2010/10/292010 PCI SSC Community Meeting レポート <第2回>
■基準改定のライフサイクルが「3年」に変更基準のメジャーバージョンアップが2年から3年に変更されることは事前に知っていましたが、今回のミーティングではその背景を知ることができました。
変更に至った理由の1つとして、加盟店などからPCI SSCに対して寄せられるフィードバックに、ライフサイクルを長くしてほしいとのリクエストが多々あったそうです。やはり、準拠する側としては、短いスパンで基準が変更されると、新バージョンへの対応タスクが発生する可能性も増えるため、切実な要望と判断してSSCも動いたということでしょうか。
ミーティングでは、PCI SSC側から、”PCIの基準に関わっている企業のフィードバックがとにかく必要だ”と繰り返し発言されていました。残念ながら、日本企業からのフィードバックはまだ無いとのことでしたので、納得いかない点や困っていることなどあるようでしたら、進んでリクエストしましょう!
■SIG(Special Interest Group)の活動報告
SIGとは、PCI SSCが認定・確立した調査チームであり、現在以下のトピックについて調査や議論などが行われています。
Pre-Authorization(承認前の処理)
Virtualization(仮想化)
Scoping(スコーピング-対象範囲の特定)
上記のSIGで作成された調査報告書は、PCI SSC側で承認された後、ホワイトペーパーなどの形式でPCIの基準に反映されます。そのため、SIGに参加しているとその技術における議論やトレンドなどの情報を収集できます。
SIGには、PO(Participating Organization)であれば誰でも参加することができます。ご興味のある方は、以下にご連絡の上、参加されてみてはいかがでしょうか。
SIG E-mail: sigs@pcisecuritystandards.org
SIGとは、PCI SSCが認定・確立した調査チームであり、現在以下のトピックについて調査や議論などが行われています。
Pre-Authorization(承認前の処理)
Virtualization(仮想化)
Scoping(スコーピング-対象範囲の特定)
上記のSIGで作成された調査報告書は、PCI SSC側で承認された後、ホワイトペーパーなどの形式でPCIの基準に反映されます。そのため、SIGに参加しているとその技術における議論やトレンドなどの情報を収集できます。
SIGには、PO(Participating Organization)であれば誰でも参加することができます。ご興味のある方は、以下にご連絡の上、参加されてみてはいかがでしょうか。
SIG E-mail: sigs@pcisecuritystandards.org
■Emerging Technologyに関するホワイトペーパー
Scoping SIGでは、テクノロジ別にさらに細分化されたワーキンググループに分かれています。今回のCommunity Meetingでは、その中でもホワイトペーパーを作成するまでの調査状況に至った3つのテクノロジについて、「Emerging Technology(最新テクノロジ)」として解説されました。
今回のセッションで発表されたEmerging Technologyは以下の通りです。
Point-to-Point Encryption(Point-to-Point暗号化)
EMV(ICカード)
Tokenization(トークン化)
上記のうち、Point-to-Point EncryptionとEMVのホワイトペーパーは、すでに公開済み、Tokenizationについては、近日公開されるようです。ホワイトペーパーは以下のサイトからダウンロード可能です。
Point-to-Point Encryptionに関するホワイトペーパー:
Initial Roadmap: Point-to-Point Encryption Technology and PCI DSS Compliance
EMVに関するホワイトペーパー:
PCI DSS Applicability in an EMV Environment A Guidance Document
上述した3つのEmerging Technologyを利用することにより、今後、PCI DSSの審査対象範囲に大きく関わる(対象範囲を縮小できる)可能性がありますので、これらのテクノロジを採用しているPCI DSS取得企業、あるいは今後採用することをご検討される企業の方は、ホワイトペーパーをご一読いただくことを推奨します。
■クレジットカード犯罪の攻撃手法の傾向 -カード情報が最も狙われるのは「伝送あるいは処理中」-
今回のセッションでは、ゲストスピーカーを招いて、クレジットカード業界に関するトピックのプレゼンがありました。
一番印象的だったプレゼンの一つに、Trustwave社の方による調査報告(ヨーロッパにおけるクレジットカード犯罪の攻撃手法の傾向)が挙げられます。最近の傾向として、カード情報が最も狙われるのは、保存中の状態ではなく、「伝送あるいは処理中」の状態だそうです。その中でも、メモリダンプツールを使い、メモリ中のカード情報を抜き取る手法が、全体の6割を占めているそうです。対策方法としては、メモリ中のデータを保護することはなかなか困難ですので、マルウェアなどの悪意あるツールが仕込まれる前に、未然に防御策を講じることが重要と語っていました。
