ペイメントカード業界データ・セキュリティー基準(PCI DSS v4.0.1)は、カード保有者のデータ(カード保有者のプライマリー・アカウント番号(PAN)、氏名、有効期限、サービス・コード)およびその他のカード保有者の機密情報をライフサイクル全体にわたって保護するための一連のセキュリティー要件です。
PCI DSS v4.0.1は、カード会員データを保管・処理または送信する販売業者やサービス・プロバイダーまたはその他の組織、およびカード会員データを保管・処理または送信するシステムに接続されているすべての組織に適用されます。(これらのシステムは、カード会員データ環境(CDE)と呼ばれます。)PCI DSSは、カード保有者のデータを保護するために組織が実装する必要がある詳細なセキュリティー制御やプロセス、テストの概要を示しています。これらのセキュリティー対策は、eコマース取引やPOSシステム、ワイヤレス・ホットスポット、モバイル・デバイス、クラウド・コンピューティング、紙ベースのストレージ・システムなど、カード会員データ環境全体の幅広い機能領域をカバーします。
PCI DSSコンプライアンスには、販売業者とサービス・プロバイダーによる年次報告と、CDEの大幅な変更後の追加報告が必要です。コンプライアンスの検証には、組織のセキュリティー体制の継続的な評価ならびにセキュリティー・ポリシーやテクノロジー、手順のギャップに対処するための継続的な修復も含まれます。
組織やサービス・プロバイダーは認定審査機関(QSA)による評価を受けることができ、評価に合格するとQSAによって準拠証明書(AOC)が発行されます。
PCI DSSの最初のバージョンは、2004年にペイメントカード・ブランドのアメリカン・エキスプレスやディスカバー、JCBインターナショナル、マスターカード、ビザによってリリースされました。これらのブランドが、基準の技術的要件を管理するために共同でペイメントカード業界セキュリティー基準評議会(PCI SSC)を結成しました。 2020年に、PCI SSCは銀聯銀行カード協会を追加しました。PCI DSSは定期的に更新され、個人情報の盗難や詐欺、データ侵害など、ペイメントカード・データに対する最新のサイバーセキュリティーの脅威に対処しています。
IBMはPCI DSSのレベル1サービス・プロバイダーであり、お客様はIBM Cloudを使用してPCI-DSS準拠の環境とアプリケーションを構築できます。
IBM Cloudプラットフォーム・サービスには、多くの場合、認定審査機関(QSA)によって発行されたPCI DSS 準拠証明書(AOC)が付与されています。
IBM Cloudサービスを使用してコンプライアンス実現を加速
PCI DSSの最新バージョン(v4.0.1)は2024年6月にリリースされました。組織はコンプライアンスを達成するために、2025年3月31日までにこれら12の要件を実装する必要があります。
IBM Cloudは、特定のPCI DSS要件を満たし、コンプライアンスへの取り組みを加速するのに役立つ以下の一連のサービスを提供します。
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。
IBM Cloud Direct Link
IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。
IBM Cloudゲートウェイ・アプライアンス
ゲートウェイ・アプライアンス は、ネットワーク・トラフィックの制御を強化し、ネットワークのパフォーマンスを向上させ、ネットワークのセキュリティを強化するデバイスです。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway は、IBM Cloud Virtual Private Cloud (VPC) ネットワークの接続と管理に役立ちます。
Fortigateセキュリティー・アプライアンス
2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。
ハードウェア・ファイアウォール
サービスを中断することなくオンデマンドでプロビジョニングされるセキュリティーの重要な層。
Fortigateセキュリティー・アプライアンス
2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。
ハードウェア・ファイアウォール
サービスを中断することなくオンデマンドでプロビジョニングされるセキュリティーの重要な層。
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloudサービスは、IBM Cloudサービス全体でアプリの暗号化された鍵をプロビジョニングして保管するのに役立ちます。これにより、データ暗号化と鍵のライフサイクル全体を1か所から確認および管理できます。
Security and Compliance Center - データ・セキュリティー・ブローカー - マネージャー
