💨

PCI SSCカンファレンス(Barcelona)に参加してきました!

2025/01/10に公開

この記事はFinatextホールディングスのメンバーとして、海外カンファレンス(PCI SSCカンファレンス)への参加に関して、公開したブログになります。

はじめに

Finaにゃちわ~。Finatextホールディングスでシステム管理を担当しています、Motohiko(@motohiko_s8888)です。

PCI SSCカンファレンスに参加するため、Barcelonaに行ってきました。Barcelonaは初めてでしたが、とてもきれいな街ですね、食べ物も美味しいし、中心街を除けば治安も良いし物価も思ったほど高くないので住みやすいなと感じました! 

 魚介のパエリアは最高!

PCI SSCとは

PCI SSCとは、国際カードブランド5社(JCB、Visa、Mastercard、American Express、Discover)によって2006年に設立された団体です。PCI DSSをはじめとした、クレジットカードに関する国際的なセキュリティ基準の制定、運用、管理を行っています。

PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

 カンファレンスの様子

定期的にMeetingを開催しており、2024年は、Botson、Barcelona、Hanoiで開催。少し遡りますが、2024年10月8日~10日のBarcelona大会に参加しました。
https://events.pcisecuritystandards.org/2024-barcelona/

参加の目的

PCI DSS等のクレジットカードセキュリティ基準に関する最新情報を収集するために参加してきました。

  1. 2022年3月最新Ver4.0が施行されてから3年後の2025年に向けたVerUp情報の収集
  2. 自分自身の、7年間のPCI DSSに関するブランクに対するキャッチアップ
  3. 情報セキュリティのメジャー規格であるPCI DSSファミリーに関する最新の情報の収集
  4. PCI DSS準拠に向けた有益な情報の収集

     2024年にPCI DSSのメジャーバージョンアップのRFCが?

カンファレンスでのアップデート情報

  • カード情報の非保持化よりもフィッシング対策、多要素認証が議論の中心になってきている。

    • Anti-Phishing Protection
    • Payment Page Security Controls
  • 新たな外圧となりうる法令がクレジットカード分野へ波及する恐れがある。

    • The Digital Operational Resilience Act(DORA) applies to financial entities.
  • AIとMLによってクレジットカード分野に及ぼす影響を正しくとらえる必要がある。

    • AI and ML Will Regularly Monitor and Test Networks
    • Monitoring can quickly become exponentially expensive, not just withresources but privacy and risk. Security activities like threat sharingand segmentation can help to alleviate these costs while supporting multiple security objectives.

多要素認証について

PCI DSS上の要件としては、カード会員データ環境(CDE)への全てのアクセスに多要素認証を実装することが求められています。

この要件は従来、PCI DSS v3.2.1まで多要素認証の実装は ”非コンソールアクセスの管理者やリモートアクセス” に限定されていたものが、社内ネットワークを通じてシステムにアクセスしているような業務担当者であっても多要素認証が必要として、要件の対象範囲が拡張されたものです。
サイバーセキュリティ攻撃が複雑化、多様化している中で要件が拡張されてきているものと思われます。

【PCI DSS 8.4.2】 カード会員データ環境(CDE)へのコンソール以外のすべてのアクセスに MFAが実装されている。
※MFA :Multi-factor Authentication 多要素認証

PCI DSS v4.0.1

カンファレンス内容(アジェンダ)

〇10月8日(火)

10:00 - 12:00 Workshops
12:00 - 13:00 Assessor Break
13:00 - 15:00 Assessor Session
15:00 - 17:00 Vendor Showcase Preview
17:00 - 18:30 Welcome Reception

〇10月9日(水)