Scoping SIGでは、テクノロジ別にさらに細分化されたワーキンググループに分かれています。今回のCommunity Meetingでは、その中でもホワイトペーパーを作成するまでの調査状況に至った3つのテクノロジについて、「Emerging Technology(最新テクノロジ)」として解説されました。
今回のセッションで発表されたEmerging Technologyは以下の通りです。
Point-to-Point Encryption(Point-to-Point暗号化)
EMV(ICカード)
Tokenization(トークン化)
上記のうち、Point-to-Point EncryptionとEMVのホワイトペーパーは、すでに公開済み、Tokenizationについては、近日公開されるようです。ホワイトペーパーは以下のサイトからダウンロード可能です。
Point-to-Point Encryptionに関するホワイトペーパー:
Initial Roadmap: Point-to-Point Encryption Technology and PCI DSS Compliance
EMVに関するホワイトペーパー:
PCI DSS Applicability in an EMV Environment A Guidance Document
上述した3つのEmerging Technologyを利用することにより、今後、PCI DSSの審査対象範囲に大きく関わる(対象範囲を縮小できる)可能性がありますので、これらのテクノロジを採用しているPCI DSS取得企業、あるいは今後採用することをご検討される企業の方は、ホワイトペーパーをご一読いただくことを推奨します。
■クレジットカード犯罪の攻撃手法の傾向 -カード情報が最も狙われるのは「伝送あるいは処理中」-
今回のセッションでは、ゲストスピーカーを招いて、クレジットカード業界に関するトピックのプレゼンがありました。
一番印象的だったプレゼンの一つに、Trustwave社の方による調査報告(ヨーロッパにおけるクレジットカード犯罪の攻撃手法の傾向)が挙げられます。最近の傾向として、カード情報が最も狙われるのは、保存中の状態ではなく、「伝送あるいは処理中」の状態だそうです。その中でも、メモリダンプツールを使い、メモリ中のカード情報を抜き取る手法が、全体の6割を占めているそうです。対策方法としては、メモリ中のデータを保護することはなかなか困難ですので、マルウェアなどの悪意あるツールが仕込まれる前に、未然に防御策を講じることが重要と語っていました。
■おわりに
今回のEuropean Community Meetingに出席することにより、新バージョンのPCI DSSに関する情報はもちろんのこと、業界におけるトレンドや他のQSAなどの悩みなどを肌で感じることができました。今後も引き続き、PCI DSS関連サービスに携わる者として、より有用かつ説得力のある提言をお客様に提供できるよう日々研鑚していきたいと思っています。
《参考》日本カード情報セキュリティ協議会のQSA部会
インフォセックもメンバーとして活動している「日本カード情報セキュリティ協議会」のQSA部会についてご紹介したいと思います。QSA部会は、日本で活動するQSA企業(2010/10/27時点で9社)で構成されており、PCI DSSの普及・啓蒙や基準の解釈方法などについて、定期的に集まって議論しています。基準についてQSA間で統一見解を持つことにより、PCI DSSに内在する解釈の曖昧さを解消することもできます。
日本カード情報セキュリティ協議会では、定期的にセミナーも開催しており、日本におけるPCI DSSの動向を知ることができます。ご興味のある方は、以下からご参照ください。
日本カード情報セキュリティ協議会
今回のEuropean Community Meetingに出席することにより、新バージョンのPCI DSSに関する情報はもちろんのこと、業界におけるトレンドや他のQSAなどの悩みなどを肌で感じることができました。今後も引き続き、PCI DSS関連サービスに携わる者として、より有用かつ説得力のある提言をお客様に提供できるよう日々研鑚していきたいと思っています。
《参考》日本カード情報セキュリティ協議会のQSA部会
インフォセックもメンバーとして活動している「日本カード情報セキュリティ協議会」のQSA部会についてご紹介したいと思います。QSA部会は、日本で活動するQSA企業(2010/10/27時点で9社)で構成されており、PCI DSSの普及・啓蒙や基準の解釈方法などについて、定期的に集まって議論しています。基準についてQSA間で統一見解を持つことにより、PCI DSSに内在する解釈の曖昧さを解消することもできます。
日本カード情報セキュリティ協議会では、定期的にセミナーも開催しており、日本におけるPCI DSSの動向を知ることができます。ご興味のある方は、以下からご参照ください。
日本カード情報セキュリティ協議会
[ コラムTop ]
