🐈

PCI DSS v4.0が公開されました

2022/04/06に公開約1,700字

2013年にリリースされたv3.0から約8年ぶりのメジャーバージョンアップとしてPCI DSS v4.0が2022年3月31日に公開されました。

https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報を保護するために、国際ペイメントブランド5社(JCB・American Express・Discover・マスターカード・VISA)が共同で策定したクレジット業界におけるグローバルセキュリティ基準です。

上記URLから以下のドキュメントの入手が可能です(日本語版の公開日は未定)。
英語苦手な方はPDFをダウンロードしてadobeでwordに変換、Wordの翻訳機能で翻訳すればざっと内容は把握できると思います。

  • PCI DSS v4.0
  • PCIDSSv3.2.1からv4.0への変更の概要
  • PCI DSS v4.0コンプライアンスレポート(ROC)テンプレート
  • PCI DSS v4.0 ROCコンプライアンス証明書(AOC)
  • PCI DSSv4.0ROCのよくある質問

日本語の字幕付きでPCISSCのスタッフによるv4のディスカッション動画がアップされていたのでざっと概要をまとめました。
First Look at PCI DSS v4.0 - Japanese Subtitles

https://www.youtube.com/watch?v=mkVdGqC5lTk

認証

  • アクセス時は多要素認証を使用させる
    • 適切に実装されている多要素認証は攻撃を99.9%防ぐ

パスワード

  • パスワードの長さ:7文字→12文字
    • 現在の処理能力では7文字では不十分
  • 90日ごとにパスワードを変更するという要件を維持
    • パスワードが侵害されたことがあっても変更すれば、悪用を防ぐことができる
  • パスワード変更要件は多要素認証を搭載していないシステムのみに適用

ターゲットリスク分析

  • 共有アカウント使用禁止要件がv4.0では条件付き(時間制限、承認、操作管理など)で使用可
  • アクティビティの頻度をリスク分析で決定できる
    • 定期的なPOIデバイス検査のタイプなど頻度を決定する

2つのリスク分析

  • カスタマイズアプローチ

    • セキュリティ目標を達成するために仕様されるコントロールを事業者が決定(柔軟性が高い)
    • すでに強固なセキュリティプロセスが確立している事業者向けでやや労力かかる
    • 独自の方法で要件の目的を達成するために斬新で革新的なアプローチ
    • 追加情報を詳細を含む新しい付属書と専用のリスク分析テンプレートがある
  • 代替コントロール

    • 従来の方法
    • 事業上または技術上の制約のせいで要件を満たせないような事業体のためのもの

フィッシング攻撃への対応策

  • フィッシング対策やソーシャルエンジニアリングを含む研修
  • 攻撃を自動検知・防止する技術的メカニズムの実装

オンラインスキミング攻撃への対応策

  • 全支払いページスクリプトを管理
  • 支払いページで悪意のあるアクティビティの変更またはインジケータを検出するメカニズムを導入

継続的な推進

  • セキュリティは全員が継続的に実施する必要があるが、特定の時点に限った活動のように感じる。
  • 主要な要件ごとに役割と責任に関する要件を追加
    • 責任が明確に割り当てられている場合、セキュリティが日常の役割にどのように適合するかをより理解してもらいやすい。

スケジュール

  • v3.2.1は2年間(2024/3/31まで)有効。
  • v4.0の新要件はベストプラクティス(推奨策)として考慮され、2025/3/31までに対応すればよい。
  • 直前まで待たずに早急にv4対応してほしい。
  • 今後も情報を発信していく。
    • FAQ
    • ブログ
    • クイックリファレンスガイドのドキュメント更新
    • 数か月以内に7言語で利用可

Discussion

ログインするとコメントできます