PCIDSS最新動向-過去最大の漏えい事件で見えた不足要件「End-to-Endの暗号化」

自治体や学校への応用も始まる

代表取締役社長の山崎文明氏

 ネットワンシステムズ株式会社(以下、ネットワン)の100%子会社で監査サービス事業を営むビジネスアシュアランス株式会社は1月29日、PCIDSSに関する記者説明会を開催。代表取締役社長の山崎文明氏が登壇し、PCIDSSの米国・国内の最新動向や他業界への応用などについて説明した。

 PCIDSSは、カード会員情報を保護するために最低限必要なセキュリティを策定した規格。具体的に何をするかを各社の判断に委ねるISMSと違って、具体的に対策しなければならないことを定めているのが特徴だ。12個の要件の下位要求には、「ファイアウォールの設定」や「パスワードのけた数」など実装レベルに踏み込んだ内容まで盛り込まれている。


ネバタ州で義務化法も施行

PCIDSSの普及に乗り出した米国州政府
ついに義務化法も施行

 業界の認知度も年々向上。カードブランド各社が、イシュア(カード発行会社)やアクワイアラ(加盟店契約会社)と契約する際、債務事項として「PCIDSS準拠」を盛り込んだり、漏えい時の免責、罰金、契約解除を科したりしたこともあって準拠企業も確実に増えている。

 法整備も進み、米国テキサス州では2007年5月に、「PCIDSS未準拠の組織から漏えいした場合、金融機関は損害賠償訴訟を起こすことが可能」とする法令が施行された。さらに「事故・事件を起こした組織は90日以内にPCIDSSに準拠していると証明すること。30日以内に証明できれば訴訟を免れる」と免責事項も盛り込まれたため、カード加盟店にとっては危機管理の面からも無視できない状況になっている。

 さらに2009年6月には、ネバタ州で「州内でカード決済する事業者はPCIDSSに従わなければならない」とする法令が施行された。事実上の義務化法だ。山崎氏によれば「州内でカード決済する事業者ということはトイザらスやスターバックスなども該当するため、全米に広がる可能性を秘めている」と指摘。また、「ここには年間カード取引件数に関する記載がない。大規模なレベル1~2の加盟店のみならず、小規模なレベル3~4の加盟店も含まれたため、HSM(Hardware Security Modules)やWAF(Web Application Firewall)など、対策製品の注文が前年度の倍にものぼる“特需”になっている」という。


PCIDSSは本当に有効か?

Heartland事件がもたらした2つの課題
Heartland事件の原因となったシステム上の落とし穴

 米国では一方で、PCIDSSは本当に有効なのかという議論もわいている。きっかけは、2009年1月に史上最大のカード情報漏えいとして明らかになったHeartland事件だ。VISAとMasterCardの通報で発覚し、「漏えい件数は1億件以上、6億件ともいわれている」(山崎氏)。

 その件数もさることながら、問題は、HeartlandがPCIDSSの審査機関(QSA)から準拠の認定を受けていたことだ。必然的に「監査制度の有効性」に疑いの目が向けられた。Heartlandは外部から通報されるまで漏えいに気づけなかった。しかし、PCIDSSには「ログをレビューする」「ファイル完全性ソフトを導入する」など、漏えいを検知するための要求が存在するのだ。その機能が正しく動作していなかったのか、あるいは認定を与えたQSAの落ち度だったのか――。

 いずれにしても、QSAの審査基準があいまいであることは、以前より指摘されてきた問題だった。あるQSAでは認定が下りて、別のQSAからは認定が下りないという事態が実際に発生していたのだ。

 もちろん、PCIDSSを運営する「PCISSC」もこの問題を見逃していたわけではなく、加盟店が審査機関の質をフィードバックする制度をつくり、2010年1月からは、PCISSC自らQSAを審査する制度も始まっている。国内でも2009年2月にネットワンら8社が発足した「PSISSC PO Japan連絡会」が、QSA審査結果の共有を実施。「審査結果から属人的な要素を排除して、審査基準・統一見解の積極的な公開が行われている」(同氏)。

 しかし、Heartland事件は「審査基準に対する懸念」だけでなく、「そもそもPCIDSSの現要求では対応できなかったのでは」という示唆も与えた。同事件では、エンドユーザーからSSL通信で送信されたカード会員情報が、Webサーバーからバックエンドサーバーへ送られる際の非SSL通信上で、「Sniffer」によって盗み取られたとされる。PCIDSSの現要求では、要所要所で暗号化する「Point-to-Point Encryption」が定められているのだが、Heartland事件ではエンドユーザーからHSMに至るまで一貫して暗号化する「End-to-End Encryption(E2EE)」が必要だったというのだ。