セキュリティーおよびコンプライアンスセンタースイートのセキュリティーソリューション。一元化された暗号化ポリシーと、さまざまなデータソースにわたるデータの監査を提供します。
IBM Cloud Hyper Protect Virtual Servers
完全に管理された機密コンピューティング・コンテナ・ランタイムであり、技術保証付きの高度に分離された環境で機密性の高いコンテナ化されたワークロードのデプロイメントを可能にします。
IBM Cloud Hardware Security Module
改ざん防止ハードウェア・デバイス内で暗号鍵をより安全に管理・処理・保管することで、暗号インフラを保護します。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloudストレージ・サービス
従来のワークロードとクラウドネイティブのワークロードをサポートしながら、スケーラブルでセキュリティが強化され、コスト効率の高いデータの保管場所。アクセス・オブジェクト、ブロック、ファイル・ストレージなどのサービスをプロビジョニングおよび導入します。
IBM Cloud Databasesサービス
インフラストラクチャーとデータベース・ソフトウェアの導入・更新やインフラストラクチャーの運用、バックアップなど、複雑で時間のかかるタスクから開発者とIT部門を解放します。
IBM Cloud Direct Link
IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway は、IBM Cloud Virtual Private Cloud (VPC) ネットワークの接続と管理に役立ちます。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloudサービスは、IBM Cloudサービス全体でアプリの暗号化された鍵をプロビジョニングして保管するのに役立ちます。これにより、データ暗号化と鍵のライフサイクル全体を1か所から確認および管理できます。
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。
IBM Cloud Direct Link
IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。
Fortigateセキュリティー・アプライアンス
2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloud Container Registry
完全に管理されたプライベート・レジストリーにコンテナ・イメージを保存し、分配します。プライベート・イメージをプッシュして、IBM Cloud Kubernetes Service やその他のランタイム環境で便利に実行できます。
IBM Cloud Continuous Delivery
エンタープライズ対応のDevOpsの採用。アプリの配信タスクをサポートするツールチェーンの作成。構築・テスト・導入などの自動化。
IBM Cloud Kubernetes Service
ネイティブKubernetesエクスペリエンスで、セキュアで可用性の高いアプリをデプロイしましょう。
IBM Cloud App ID
Webアプリやモバイル・アプリケーションに認証を簡単に追加できます。多要素認証やシングル・サインオンなどの高度なセキュリティー機能でアプリを強化します。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。
IBM Cloud App ID
Webアプリやモバイル・アプリケーションに認証を簡単に追加できます。多要素認証やシングル・サインオンなどの高度なセキュリティー機能でアプリを強化します。
IBM Cloud Secrets Manager
シークレットを動的に作成し、アプリケーションにリースしながら、単一の場所からアクセスを制御します。オープンソースのHashiCorp Vault上に構築されています。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。
IBM Cloudは、物理的セキュリティーを強化するために以下のような対策を採用しています。
- データセンター境界の物理的セキュリティー
- 出入口のアクセス制御とロギング
- 安全なオフィス、部屋、施設
- 外部脅威や環境脅威に対する保護
- 電源やネットワーク設備の冗長性
- デプロビジョニング中の設備の安全な廃棄
- オンボーディングやトレーニング、オフボーディングに関する企業の人事業務方針とセキュリティー
IBM Cloud Flow Logs for VPC
仮想プライベートクラウド(VPC)内のネットワーク・インターフェースとの間で送受信されるInternet Protocol(IP)トラフィックに関する情報の収集・保管・表示を実現します。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloud Logs
