Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

PCI DSS v4は来年リリース予定

私の専門分野でもあるので少し書かせて下さい。PCI DSSv4はどうやら来年リリースの様です。

blog.pcisecuritystandards.org

 

 PCI DSS v4.0は、2020年末までにリリースされる予定はありません。リリースの具体的な時期は、開発期間中に寄せられたフィードバックに依存しています。PCI SSCは、ステークホルダーにプロセス全体のタイミングに関する最新情報を提供します。

PCI SSCブログ記事より引用)※機械翻訳

 

◆キタきつねの所感

金融関係の方以外はあまり興味が無い記事かと思いますが、関係する方々にとってはインパクトがある情報かも知れませんので、参考までに記事を書きます。

 

まずは肝心のv4(改訂版)のリリース時期に関してですが、2020年後半( late 2020)となる様です。上記機械翻訳では年末と訳していますが、英文では「late」が使われていますので、2020年11月~12月頃にリリースされる予定で進んでいるのではないかと思います。

現在のPCI DSSの最新バージョンは3.2.1ですが、バージョン4にメジャーバージョンアップされる内容について、基本12コア(要件)の構成は変わらない様です。

PCI DSS v4.0の目標

12コアPCI DSS要件は、PCI DSS v4.0では基本的に変更されないと考えられています。これらは依然としてペイメントカードデータを保護するための重要な基盤であるためです。 ただし、受け取ったフィードバックに基づいて、PCI SSCは、テクノロジの変化、リスク軽減のテクニック、および脅威の展望に対応するために標準をどのように進化させるかを評価しています。

PCI SSCブログ記事より引用)※機械翻訳

 

詳細についての変更は、まだドラフト版も出ていませんので現在の検討状況という事でしかありませんが、以下のポイントが要件に入ってくる可能性が高い様です。

PCI DSS v4.0は、2017年のRequest for comments(RFC)期間中に、世界のPCI SSC関係者から寄せられた意見を取り入れます。関係者がPCI SSCにレビューを依頼した具体的な分野には、次のものがあります。

・認証、特にNIST MFA /パスワードガイダンスの検討
信頼できるネットワーク上のカード会員データを暗号化するためのより広い適用性
・技術の進歩を考慮するための監視要件
・重要な統制のテスト頻度が高い。例えば、Designated Entities Supplemental Validation(PCI DSS付録A3)からのいくつかの要件を通常のPCI SS要件に組み込むこと。

PCI SSCブログ記事より引用)※機械翻訳

 

1番上は、NISTのパスワード要件、例えばパスワードの定期的変更が必須でなくなった部分などがPCI DSSに入ってくる様な内容だと思います。

2番目は、境界線での暗号化の適用性を指している様ですが、この文言だけだと、詳細はよく分かりません。(何となくですが)信頼できないネットワークからのデータ授受に関しての暗号化要求かな?と想像しますが・・・

3番目は、監視要件についての緩和策(代替コントロールの要件許容)だと思いました。監視に関わるセキュリティ技術として良いものが出てきているので、それを代替コントロールではなく、通常要件として認めてしまう様な、例示であったり要件文言の変更を意味しているのかな?と想像します。

最後が現在の最新バージョンPCI DSSv3.2.1の付録A3にある、指定事業者向けの要件の一部を一般要件化してしまう(※注:要件が厳しくなるという意味になります)事を指している様です。日常業務としてのPCIDSS(BAU)であったり、セキュリティ対策のPDCA(年1回の評価)なども書かれているのですが、

規定化されると大変そうな部分では、A3.2.1の四半期毎のCDE、ネットワーク、コンポーネントの棚卸しA3.2.2の変更管理A3.2.4セグメンテーションの6ヶ月毎チェックが要件に入ってくるとすると要注意かも知れません。

 

今年中にはもう少し詳細な変更(要件検討中)ポイントが出てくるのではないかと勝手に想像しますが、いずれにせよ、ドラフト版待ちするしか無いかなと思います。

 

 

æ±äº¬ãªãªã³ããã¯ã®ã¤ã©ã¹ãæå­ãTOKYO OLYMPIC 2020ã

 

更新履歴

  • 2019年3月17日AM(予約投稿)