネットワーク図や設定仕様書等の文書整備、設定変更の検証手続きの明確化、及びこれらを定期的にレビューすることが求められています。さらに、ファイアウォールの設定仕様に関する具体的な事項が要求されており、例えば無線ネットワークとカード会員データ環境との間に境界ファイアウォールの導入が必須（要件1.3.8）となっています。

尚、上記詳細要件でも分かるように、「PCIDSS」ではネットワークを設計する上で大前提となる項目が記載されており、セグメント構成を重視することで、機密情報を守るうえでの各システム・コンポーネントの役割と責任を明確化することを求めています。