IBM Cloud Logsでログのオブザーバビリティーを高め、インフラストラクチャーとアプリの性能を向上させましょう。
IBM Cloud Monitoring
インフラストラクチャー、クラウド・サービス、アプリケーションのクラウド・モニタリングとトラブルシューティング
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM Cloud Logs
IBM Cloud Logsでログのオブザーバビリティーを高め、インフラストラクチャーとアプリの性能を向上させましょう。
IBM Cloud Monitoring
インフラストラクチャー、クラウド・サービス、アプリケーションのクラウド・モニタリングとトラブルシューティング
よくある質問
最新版のPCI DSS 4.0.1は2022年3月にリリースされました。これはカード会員データを保護するための12の要件を列挙しています。組織はコンプライアンスを達成するために、2025年3月31日までにこれらの要件を実装する必要があります。
ネットワーク・セキュリティー制御のインストールと保守
ネットワーク・セキュリティ制御(NSC)には、ファイアウォールや仮想デバイス、コンテナ・システム、クラウド・セキュリティー・システム、およびシステムやデータへのアクセスを制御するその他のテクノロジーが含まれる場合があります。
すべてのシステム・コンポーネントに安全な構成を適用する
ベンダーが提供するデフォルトのパスワードやその他のデフォルトのシステム設定は、サイバー攻撃に対して脆弱であるため、使用しないのが賢明です。
保管されているカード会員データを保護する
ビジネス上の必要性がない限り、組織はカード会員データを保管すべきではありません。保管する場合は、暗号化やマスキングその他の手段によって読み取り不能にする必要があります。
オープンなパブリック・ネットワーク経由での送信中に強力な暗号化を使用してカード会員データを保護する
ハッカーがカード番号や個人を特定できる情報(PII)などの機微情報にアクセスするのを阻止するには、パブリック・ネットワークの送信前や送信中にデータを暗号化する必要があります。
すべてのシステムとネットワークを悪意のあるソフトウェアから保護する
スパイウェアやキーロガー、ランサムウェア、スクリプトその他のウイルスなどのマルウェアに対するウイルス対策ソフトウェアやその他の防御を維持します。
安全なシステムとソフトウェアの開発と保守
組織は、アプリの開発時に最新のセキュリティー・パッチを適用し、安全なプラクティスに従うことで、データ侵害のリスクを最小限に抑えられます。
ビジネス上の必要に応じてシステム・コンポーネントとカード会員データへのアクセスを制限する
強力なアクセス制御手段により、承認済みユーザーには、ジョブの実行に必要なカード保有者情報のみが表示されるようにする必要があります。
ユーザー識別とシステム・コンポーネントへのアクセス認証
追跡可能な認証データを備えた一意のIDは、コンピューターから機微なシステムやデータにアクセスできるすべてのユーザーに割り当てられる必要があります。
カード会員データへの物理的なアクセス制限
権限のない人物がカード会員データを含むハードウェアやハードコピーを持ち出せないように、システムへの物理的なアクセスを制限する必要があります。
システム・コンポーネントとカード保有者データへのアクセスをすべてログに記録し、監視します
機微なシステムとデータのロギングと監視を自動化する機能は、不審なアクティビティーを検知し、侵害後のフォレンジック分析をサポートするのに役立ちます。
システムとネットワーク・セキュリティーを定期的にテストする
サイバー犯罪者は変化するIT環境における新たな脆弱性を常に探しているため、ペネトレーション・テストと脆弱性スキャンを定期的に実行する必要があります。
組織のポリシーとプログラムによる情報セキュリティーのサポート
組織は、リスクの特定と管理、継続的なセキュリティー・アウェアネスの教育プログラム、PCI DSS 4.0.1の遵守に関する手順を概説した包括的な情報セキュリティー・ポリシーを作成する必要があります。
PCI DSS 4.0.1に準拠する組織は、毎年準拠の状態を文書化する必要があります。 大規模な組織は、詳細なコンプライアンス報告書(ROC)ならびにコンプライアンス証明書(AOC)を提出する必要があります。ROCとAOCの文書は両方ともPCI標準セキュリティー評議会によって認定された認定セキュリティー評価者(QSA)が作成・署名する必要があります。中小規模の組織は、セルフアセスメント質問票(SAQ)の記入でコンプライアンス検証を行えます。
組織がインターネット経由でカード保有者データの送信を行う場合、安全なネットワークを維持するために脆弱性管理の実装も必要になる場合があります。コンプライアンスを達成するには、PCI SSCによって認定された承認済みスキャン・ベンダー(ASV)が四半期ごとに脆弱性スキャンを実行してネットワーク・セキュリティーをテストする必要があります。
