PCI DSSはWAFで準拠できる?
個人情報を保護するためのクレジットカード業界のセキュリティ標準である「PCI DSS」について、Webアプリケーションを保護するWAF(Web Application Firewall)による対策をご紹介いたします。
PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)という言葉を聞いたことがありますか。
PCI DSSは、2019年3月、我が国の経済産業省が取りまとめた、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の「実行計画2019」に登場しました。(*1)
実行計画2019では、2020年3月末までに安心・安全なクレジットカード取引のために、クレジットカード情報保護として、クレジットカード会社はPCI DSSの準拠、クレジットカード加盟店(インターネット通販を営むEC加盟店を含む)はカード情報の非保持化、またはPCI DSS準拠が求められています。
なぜ、PCI DSS準拠が求められるのか
なぜ、PCI DSS準拠が求められるのか、それはPCI DSSが、PCI SSC(Payment Card Industry Security Standards Council)という世界的なクレジットカード業界の団体によって策定されたセキュリティ基準であるからです。
キャッシュレス決済の普及とともに、クレジットカードの利用機会も増えました。それに伴い、クレジットカードの不正利用被害は年々増加しており、2019年(1~6月)の被害額だけで、137億円にものぼります。(*2)
深刻なクレジットカード不正利用被害状況を踏まえ、国際カードブランド5社が共同で設立した、PCI SSCが、クレジットカードの利用が適切に行われるように、クレジットカード情報を安全に取り扱うことを目的とした「PCI DSS」を制定しました。
PCI DSSは2004年に制定されましたが、定期的に改定されており、情勢に合わせて強化されています。
PCI DSSの要件
PCI DSSには全部で12の要件がありますが、大まかに分けると
- 安全なネットワークの構築と維持 :要件1/要件2
- カード会員データの保護 :要件3/要件4
- 脆弱性管理プログラムの維持 :要件5/要件6
- 強力なアクセス制御手法の導入 :要件7/要件8/要件9
- ネットワークの定期的な監視およびテスト:要件10/要件11
- 情報セキュリティポリシーの維持 :要件12
となります。 これら加えて、上記の「実行計画2019」では、EC加盟店はカード情報を保持しないシステム(カード情報非通過型)への移行による、カード情報非保持化が強く推奨されています。
また、カード情報非保持化を実現したEC加盟店であっても、ECサイト脆弱性への対応が不可避であるとされています。
PCI DSS準拠に向けたWAF導入
前述の12要件の中の、要件6を満たすのに最も有効な方法は 、WAF(Web Application Firewall)といえます。
PCI DSSの要件6では脆弱性管理プログラムの維持のために、アプリケーションを改修して脆弱性を見直す、又はWAFを導入する必要があるとされています。
しかし、アプリケーションの改修は、ソースコードから見直す必要があるため、多大なコストがかかってしまいます。 これに対し、WAFを導入するコストはどうでしょうか。
弊社が取り扱う「TrustShelter/WAF」のようなクラウド型のWAFであれば、導入も比較的容易であり、シグネチャ(攻撃を判別するルール)も自動で更新されるため、最新の攻撃にも対応することができ、運用の負担も減らすことができます。
また、必ずしもすべてのクラウド型WAFがPCI DSSに準拠しているわけではございませんが、「TrustShelter/WAF」は、PCI DSSに準拠したサービスなので、安心してご利用いただけます。 せっかくWAFを導入しても、PCI DSSに準拠していなかった、ということがないように、しっかりと見極めることが必要です。
まとめ
PCI DSSに準拠するためには、様々な観点からセキュリティを高める必要があるため、自社での対応、セキュリティ製品の導入、社内教育などを組み合わせて取り組む必要があります。
WAFを導入するだけでPCI DSSの全ての要件を満たすということはできませんが、WAFの導入は製品次第で、PCI DSSの準拠に有効な手段であると言えます。 WAFの導入・運用、その他セキュリティに関するお悩みがございましたら、丁寧に対応させていただきますので、ぜひNTTテクノクロスにご相談ください。
(*1)経済産業省「クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画2019」を取りまとめました」 (*2)一般社団法人日本クレジット協会「クレジットカード不正利用被害額の発生状況」