09:30 - 10:15 Keynote: Shaping the Future of Payment Security - Together
10:15 - 10:20 Emcee Welcome Remarks
10:20 - 10:40 How the PCI SSC Standards Work Together
10:40 - 11:00 Your Journey Through the Key New PCI DSS v4.x Requirements - Get Started Now!
11:00 - 11:30 Networking Break and Vendor Showcase
11:30 - 11:50 Setting Moonshot Goals
11:55 - 12:15 Ace Your PCI DSS v4.0 Assessment: QSA Secrets for Success
12:20 - 12:40 Challenges with PCI P2PE Solutions While Building Resilience in the European Payments Landscape
12:45 - 13:05 P2PE Program Enhancements
13:05 - 14:30 Networking Lunch and Vendor Showcase
14:30 - 14:50 Concept to Certification - A Journey to PCI Product Listing
14:55 - 15:15 See Yourself In Cyber: Security Careers Beyond Hacking
15:20 - 15:40 Security Is a Continuous Process
15:40 - 16:10 Networking Break and Vendor Showcase
16:10 - 16:30 Tech Exchange: K3DES LLC - Managing Data, Data Centers, and Compliance in Today's Remote World
16:35 - 16:55 DORA: How the Next Wave of Requirements Is Hitting the Payment Card Industry
17:00 - 17:20 Tech Exchange: Sycurio - Securing Your Payment Infrastructure and Delivering PCI DSS Compliance in the Age of AI
17:30 - 19:00 Networking Reception and Vendor Showcase

〇10月10日(木)

09:30 - 09:35 Welcome Remarks
09:35 - 09:55 Digital Fire Doors: The Frontline Defenders Against Ransomware and For Maintaining Secure & Resilient Operations
09:55 - 10:15 Has IoT Security Improved? Or Is It Still Down The (Smart) Toilet?
10:15 - 11:00 Keynote: Security in an Age of Exponential Innovation
11:00 - 11:30 Networking Break and Vendor Showcase
11:30 - 11:50 Let’s Address the AI and ML Elephant in the Room
11:50 - 12:10 Learning From Safety-Critical Industries: Control Failure Is Normal, Deal With It.
12:10 - 12:30 Secure Migration of Cardholder Data
12:30 - 12:50 Tech Exchange: Jscrambler - Iframing the Payment Form - The Defense Perspective
12:50 - 13:10 How to Balance Conflicting Acquiring Bank Objectives - Insights Into the Conflicting Payments, Risk and Compliance Management Landscape In The Small Merchants’ Segment
13:10 - 13:30 Global Updates: Payment Trends and Threats
13:30 - 15:00 Networking Lunch and Vendor Showcase
15:00 - 15:20 Tech Exchange: Zimperium - Lessons Learned from Securing MPoC Solutions and the Need for Continuous Security
15:20 - 15:40 Safeguarding Your “Boat” So you Don’t Get Hooked
15:40 - 16:10 PCI SSC MPoC and Mobile Updates
16:10 - 16:40 Stronger Together – The Value of Participating with the PCI SSC
16:40 - 17:00 Wrap Up Session and Closing Remarks

カンファレンスを通じて感じたこと

  • PCI DSS v4.0.1からのバージョンアップ作業は遅れていると感じました。
  • MPocなどの規格が出てくるなど、PCI DSSファミリーの進化が進んでいると感じました。
  • 以前のカード情報非保持に向けたトークナイゼーションなどのソリューション導入から、認証強化やフィッシング対策、AIなどへ論点が移ってきていると感じました。AIMS(AI Management System)も今後検討の必要がありそうです。
  • PCI SSCのメンバーが欧州やアメリカのメンバーで固定されており、アジアの存在感の弱さを感じました。欧米と日本のクレジットカード利用の商慣習の違い(たとえば、スワイプ利用やQRコードの流通状況、EC化率の違いなど)に勘案しつつ、EMVの強制などのレギュレーションに対して、今後、アジアの発言力を強めていく必要があるのではと思います。

おまけ

  • Barcelonaでは、クレジットカードの普及率は高く、町のパン屋でも使えます(決済端末がおかれている)。1ユーロ単位の少額決済でも利用できます。
  • Barcelonaは、地下鉄が便利で市内のいたるところへ行けます。
  • 日本と違って公衆トイレが極端に少ないため、トイレ事情は大変です。地下鉄にもトイレがなかったです。
Finatext Tech Blog

Discussion