PCI DSSv4.0を読む② v4.0の印象とタイムスケジュール

PCI DSSv4.0が3月31日（日本時間の4月1日）にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。

この記事を書いている時点では、まだ日本語版が出ていないので、v4.0基準に目を通されていない方も多いかと思いますが、英語版で356ページにも及ぶ基準書となりますので、PCI DSSの専門家を自負している1人として、個人的な感想を交えて何回かに分けてv4.0について記事を書ければと思います。

PCI DSSv4.0の印象

前回は昔話を書いただけで終わってしまったので、今回はもう少しv4.0について書ければと思いますが、まず私がv4.0基準を見て感じたの（ファーストインプレッション）が何だったのかと言えば、

・なかなか12要件にたどり着かない

という事に尽きます。

ページ数が多くなるとは事前にPCI SSCから聞いてはいたのですが、v4.0の英語版をダウンロードされた方は300ページを超える資料を見て、そっとファイルを閉じたくなった方も多かったのではないでしょうか。

PCI DSS基準の文章構成は、最初に前段部分（適用性情報や適応範囲等々・・・）があって、その後に具体的な12要件（※下記参考）という順に書かれているのですが、なかなかここまでたどり着きません。

v3.2.1は12要件の最初は20ページから始まっているのですが、

v4.0では、39ページ（※英語版では）からとなっています。

これだけで読む気を無くす方もいるかも知れませんが、実はv3.2.1に比べて圧倒的に良い点があります。それが、

・丁寧な解説が加わった

という点です。PCI DSSではスコープ（保護対象範囲）というのが非常に重要になりますが、インスコープ（対象内）とアウトオブスコープ（対象外）を間違えてしまうと、インシデントのリスクが高まるのみならず、実施審査でも指摘を受けて追加対応しなければならないという事も考えられます。

恐らく、この8年間にPCI SSCに対して、こうした質問が数多く寄せられてきていた事を受けての追加だと思いますが、v4.0では例えばスコープの考え方について補足図が挟まれていてスコープを理解する助けとなっています。

もう１つ特筆すべきなのが、タイムフレーム用語の定義です。

v3.2.1では例えば『四半期ごと(Quarterly)』という表現と、90日(90 days)という表現が混在していました。どちらも”ほぼ3か月”である事は間違いないのですが、2月は日数が少ないけどどう考えるのか？閏年はどうするのか？といった疑問を生じやすい表記でした。

他にも、『毎日（Daily)』は、営業日でない日も含むのか？といった、文字表現上では読み取れない曖昧な表現となっていましたが、今回用語解説が加わり、FAQSでの確認や、PCI SSCに英語で質問をしなくても良くなりました。

用語に関連する部分で言えば、巻末（Appendix G）にｖ3.2.1では別資料となっていた用語集が基準書の中に取り入れられました。

用語集だけで13ページありましたので、これもページ数が増えた要因の１つですが、要件の説明の仕方が丁寧になった事が、資料のボリュームが倍増した主な理由かと思います。

ページ数が増えたのは必ずしも悪い面（≒読むのが面倒な点）ばかりではなく、規定部分で見ても、新たに概念が加わった『カスタマイズドアプローチ』の目的に対する記述だけでなく、ガイダンス部分がより丁寧に書かれていますので、各々の規定が意図している内容を掴みやすくなったと思います。

下の規定部分で見ると、右側の『Guidance（ガイダンス）』は規定の補足部分となりますが、規定の目的、良事例（こんな良いやり方がありますよ）、定義、サンプルと、分かれて解説されており、技術的、専門的な用語が多い基準書を、ステークホルダーに理解させようというPCI SSCの意図（規定の明確化）を強く感じます。

詳細解説集が出ている訳ではないので、新基準の各々の規定の意図を読み解いて組織がv4.0対応を準備するには（これでもまだ）色々と問題が出てくるとは思いますが、規定の解釈が”QSAと違う”といった『不幸な事故』が発生する確率は以前に比べて格段に下がるのではないかと思います。

PCI DSSv4.0の実施タイムライン

PCI SSCの井原様がJCDSCの講演で使われた資料を引用しますが、タイムラインは『v4.0リリース』が確定情報になった事、及び期限付きの規定に対する猶予期限（現時点で最良事例であり、審査では項目準拠していなくても問題はない）が~2025年3月31日までと確定した他は、特に目新しい点はありません。

※余談ですが、PCI SSC資料における『未来日付』（右上の青枠）の表現が間違ってそうな事に気づきました。恐らく2025年4月1日から要件が有効になる、が正しいかと思います。

v4.0基準書の日本語版リリースについては、近々（4月末頃）の様ですが、ｖ3.2.1が引退するまで約2年間の猶予期間がある事になります。しかし、新要件が64（内2025年3月31日までの猶予期限付きは51要件）ある事を考えると、対応には一定の時間がかかるものが含まれてくると思いますので、まずは新要件を中心に早めに自組織のGAP分析に着手する（v4.0対応する為に何が足りなそうなのか当たりをつける）事が肝要かと思います。

PCI DSSv4.0の準拠審査に関しては、まだQSA（審査会社）も対応できない状況で、PCI SSCからQSA（ISA)がトレーニング提供されるのが、2022年6月予定となっていますので、それ以降の実施審査が最短となります。

『国内初のv4.0準拠認定！』といったリリースを出す事を狙っている国内企業がどれだけある・・のかは疑問ですが、準備などを考えると最初の”リリース”を見る事になるのは2023年になるのではないかと個人的には想像しています。

こうした新しいPCI DSS規定に準拠する上では『Prioritized Approach Tool』といったサポート文書を利用する事が有効と言われていますが、ｖ4.0のサポート文書はまだリリースされておらず、英語版でも6月リリース予定となっています。

※日本語版が出てくるのはおそらく夏頃かと思います。