Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

PCI DSSv4.0を読む① v3.0リリースの頃を振り返る

PCI DSS

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。

この記事を書いている時点では、まだ日本語版が出ていないので、v4.0基準に目を通されていない方も多いかと思いますが、英語版356ページにも及ぶ基準書となりますので、PCI DSSの専門家を自負している1人として、個人的な感想を交えて何回かに分けてv4.0について記事を書ければと思います。

 

PCI DSSv3.0がリリースされた頃(2013年)

昔話で恐縮ですが、v3.0がリリースされる少し前、2013年9月に、私はLas VegasでPCI SSCが主催するコミュニティミーティングに出席していました。

 

この頃は3年に1回のメジャーバージョンアップのサイクルになっていたので、2013年中にはPCI DSSv3.0がリリースされる事は確実でした。

そんな中、新基準の概要が最初に発表される北米(Las Vegas)のコミュニティミーティングは”リリースイヤー”として大きな注目を集めていました。

 

場所はラスベガスでも有名な高級ホテルに併設された、全米で5番目の大きさを誇る”Mandalay Bay Convention Center”の巨大な会議場で、この年は1,300人以上が集まったと聞きましたが、日本からの参加者はQSAの方が数名いましたが、それほど多くはありませんでした。

※カードブランドの方を除いて、合計でも10人は居なかったと思います

※会場だったこのホテルは、多くの大型イベントで使われるので行かれた方も多いかと思いますが、2018年には怖い事件も発生した所なのでそちらのイメージが強い方も多いかも知れません。

 

もう”時効”だと思うので書いてしまうと、この時、実は海外出張ではなく、海外旅行の立場(自費で)この会議に出席していました。

PCI DSSv3.0のメジャーバージョンアップという事もあり、最新情報を聞きたいと出張を当時の上長に掛け合ったのですが、当時PCI DSSの分野でビジネス実績を上げていた訳でもなかった事もあり、海外出張申請が”遊びではない”という一言で却下されたのは苦い思い出です。

 

仕方が無いので、有給休暇を使いラスベガスに”遊びに行った”のですが、北米のコミュニティミーティングならではと言うべきか、1000人を超える聴衆がお祭りの様な熱気でv3.0関連の発表を聞きいっている空気感は、日本に居ては味わえない貴重な経験だった気がします。

※当時現地でお会いした日本人の方とはその後も交流がありますので、当時の”投資”は決して無駄では無かったと思います。

 

因みにv3.0の改訂ポイントは、

 1)教育と気づき(Education and Awareness)

 2)柔軟性の拡大(Increased Flexibility)

 3)セキュリティは責任分担(Security as a Shared Responsibility)

と説明されていました。

 

当時のメモを見返してみると、もう1つ頷けるフレーズが書かれていました。

 

PCI DSSはゴールではなく羅針盤

 

PCI DSSv3.0の重要なコンセプトだった、Business as Usualに関連してのフレーズだと思います。

※意訳すると、年1回の実地審査の時にだけ参照するセキュリティ基準ではなく、日常業務におけるセキュリティの指針にすべき、という感じでしょうか。

 

当時のセミナー写真(スクリーンが遠く、画質が悪くなってますがお許し下さい)がいくつか出てきたので貼ってみます。

 

良い”格言”ばかりですが、驚いたのがTIP #4 「Trust but Verify(信ぜよ、されど確認せよ)」・・・・これは、ゼロトラストの考え方そのままです。

※ゼロトラストがForester Research社(当時)のJohn Kindervag氏によって提唱されたのが2009年~2010年と言われていますので、時系列的には不思議ではないのですが、ゼロトラストの概念をこの当時触れていたのは(今思うと)先進性があったと思います。

 


今回はほぼv4.0の中身に触れずに終わってしまいましたが、次回はもう少しv4.0の中身について書ければと思います。

 

PCI DSSv4.0を読む シリーズ

 PCI DSSv4.0を読む① v3.0リリースの頃を振り返る

 PCI DSSv4.0を読む② v4.0の印象とタイムスケジュール

 PCI DSSv4.0を読む③ カスタマイズドアプローチ

 PCI DSSv4.0を読む④ 要件1の変更概要

 PCI DSSv4.0を読む⑤ 要件2の変更概要

 PCI DSSv4.0を読む⑥ 要件3の変更概要

 PCI DSSv4.0を読む⑦ 要件4の変更概要

 PCI DSSv4.0を読む⑧ 要件5の変更概要

 PCI DSSv4.0を読む⑨ 要件6の変更概要

 PCI DSSv4.0を読む➉ 要件7の変更概要

 PCI DSSv4.0を読む⑪ 要件8の変更概要

 PCI DSSv4.0を読む⑫ 要件9の変更概要

 PCI DSSv4.0を読む⑬ 要件10の変更概要

 PCI DSSv4.0を読む⑭ 要件11の変更概要

 PCI DSSv4.0を読む⑮ 要件12の変更概要

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

更新履歴

  • 2022年4月26日 PM