2007年05月29日 05時00分 UPDATE
特集/連載

Columnカード会員情報のセキュリティ基準「PCI DSS」への対応

日本でも準拠への動きが出始めているクレジットカード情報取り扱いに関するセキュリティ基準「PCI DSS」。厳しい要件に対応する1つの方法として、ネットワークの分離を検討するべきだ。

[Mike Chapple,TechTarget]

 Payment Card Industry Data Security Standard(PCI DSS:PCIデータセキュリティ基準)では、クレジットカードやデビットカードのデータを保存、処理、転送する販売業者やサービス業者が、この機密性の高い情報を保護するために順守すべき12の要件が定められている。ほとんどのセキュリティ専門家は、これらの要件(「ダーティダズン」という俗称で呼ばれることも多い)は、「現在の情報セキュリティのベストプラクティスを盛り込んだものであり、機密性の高いデータを管理するための妥当な指針を提供する」という認識で一致している。

 PCI DSSの要件は、クレジットカード情報の保護という目的にかなっているかもしれない。だが、大企業などが日常的に扱うデータの大部分に適用するには、あまりに厳しく、コストが掛かりすぎる内容だろう。例えば、大規模な大学がネットワークの大部分を公開している場合を考えてみよう。恐らく、そのネットワーク上でカード処理にかかわるシステムは、ごくわずかなはずだ。このため、PCI DSSの12の要件すべてをネットワーク全体にわたって実装するのは、まったく非現実的だろう。

 PCI DSSの初期バージョンでは、まさにそのように、つまり、PCI DSSの要件に全社的に対応することが求められているように思われた。この点について、PCIセキュリティ基準協議会(PCI Security Standards Council)はPCI DSS version 1.1の序文で、「PCI DSSの要件は、カード会員データ環境とそれに接続された要素に適用される」と述べた上で、次のように説明した。

関連ホワイトペーパー

ISP | UTM | コンプライアンス


ITmedia マーケティング新着記事

news023.jpg

Cookieによる効果測定に不足を感じる広告宣伝担当者が増加――サイカ調査
広告配信などにおけるCookie利用の制限が検討されています。一方で、企業の広告宣伝担当...

news018.jpg

「TikTok Ads」2019年の振り返りと2020年の展望
もう「踊ってみた」動画だけではない。急成長する広告配信プラットフォーム「TikTok Ads...

news112.jpg

「メルカリハイ」の謎を解く――4人に1人が100円以下の利益でもフリマアプリに出品
なぜ人は100円以下の少額利益でもフリマアプリに出品してしまうのか。謎を解く鍵は「承認...