2007年05月29日 05時00分 公開
特集/連載

カード会員情報のセキュリティ基準「PCI DSS」への対応Column

日本でも準拠への動きが出始めているクレジットカード情報取り扱いに関するセキュリティ基準「PCI DSS」。厳しい要件に対応する1つの方法として、ネットワークの分離を検討するべきだ。

[Mike Chapple,TechTarget]

 Payment Card Industry Data Security Standard(PCI DSS:PCIデータセキュリティ基準)では、クレジットカードやデビットカードのデータを保存、処理、転送する販売業者やサービス業者が、この機密性の高い情報を保護するために順守すべき12の要件が定められている。ほとんどのセキュリティ専門家は、これらの要件(「ダーティダズン」という俗称で呼ばれることも多い)は、「現在の情報セキュリティのベストプラクティスを盛り込んだものであり、機密性の高いデータを管理するための妥当な指針を提供する」という認識で一致している。

 PCI DSSの要件は、クレジットカード情報の保護という目的にかなっているかもしれない。だが、大企業などが日常的に扱うデータの大部分に適用するには、あまりに厳しく、コストが掛かりすぎる内容だろう。例えば、大規模な大学がネットワークの大部分を公開している場合を考えてみよう。恐らく、そのネットワーク上でカード処理にかかわるシステムは、ごくわずかなはずだ。このため、PCI DSSの12の要件すべてをネットワーク全体にわたって実装するのは、まったく非現実的だろう。

 PCI DSSの初期バージョンでは、まさにそのように、つまり、PCI DSSの要件に全社的に対応することが求められているように思われた。この点について、PCIセキュリティ基準協議会(PCI Security Standards Council)はPCI DSS version 1.1の序文で、「PCI DSSの要件は、カード会員データ環境とそれに接続された要素に適用される」と述べた上で、次のように説明した。

関連ホワイトペーパー

ISP | UTM | コンプライアンス


ITmedia マーケティング新着記事

news154.jpg

孫消費急減、女性のLINE利用増――ソニー生命「シニアの生活意識調査2020」
毎年恒例の「シニアの生活意識調査」。2020年のシニアの傾向はどうなっているでしょう。

news137.jpg

米大統領選を巡る「アプリ対決」のゆくえ 「Trump 2020」 vs. 「Vote Joe」と「TikTok」 vs. 「Triller」
米国では2020年月の大統領選挙を前に選挙戦がますます活発化しています。関連するアプリ...

news143.jpg

店舗の滞在時間が減少、「20分未満」が約1.5倍に――凸版印刷とONE COMPATHが5万人買い物調査
電子チラシ「Shufoo!」を利用する全国の男女5万人を対象に実施した買い物に関する意識調...