Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

PCI DSS v4がやってくる

PCI DSSv4は来年年度末あたりにリリース予定ですが、新仕様についての情報が一部出てきています。

blog.pcisecuritystandards.org

 

 

◆キタきつねの所感

PCI DSSなんて一部の人が準拠している規格ではないか?と(=あまり関係が無いと)思われる方は多いかと思います。事実、日本の実行計画ではPCI DSSよりもカード情報非保持の方に完全にウェイトが置かれてしまったので、この規格をあまり日本市場では理解しない金融、ECサイト関係の方が多いかも知れません。

PCI DSSは私の専門分野の1つなので、ちょっと我慢して読んで頂ければと思いますが、セキュリティの仕様の中で、(比較的)規定がわかりやすく定義されており、金融業界のみならず他業界でセキュリティ実装を検討する際に参考になる所が多いので、こうした国際基準の変更というのは、少なくても何が変わった(=強化された)のかを理解しておいて悪いことはないかと思います。

 

来年末に最新版(v4)がリリースされるのに、今、何で騒いでいるの?と疑問に思われる方も多いかも知れません。実は10月中に最初のドラフト版が出てくる予定なのです。9月17日~19日にカナダのバンクーバーで北米のコミュニティミーティング(国際会議)が開かれ、そして今月は欧州のコミュニティミーティングがアイルランドのダブリン(10月22日~24日)で、最後はアジア太平洋が、オーストラリアのメルボルン(11月20日~21日)で開催予定と、ちょうどPCI系の大きな国際会議が3カ月に渡り開催されるシーズンとなっており、その会議のメイントピックスの1つが新バージョン(v4)となっており、これから関係者レビューが本格化します。

events.pcisecuritystandards.org

 

前置きが長くなりましたが、新バージョン(v4)のドラフトについて、PCI SSCのブログ記事が出てましたので、そのポイントを拾い出してみます。

PCI DSS v4.0のドラフトは、2017 RFCの間に受け取ったフィードバックに対応し、支払い環境とセキュリティテクノロジーの変更を反映しています。標準に加えられた更新は、セキュリティの強化と柔軟性の追加に重点を置いています

12のコアPCI DSS要件は基本的に同じままですが、支払いデータに対する進化するリスクと脅威に対処し、継続的なプロセスとしてセキュリティを強化するために、いくつかの新しい要件が提案されています。さらに、すべての要件が再設計されてセキュリティ目標に焦点が当てられ、PCI DSS要件の意図を満たすためにさまざまな方法論を使用する組織により柔軟性を与える新しい検証オプションがあります。

PCI SSCブログ記事より引用)※機械翻訳

 

基本的な構成(12要件)は変わらない様です。とは言え、すべての要件が再設計‥と言う部分は気になります。PCI DSS要件は過去のv3改訂では「要件の明確化」が結構あり、より分かりやすく・・という意図が強く出て、面倒な新要件が少なくて影響が少なかった事業者も多かったのですが、、今回のv4で、新要件(要件を満たすのが面倒な規定)がどの位あるかが気になる所です。

 

新しい検証オプションに関しては、

3.この新しい結果ベースのアプローチをサポートする新しい検証オプションは何ですか?これは、代替コントロールとどのように違いますか?

Emma Sutcliffe:まず、PCI DSSを検証するための従来の方法はバージョン4.0で廃止されないことに注意することが重要です。前述のPCI DSS要件を満たし、PCI DSS要件がどのように満たされているかを検証する現在の方法に慣れているコントロールを備えたエンティティは、このアプローチを引き続き使用できます

新しい検証オプションにより、組織は、各PCI DSS要件のセキュリティの目的をどのように満たしているかを示すために、カスタマイズされたアプローチをとる柔軟性を得ることができますこのカスタマイズされたアプローチは、従来のPCI DSS要件とは異なるセキュリティアプローチを使用する組織をサポートします。

(中略)