 山崎氏によれば、ここでの「非SSL通信」という落とし穴は、日本のシステムにも多数存在するという。Heartland事件は、日本において、繰り返される歴史かもしれないのだ。

 PCIDSSは緊急時の対応を除き、基本的に2年に1回のサイクルで改訂される。2010年10月にも新版公開が予定されているが、「そこではE2EEについては触れられないだろう」(同氏)。PCISSCにて最新技術が研究されているが、その結果次第で、「次の次の改訂時に盛り込まれる可能性がある」とはいうが、基本的なサイクルでいけば、それは実に3年後のことだ。「米国ではカード情報の漏えい事件は、テロの重要な資金源という見方がある」(同氏)という中、3年というタイムラグを、果たして犯罪者が待ってくれるだろうか。


日本は特殊な商慣行が壁に?

無視できない罰金制裁
日本独特の商慣行。カードブランド、イシュア、アクワイアラが融合しているため、罰金のベクトルの向かう先がないケースも

 PCIDSS普及という点では、VISAの普及施策が鍵を握るといって過言でない。2008年11月には順守期限を発表。「2010年9月末日までに、世界中のVISAのレベル1加盟店はPCIDSSに準拠しなければいけない」としている。各加盟店の対応状況は担当するアクワイアラが取りまとめ、VISAに報告する必要があるのだが、それを怠ると罰金が科せられる可能性もある。

 罰金の具体的な方針はカードブランドによって異なるが、VISAの場合は期日以降、未順守のレベル1加盟店数×1万ドル、未順守のレベル2加盟店数×5000ドルの罰金が毎月、アクワイアラに科せられる。普及において無視できない罰金制裁なのだが、日本では少々ややこしい事業があり、罰金の力学がうまく働かない状況にある。

 米国は、カードブランド、イシュア、アクワイアラが完全に分離している。そのため漏えい時に罰金の対象が明確なのだが、日本では、イシュアとアクワイアラが融合していたり、JCBのようにカードブランドでありながらイシュアとアクワイアラを兼ねているケースもある。このため、「罰金のベクトルの向かう先が、そもそも存在しないことがあるのだ。米国と比べて、いまいち日本でPCIDSSが盛り上がらない、最大の理由といえるかもしれない」(同氏)。

 とはいえ、悠長なことは言ってられない。VISAのカード加盟店において、2010年9月30日の準拠期限はもう目前に迫っている。


自治体や学校への応用も始まる

実装要件としてセキュリティを示す重要性
自治体DSS/学校教育DSSの取り組み

 ネットワンの監査サービス事業をスピンオフして設立されたビジネスアシュアランスでは、PCIDSS準拠に関する悩みを解決するためGAP分析サービスなどを展開している。

 セキュリティは、何をどこまでやればいいか判断が難しい。カード産業において、それを明確にしたことがPCIDSSの最大の貢献といえるかもしれない。山崎氏の考えは「実装要件としてセキュリティを示す重要性は、ほかの分野でも同じ」というものだ。

 同社ではGAP分析が示す今後の道筋として、「エンタープライズDSS」「自治体DSS」「学校教育DSS」の確立も進めている。エンタープライズDSSは、「グループ企業はおしなべて同等のセキュリティを実現すべき」との考えで、PCIDSSの企業版を、顧客企業のグループ全体に最適な形で個別に提案。これにより「あといくら投資が必要かが明確になり、毎年毎年、同じような稟議を繰り返さなくて済むようになる」(同氏)としている。

 自治体DSSでは、政府の認知や普及ツールの整備を進め、最終的にPCIDSSの自治体版を策定すべく、現在、ニューメディア開発協会とともに、自治体セキュリティの現状調査を行っている。また、学校教育DSSでは、政府が提唱した「学校情報連携」で学生のセンシティブデータが漏えいしないように、すでに「学校教育DSS 第0.1版」を作成。3月末には公開し、広くパブリックコメントを受け付ける予定という。

 山崎氏は「PCIDSSはデータセキュリティ基準のベストプラクティス。当社ではQSAとしての知識・ノウハウを通じて、カード業界以外のDSSを策定・普及し、安全・安心にICT技術が利活用できる仕組みづくりを支援する」とした。




(川島 弘之)

2010/1/29 18:31