米国で導入企業が急増しているPCI DSS。その要件は、カード情報を扱わない企業にとってもセキュリティ強化の実効果が見込めるという。本特集ではPCI DSSを知るための基礎と企業がすぐに適用できる方法について紹介していく。
実践的なセキュリティ基準として最近よく耳にする「PCI DSS」とは、どのようなものだろうか。PCI DSS(Payment Card Industry Data Security Standard)とは、5大国際カードブランド(Visa International、MasterCard Worldwide、American Express、Discover Financial Services、JCB International)が2004年に共同で作成したカード会員データの漏えい防止を目的とした情報セキュリティ対策の実装要求基準である。2006年にPCIセキュリティ標準協議会(PCI SSC:PCI Security Standards Council)が設立されてから米国を中心に急速に普及している事実上の国際標準となっている。現在は、このPCI SSCという団体が基準の策定や改良、普及・導入支援を実施している。
一方、PCI DSSの普及促進策は、それぞれの国際カードブランドが独自に実施することになっており、それぞれ固有の普及プログラム名が付けられている。例えばVISAの場合は、「Account Information Security」、Master Cardの場合は、「Site Data Protection」と呼んでいる。内容も各社各様で、PCI DSSに準拠しなかった場合の罰金制度などにもばらつきがあるのが現状だ。
ここでいうカード会員データとは、クレジットカード番号と有効期限、アルファベット表記された会員氏名、サービスコードを指す。このうち、クレジットカード番号と有効期限、アルファベット表記された会員氏名の3つの情報が入手できればインターネットの通販サイトなどで、カードの所有者でなくとも買い物ができることはご存じだろう。PCI DSSは、カード会員データの漏えいに伴うクレジットカードの不正使用による莫大な被害を減少させることを目的に定められた情報セキュリティ対策の実装要求基準なのである。従って、制定の背景に大量のクレジット会員データの相次ぐ漏えい事件があることは言うまでもない。
この点について、PCI DSSが対象とするカード会員データを機密情報と読み替えればカード決済にかかわらない一般企業にも応用できると解説する人もいるが、カード会員データは本来機密情報ではない。カード会員データは、国際カードブランド、カード発行会社、カード決済利用店舗(加盟店)を開拓するアクワイアラ(加盟店管理業者)、カード決済を受け付ける加盟店とそれぞれのコンピュータ処理にかかわるサービスプロバイダーなど多数の事業者間で頻繁に流通する情報であり、機密情報とは性質を異にする「要保護情報」である。このことは、PCI DSSの個々の要求事項を正確に理解する上で重要な概念の1つだ。同時に、異なる事業者間で頻繁に流通する情報を守るためにデータ処理に関係するすべての事業者に求められる最低限のセキュリティ水準(ベースラインセキュリティ)を示すことの困難さにもつながっている。
Copyright © ITmedia, Inc. All Rights Reserved.
従来のSOCは、AIや機械学習を用いた高度な攻撃に対処できなくなりつつあり、可視性とコンテキストの欠如や検証の複雑化など、さまざまな課題が山積している。この状況を改善するには、人手に頼ったSOCモデルから脱却する必要がある。
比較的新しい製品分野である「SD-WAN」にも、早くも変化が起こり始めている。SD-WANは今後、どう進化するのか。「SASE」といった関連技術との関係性を踏まえながら、“次世代SD-WAN”の方向性を探る。
ランサムウェア以外にもさまざまなサイバー攻撃が企業を襲い続けているが、重大なセキュリティインシデントへの対策を適切に行えている企業は今も少ない。その理由や、状況を改善するための4つのステップを詳しく解説する。
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...