PCI DSSv4.0を読む⑦ 要件4の変更概要

PCI DSSv4.0が3月31日（日本時間の4月1日）にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。

5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い453ページの”大作”となっており、中々細部まで読むのが大変な基準書となっていますが、PCI DSSの専門家を自負している1人として、個人的な感想を交えて何回かに分けてv4.0について記事を書ければと思います。

※①~④までの記事は英語版をベースに機械翻訳をしたものでしたので、日本語表現が正式版とは少し違っているかと思います。記事修正は少しまとまった時間が取れた際に実施予定です。

要件4：オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する

まず要件タイトルですが、改訂のポイント資料を見ると、これはカード会員データを送信時の「強力な暗号」について焦点を当てる為に修正が入った様です。

v3.2.1がどう書かれていたかと言うと、「オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する」と書かれている要素だけ見るとあまり変更が無い様に思えますが、ただ暗号化すれば良いと言うのではなく、暗号化の目的が「カードデータ保護」にある事がより明確化された気がします。

要件4での新規要件は3つあります。最初の要件が、4.1.2で「役割と責任」が各要件単位で書かれている事が分かります。要件4の場合、データ伝送の担当者、あるいは伝送の鍵を保持する担当者等の役割と責任を文章に明記し、担当者がそれを理解している事を、例えば誓約書を提出させるといった事が求められています。

※裏を返せば、v3.2.1以前では各要件レベルでの「役割と責任」が不明瞭であり、それがカード情報保護に影響を与える事例が多数出たとも考えられます。

2つ目の新要件は、4.2.1です。新たに追加されたのはカード情報をインターネット等の公共ネットワークで伝送時に証明書を利用する場合に、有効な証明書が使われ失効していない事です。

極めて当たり前の事が書かれている様に思えるのですが、v3.2.1（上記右）では良く読むと”明確には”書かれていません。好意的にv3.2.1見ると、”信頼できる証明書”と読めるので、ここに有効期限や非失効が含まれていると解釈できそうですが、今回v4.0で新たに書き加えられたという事は、証明書で「ミスする組織が多い」という事を踏まえて、改めて要求してきたと言えそうです。

通信の暗号化における脆弱性は、時に大きなインシデントに繋がるモノが報告される事もあり、情報の入手が遅れる事によって「強力な暗号化」ではなくなり危険な状態が長く続く事が懸念されます。要件4.1.2にもある様に、自組織の通信の暗号化技術に関して担当を明確にして情報を管理させ、こうしたリスクを最小限に抑える事が重要なのかと思います。

※QualysのSSL Server TEST等の無料のテストツールでも、BEAST/Poodleといった気づいてない脆弱性を把握できる可能性もありますので、有効に活用される事をお勧めします。

◆SSL TESTレポート例（一部抜粋）