カスタマイズされた検証は、組織がPCI DSS要件の意図を満たす方法を異なる方法で実証するためのメカニズムとして設計された、代替コントロールの自然な進化です。代替コントロールとは異なり、要件は結果ベースになるため、カスタマイズされた検証では、代替方法を使用して要件を満たすためのビジネス上または技術上の正当化は必要ありません。

PCI SSCブログ記事より引用)※機械翻訳

 

にどうやら、PCI DSS基準の規定条項に合っているかどうかを確認する方法に対して柔軟性がある解釈ができそうなのかなと読みました。その上で、従来の方法が廃止されない(今まで通りの対策で良い)という部分が明示されたのは、良かったと思います。

PCI DSS準拠(規定適合)に対して、従来のやり方でも良いし、新たに提示される方法で要件を満たしても良いと言う意味だと思われますので、色々なセキュリティ実装の方法があり、従来は代替コントロールとして確認されていた部分が代替と考えなくても良くなったと解釈できるかな?と・・・まぁ、ドラフト読んでない中で、確かな事ではないのですが、そう感じました。

 

4.支払いデータに対する進化するリスクと脅威に対処するための新しい要件と改訂された要件にはどのようなものがありますか

エマ・サトクリフ:前に述べたように、今後のRFCでは、ドラフト標準には多くの提案された新しい要件と改訂された要件が含まれます。レビューとフィードバックのための標準のドラフトを共有するのはこれが初めてであり、これらのドラフトの変更に関する意見を提供するために、利害関係者に本当に期待しています。

提案された新しい要件の一部の例には、組織がPCI DSSの範囲を検証するための要件や、サービスプロバイダーの追加要件が含まれます。また、さまざまな認証オプションに対応するためのパスワード要件の改訂案、およびリスク管理プロセスに関する組織により明確でガイダンスを提供するためのリスク評価要件の更新も提案されています。

PCI SSCブログ記事より引用)※機械翻訳

 

範囲(スコープ)を検証する要件、、、PCI DSSのスコープを定める所は企業(準拠)側と審査(QSA)側でずれが出る、あるいは企業側が範囲を誤解する事が多いので、そこを明確にする為に要件追加されるのかと思います。サービスプロバイダーは・・最近はMSPも襲われていますし、クラウド等といった考え方がより一般的になってきましたので、強化される方向は仕方がないかと思います。

 

パスワードオプションは、NISTのパスワードの定期変更などの要件に合わせるかどうか・・・という改訂検討だと思います。

 

※下記参考まで

foxsecurity.hatenablog.com

 

 

クラウド等の新(し目な)技術に関しては、、、

5.バージョン4.0はクラウドに対応しますか?

Emma Sutcliffe: PCI DSSは常に技術中立であり、その要件はあらゆるタイプの環境に適用され、使用されている技術をサポートすることを目的としています。PCI DSS v4.0のドラフトは、要件の表現に柔軟性を導入し、意図のステートメントを追加することにより、クラウドなどのさまざまなテクノロジーの使用をさらにサポートします

この標準は、クラウド環境を含む特定のテクノロジーPCI DSSを適用するためのガイダンスと考慮事項を提供する情報補足によってもサポートされています。これらの補足情報からのガイダンスは、ドラフトに含める可能性があるかどうか検討中です。また、付録A1のドラフトは、クラウドプロバイダーの役割と期待を明確にするためにレビューされています。

PCI SSCブログ記事より引用)※機械翻訳

 

新基準において明確な形では表現されない様ですが、規定対象としては包含されるとPCI SSCは考えている様です。情報補足(サプリメント)が規定に昇格される事は無いのかなと思います。

PCI DSSは数年の間「スタンダード」として利用される特性上、技術、セキュリティ対策、脆弱性がまだまだ日々議論され続けているクラウドを基準に入れるのは、まだリスクがあると判断したのかも知れませんが。

 

諸々の影響がある国際セキュリティ基準の改訂の方向性については引き続きウォッチしていければと思います。

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

f:id:foxcafelate:20191005191820p:plain


 

更新履歴

  • 2019年10月5日PM(予約投稿)