PCI DSS 4.0とは?
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード情報を安全に取り扱うことを目的に策定されたクレジットカード業界のセキュリティ基準です。
そのバージョン4.0 は、ペイメントカード(支払い機能の付いたカード)セキュリティの分野における大きな進化を表しています。カード所有者データを保護し、安全なペイメント カード取引を保証するために設計された PCI DSS 4.0 は、支払い手段としてクレジットカード、デビットカード、またはチャージカードを扱う組織にとって必須です。
PCI DSS 4.0に準拠しなければならないのは?
加盟店
PCI DSS 4.0 は、オンライン小売業者、実店舗、ペイメントカードを受け付けるサービスプロバイダなど、あらゆる規模の加盟店に適用されます。加盟店は、年間処理トランザクション数に基づいて4つのレベルに分類されます:
レベル1: 取引件数が600万件以上(Discover、MasterCard、Visa)、250万件以上(American Express)、100万件以上(JCB)の加盟店
レベル2: 取引件数が100万件以上600万件未満(Discover、MasterCard、Visa)、5万件以上250万件未満(American Express)、または100万件未満(JCB)の加盟店。
レベル3: 電子商取引件数が2万件以上100万件未満(MasterCard、Visa)、100万件以上(Discover)、1万件以上5万件未満(American Express)の加盟店。
レベル4: 電子商取引件数が20,000件未満で、総取引件数が100万件までの加盟店(MasterCard、Visa)、または10,000件未満の加盟店(American Express)。
サービスプロバイダ
加盟店に代わってカード所有者のデータを処理、保存、または送信するサービスプロバイダも PCI DSS4.0 の対象となります。これには、決済処理業者、ホスティングプロバイダ、クラウドサービスプロバイダ、およびペイメントカード処理に関与するその他の組織が含まれます。
PCI DSS 4.0 の主な変更点
PCI DSS 4.0では、カード所有者データのセキュリティを強化し、組織の全体的なセキュリティ体制を強化することを目的としたいくつかの重要な更新が導入されています。バージョン3.0との主な違いは次のとおりです。
1. 範囲の拡大
新しいバージョンでは、従来のカード所有者データ環境(CDE)を超えて、新しいテクノロジと支払いチャネルを含むように範囲が拡大されています。次の内容に対応しています。
- クラウドコンピューティング
- 仮想化
- モバイル決済アプリケーション
2. リスクベースのアプローチの重視
PCI DSS 4.0 では、リスクベースのセキュリティアプローチを推奨しており、組織に対して次のことを推奨しています。
- 包括的なリスク評価の実施
- 特定されたリスクに基づいてセキュリティ制御をカスタマイズすること
- セキュリティ対策の優先順位を決め、リソースを効果的に割り当てること
3. より厳格なパスワード要件
新しいバージョンでは、より厳格なパスワード要件が導入され、次の点が強調されています。
- 強力でユニークなパスワードを使用すること
- 一般的なパスワードや簡単に推測できるパスワードの使用を控えること
- すべてのコンソール以外の管理アクセスに多要素認証 (MFA) を強く推奨
4. セキュアソフトウェア開発ライフサイクル(SDLC)
PCI DSS 4.0 では、次のような安全なソフトウェア開発手法に重点が置かれています。
- 安全なコーディング技術の実装
- 定期的なコードレビューの実施
- ソフトウェア開発ライフサイクル全体を通じて脆弱性評価と侵入テストの実施
5. 暗号化と暗号技術
新しいバージョンでは、暗号化と暗号に関する詳細なガイダンスが提供され、次の点が強調されています。
- 業界で認められた暗号化標準の使用
- 現代的な暗号化アルゴリズム
- 暗号化キーの安全な管理と暗号化プロセスの保護
6. 進化する脅威と脆弱性
PCI DSS 4.0 は、進化する脅威の状況に次のように対処します。
- 組織が最新のセキュリティパッチを常に適用するように奨励
- 定期的な脆弱性スキャンの実施
- 侵入検知および防止システムの実装
7. 強化されたレポートとドキュメント
新しいバージョンでは、強化された報告および文書化の要件が導入され、次の点が強調されています。
- セキュリティ管理、リスク評価、セキュリティインシデントの詳細な記録を行うこと
- 環境の変化を反映するために定期的にドキュメントをレビューし更新すること
中小企業とオンライン加盟店への影響
PCI DSS 4.0 では、特に中小企業やオンライン加盟店にとって重要な、特定の変更が導入されています。
1. Webアプリケーションファイアウォール(WAF)の要件
PCI DSS 4.0 要件 6.4.2 では、組織に対して 2025年3月25 日までにWebアプリケーション ファイアウォール(WAF)を調達して導入することを義務付けています。
2. 小規模事業者向けのコンプライアンスの簡素化
コンプライアンスの負担を軽減するために、PCI DSS 4.0 では小規模な販売業者向けに簡素化された要件を導入しています。これには次のものが含まれます。
- 簡素化された自己問診票(SAQ)
- 取引量が少ない場合の文書化要件の削減
3. 電子商取引のサポート強化
PCI DSS 4.0 では、電子商取引の成長を認識し、オンライン加盟店向けに次のような強化されたガイダンスを提供しています。
- 電子商取引プラットフォームのセキュリティを確保するためのベストプラクティス
- 安全な決済ゲートウェイとサードパーティ統合に関する推奨事項
結論
PCI DSS 4.0 は、ペイメントカード取引のセキュリティを確保し、カード所有者のデータを保護するための継続的な取り組みにおいて、大きな前進となります。PCI DSS 4.0 は、その適用範囲を拡大し、リスクベースのアプローチを重視し、より厳格なセキュリティ要件を導入することで、進化する脅威の状況に対処し、組織が新しいテクノロジとペイメント チャネルに十分対応できるようにすることを目的としています。
小売業者やサービスプロバイダにとって、PCI DSS 4.0 への準拠は単なる規制要件ではなく、顧客の信頼を維持し、機密情報を保護するための重要な要素です。PCI DSS 4.0の主要な変更点を理解して実装することで、組織はセキュリティ体制を強化し、より安全な決済エコシステムの実現に貢献できます。
こちらの記事にも興味ありますか?
A10 Next-Gen WAF
Powered by Fastlyのご紹介
A10のアプリケーション配信・負荷分散と次世代型WAFを組み合わせた「A10 Next-Gen WAF, Powered by Fastly」で、従来のスタンドアロン型や既存のWebアプリケーションファイアウォールを上回る機能を提供します。「A10 Next-Gen WAF, Powered by Fastly」は、ブロッキングモードで実践的に使える次世代WAFです。
資料ダウンロード