PCI DSS v4.0.1、最新バージョンへの準備をしよう

Payment Card Industry Data Security Standard(PCI DSS)の最新バージョン、v4.0.1 への準拠期限が刻一刻と迫っている。2025年3月31日だ。準備はできているだろうか？

PCI DSS v4.0.1 の変更点について理解する

v4.0 と比較して、v4.0.1 は実際には非常に小さな変更だ。v4.0.1 は、以前のバージョンと比較して、主にマイナーな更新や明確化に対応している。この最新バージョンは、既存の要件をより簡単に理解できるように設計され、意図されている。

しかし、v4.0 と v4.0.1 のどちらも、PCI DSS の以前のバージョンから大幅な変更となっている。特にアプリケーションセキュリティ(AppSec)に関してはそうだ。以前は、組織は PCI DSS に準拠するために特定のツールや技術を必要としていたが、もはやそうではない。

例えば、以前のバージョンの PCI DSS では、要件 6.6 で、組織は「ウェブアプリケーションを攻撃から保護するためにウェブアプリケーションファイアウォール(WAF)を実装しなければならない」と述べていた。しかし、この特定の要件は廃止され、最新バージョンの PCI DSS では特定の技術は要求されなくなった。

比較として、PCI DSS の最新バージョンにおける要件 6 (セキュアなシステムとソフトウェアの開発と保守)と要件 11(システムとネットワークのセキュリティの定期的なテスト)は以下の通りだ。

• 6.2: カスタムソフトウェアは安全に開発する。
• 6.3: セキュリティの脆弱性を特定し、対処する。
• 6.4: 外部に公開されているウェブアプリケーションを攻撃から保護する。  
• 6.5: すべてのシステムコンポーネントへの変更を安全に管理する。
• 11.3: 外部および内部の脆弱性を定期的に特定し、優先順位を付け、対処する。
• 11.4: 外部および内部の侵入テストを定期的に実施し、悪用可能な脆弱性とセキュリティの弱点を修正する。 

PCI DSS のようなコンプライアンス基準がツールに対処する方法

PCI は NIST CSF 2.0 のような他の主要な標準やフレームワークと整合している。特定のツールや技術を導入することよりも、可能な限り最高のセキュリティ体制を確保することが重要なのだ。

この変化は注目に値する。そして、おそらく長い間待ち望まれていたものだ。一部の企業は、WAF や静的アプリケーションセキュリティテスト(SAST)スキャナーのような特定の技術がコンプライアンスに必要であると誤解している。しかしもはやそうではない。実際、これらの従来の技術は、コンプライアンスを阻害し、最新の PCI DSS 標準の一部を満たすことをより困難にしている可能性がある。最近の基準まではチェックボックス的な考え方で書かれていたが、今日のコンプライアンスはプロセスと結果に重点を置いている。

PCI DSS コンプライアンスの重要性

PCI DSS への準拠は、欧州連合のデジタル運用レジリエンス法(EU DORA)のように法律で義務付けられているわけではないが、クレジットカードデータを電子的に保存、処理、または送信する組織は、PCI DSS に準拠する必要がある。VISA、MasterCard、Discover、American Express、JCB のいずれかと支払い方法で関わっている組織は、PCI DSS に準拠する必要がある。

PCI DSS への準拠を維持するのは、考えているよりも簡単だ。
その方法を示す。

そして、コンプライアンス違反に対する罰則は厳しい。VISA によると、コントロールを実装しなかったり、セキュリティ体制を報告しなかったりした場合、毎月約 1,000 ドルから 50,000 ドルの罰金が科せられる可能性がある。また、コンプライアンス違反の組織は、カード会員データ 1 件あたり 50 ドルから 90 ドルの罰金に直面する可能性がある。

PCI DSS コンプライアンスを確保するための AppSec の改善

Contrast AST や Contrast Application Detection and Response(ADR)などの、継続的な監視と自動化された脆弱性検出および防御を提供するソリューションは、PCI DSS コンプライアンスプログラムの非常に効果的なコンポーネントとなり得る。実際、これらのソリューションは、アプリケーションを評価および保護するための従来のアプローチの一部に取って代わるために使用される可能性がある。例えば、以下のようなものがある。

• Contrast AST は、ライフサイクルの初期段階で問題を特定し、修復パスを提供することで、セキュアなコードの開発に役立つ。
• Contrast ADR を使用すると、従来のソフトウェアセキュリティアプローチ単独で提供されるものよりも高い忠実度で、サポートされているソフトウェアを保護できる。

Contrast は、PCI DSS の技術的要件とプロセス要件の両方に対応することで、企業が PCI 標準を正面から満たすのに役立つ一連の機能を提供する。共通のプラットフォーム内でアプリケーション、API、オープンソースライブラリ全体にわたる業界をリードするセキュアなコードカバレッジを接続することにより、Contrast Security は、より多くの情報に基づいたセキュリティポリシーの決定、高度な脅威検出、および利害関係者とのコミュニケーションのための運用シフトを可能にする独自の地位を築いている。

PCI DSS の詳細については、PCI コンプライアンスに関する用語集のエントリを参照する。

Read more:

• 用語集: What is PCI compliance?
• Contrast ブログ: Staying Compliant with PCI DSS Can Be Easier Than You Think
• Contrast ブログ: Coalfire PCI Compliance & Contrast Security
• Contrast ブログ: What You Need to Know About the New IAST and RASP Guidelines in NIST 800-53
• Contrast ブログ: Don’t Panic: Insecure Libraries Are Not the Apocalypse