PCI DSS 4.0.1の報告要件は、組織が年間処理する取引数に応じて異なります。コンプライアンスには4つのレベルがあります。
レベル1
年間ペイメントカード取引数600万件超。認定セキュリティー評価者が作成したコンプライアンスに関する報告書の提出が必要。認定スキャン・ベンダーによる四半期ごとのネットワーク脆弱性スキャンの実行が必要。
レベル2
年間ペイメントカード取引数100万から600万件。セルフアセスメント質問票(SAQ)の回答が必要。四半期ごとのネットワーク脆弱性スキャンの実行が必要になることもある。
レベル3
年間ペイメントカード取引数20,000〜100万件。セルフアセスメント質問票(SAQ)の回答が必要。四半期ごとのネットワーク脆弱性スキャンの実行が必要になることもある。
レベル4
年間カード取引件数20,000件未満。セルフアセスメント質問票(SAQ)の回答が必要。四半期ごとのネットワーク脆弱性スキャンの実行が必要になることもある。
加盟店およびペイメントサービスプロバイダーはPCI DSS 4.0.1に準拠することが義務付けられていますが、その準拠は、法律や官公庁・自治体、あるいはPCIセキュリティ基準審議会によって強制されるものではありません。その代わり、コンプライアンスは、VisaやMasterCardなどのクレジットカード会社と、カード支払いを処理する銀行や金融機関であるアクワイアラー(加盟店管理会社)によって管理されています。
カード会員データを処理または保管する組織は、年に一度、PCI DSS 4.0.1への準拠を検証する必要があります。組織が支払い処理を外部委託する場合でも、クレジットカード取引がPCI DSS 4.0.1基準要件に従って保護されていることを確認する必要があります。
PCI DSS 4.0.1違反に対する罰金は、ペイメントカード・ブランドによって設定され、ブランドや加盟店またはサービス・プロバイダー、ならびに影響を受ける銀行やその他の金融機関の間で交渉されます。ペイメントカード・ブランドは、罰金や手数料体系を公表しておらず、通常、ペナルティ情報を一般に公開していません。
経験則として、違反に対する罰金は、違反の最初の3か月間は5,000~10,000米ドル、違反が6か月間続いた後は1か月あたり50,000~100,000米ドルの範囲になります。データ侵害が発生した場合、不遵守の加盟店やサービス・プロバイダーには、顧客1人当たり50~90米ドル、最高50万米ドルの罰金が科される可能性があります。
ペイメントカード・ブランドは独自の裁量でさらに高額な罰金を課すことができ、組織のPCI DSS 4.0.1不遵守、特にデータ侵害につながる不遵守に対する最終交渉による罰金は、調査費用や官公庁・自治体からの請求、集団訴訟などの費用を賄うために数百万ドルから数億ドルにまで高騰する可能性があります。
罰金が発生するだけでなく、不遵守の組織はペイメントカード取引処理停止の処分を受けることがあります。
機微データの保護
カード会員データを含むデータ侵害の結果は深刻です。罰金や法的罰則、風評被害に加えて、組織は現在の顧客と潜在的な顧客の両方を失う可能性があります。PCI DSS 4.0.1の要件は、機密データの盗難を防ぐのに役立ちます。
顧客の信頼の向上
詐欺や個人情報盗難が頻繁にニュースになるため、消費者は機密のクレジットカード情報を小売業者に提供することに消極的になることがあります。PCI DSS 4.0.1コンプライアンスにより、顧客は自分のデータが保護されていると信頼できるようになり、より安心して購入できるようになります。
より広範な規制コンプライアンスのサポート
PCI DSS 4.0.1は法的義務ではありませんが、PCI DSS 4.0.1が実施するセキュリティー管理は、組織が官公庁・自治体の規制に準拠する上で有用です。PCI DSS 4.0.1の一部は、1996年の医療保険の相互運用性と説明責任に関する法律(HIPAA法)やサーベンス・オクスリー法(SOX)、一般データ保護規則 (GDPR)などのデータ保護法を補完するものです。
ハイブリッド・マルチクラウド環境全体で統合セキュリティー、コンプライアンス、リスクの可視化に取り組みます。
安全でスケーラブルなインフラストラクチャーを低コストで構築しましょう。新しいアプリケーションを即座にデプロイし、需要に応じてミッションクリティカルなワークロードや機微なワークロードをスケールアップします。これらはすべて、セキュリティーが強化されたプラットフォーム内で行われます。
データ侵害においては、ランサムウェアによる身代金請求や情報漏洩による被害コストを増減させる要因を自分ごと化して理解することが、侵害に対する備えを強化するために重要です。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。
PII(個人を特定できる情報)は、社会保障番号や氏名、電子メール・アドレスなど、個人の身元を明らかにするために使用可能なあらゆる情報を指します。
ネットワーク・セキュリティーは、コンピューター・ネットワークをサイバー脅威から保護することに焦点を当てた、サイバーセキュリティーの分野です。