PCI DSSv4.0を読む⑫ 要件9の変更概要

PCI DSSv4.0が3月31日（日本時間の4月1日）にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。

5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い453ページの”大作”となっており、中々細部まで読むのが大変な基準書となっていますが、PCI DSSの専門家を自負している1人として、個人的な感想を交えて何回かに分けてv4.0について記事を書ければと思います。

要件9：カード会員データへの物理アクセスを制限する

要件9は物理セキュリティについての内容となりますが、今回のv4.0改訂によって対象となる施設内のエリアが、機密エリア、カード会員データ環境（CDE）、一般エリアの3つに区別されて書かれており、v3.2.1より分かりやすくなった印象があります。

要件9における新要件は2つです。

最初は9.1.2です。他の章と同様に「役割と責任」に関する要件が新規追加されています。他の章と同様に、文書化要求がありますので留意下さい。

2つ目の新要件は9.5.1.2.1です。POI端末の検査頻度に関してターゲットリスク分析で定義する為の新要件となりますので、POI端末とはPoint Of Interaction Terminalの略ですが、PCI DSSで言うPOI端末は、PCI PTS POI Terminal、つまり決済端末のPIN入力を行う端末を指します。

POI端末の検査頻度は、日本ではあまり”聞いた事がない”事からも分かる様に、国による違いもありますし、その端末が施設のどこに設置されているか、有人監視環境にあるのか、といった運用条件によってもリスクが変化するので、きちんとリスクを分析して自組織で検査頻度を決めて良いという新規定になっています。

尚、新要件とはなっていますが、POI端末を利用していない多くのPCI DSS準拠企業ではNAとなるものです。

※未来日付（2025年3月31日まではベストプラクティス）の規定です

PCI DSSで機密認証データとして厳重な管理が求められているPIN（暗証番号）情報も取り扱われるだけでなく、POI端末によってはICカードや磁気カードがスワイプされたり、挿入されて、カード情報とPIN情報が取り扱われる場所となる事から、不正な機器のが取り付けられていないかを一定頻度で確認する事がPCI DSSでは求めています。

※POT端末自体のセキュリティはPCI PTS POIで確認されますが、カード情報を窃取するスキミング機器は、POI端末に不正接続される事が一般的なので、不正機器が取り付けられた様な怪しい兆候が無いかを確認する事となっています。

言葉で書いてもイメージが湧きにくいかと思いますので、下記の海外ニュース映像を（必要な方は）ご覧ください。最近は本物そっくりの機器が多いのでレジ担当教育を実施する組織では、下記の様な映像を見せる事も有効かと思います。

www.youtube.com