2010 PCI SSC Community Meeting レポート

2010年10月18日~21日にかけて、スペインのバルセロナで「2010 PCI Security Standard Council European Community Meeting」が開催されました。新バージョンのPCI DSS 2.0に関する情報収集やPCI DSSに関する最新動向や、同じ立場である他のQSA(※)からの情報などをまとめています。

※QSA・・・国際ペイメントカードブランドが共同で定めたセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)の認定審査機関(Qualified Security Assessor)。

■過去最大規模のイベント
Community Meetingは、毎年、米国とヨーロッパ圏で開催されており、今年は米国のフロリダ(2010年9月21~23日)とスペインのバルセロナで開催されました。
今回参加したEuropean Community Meetingには、PO(Participating Organization)、QSA、ASV、ベンダーなどの多様な企業から約300人が参加しており、日本からは、インフォセックを含めた4社が参加しました。
先月開催された米国での参加人数を含めると、過去最大規模のCommunity Meetingとなったそうです。これは、PCIの基準が徐々に世に浸透してきたという表れかもしれません。

■まさに、“コミュニティ” ミーティング!
今回のミーティングで最も印象的だったのが、「Networking Break」と呼ばれる休憩時間です。Networking Breakとは、各セッションの合間に休憩として設けられている時間なのですが、専用部屋が用意されており、そこで飲み物やお菓子をつまみながら、今回参加しているメンバーと自由に交流することができます。こういったミーティングに参加することは、新しいソリューションを学ぶ機会にもなります。今回、ベンダーとして米国から参加されていた方には、「音声データを保護するソリューション」をご紹介いただきました。PCI DSSでは、カード情報などが含まれる音声データに対しても保護が求められるため、カスタマーサポートセンターなどの音声データを取り扱う拠点においては、効果的なソリューションになると思います。

■新バージョン PCI DSS ver.2.0の実態
今回のCommunity Meetingでは、2010年10月28日公開の新バージョンのPCI DSSに関する詳細について解説がありました。ここでは、3つにポイントを絞ってご紹介します。

【仮想化技術】
新バージョンにおいて、正式に仮想サーバの利用が認められました。具体的には、要件2.2.1において、「Where virtualization technologies are in use, implement only one primary function per virtual system component.」と明記されています。仮想サーバを利用する上で注意すべきセキュリティ要件も新しく考慮する必要はありますが、システムの導入コスト削減につながるのではないでしょうか。

【リスクベースの脆弱性管理】
現行バージョンでは、要件6.2において脆弱性を特定するプロセスを確立することが求められています。新バージョンでは、そのプロセスに関して「リスクベースアプローチ」を採用する旨が追記されています。考え方は、要件6.1のパッチ管理プロセスに似ていますが、リスク別に脆弱性を特定・分類した上で、どの脆弱性をいつまでに対処すべきかを決定します。リスクベースアプローチは、保有するシステムに対して本当に影響のある脆弱性を迅速に対処でき、運用コストも効率的に利用することができます。

【2因子認証】
現行バージョンの要件8.2および8.3において、2因子認証に関する基準が記載されています。新バージョンでは、「正しい2因子認証」を利用するための追加情報が追記されています。具体的には、「知識(Something You Know)、所有物(Something You Have)、本人の特徴(Something You Are)」から2つを利用するということです。例えば、知識である”パスワード”と所有物である”証明書”で行うクライアント認証が挙げられます。「パスワード認証を2回行うのは、2因子認証ではない」と繰り返し説明されていたので、2因子認証を誤って理解されていた企業が多かったということでしょうか。

PCI DSSの最新バージョン(ver.2.0)は、以下のサイトからダウンロードできます。
PCI SSC : https://www.pcisecuritystandards.org/security_standards/documents.php

■基準改定のライフサイクルが「3年」に変更
基準のメジャーバージョンアップが2年から3年に変更されることは事前に知っていましたが、今回のミーティングではその背景を知ることができました。
変更に至った理由の1つとして、加盟店などからPCI SSCに対して寄せられるフィードバックに、ライフサイクルを長くしてほしいとのリクエストが多々あったそうです。やはり、準拠する側としては、短いスパンで基準が変更されると、新バージョンへの対応タスクが発生する可能性も増えるため、切実な要望と判断してSSCも動いたということでしょうか。
ミーティングでは、PCI SSC側から、”PCIの基準に関わっている企業のフィードバックがとにかく必要だ”と繰り返し発言されていました。残念ながら、日本企業からのフィードバックはまだ無いとのことでしたので、納得いかない点や困っていることなどあるようでしたら、進んでリクエストしましょう!

■SIG(Special Interest Group)の活動報告

  • SIGとは、PCI SSCが認定・確立した調査チームであり、現在以下のトピックについて調査や議論などが行われています。
  • ・ Pre-Authorization(承認前の処理)
  • ・ Virtualization(仮想化)
  • ・ Scoping(スコーピング-対象範囲の特定)

上記のSIGで作成された調査報告書は、PCI SSC側で承認された後、ホワイトペーパーなどの形式でPCIの基準に反映されます。そのため、SIGに参加しているとその技術における議論やトレンドなどの情報を収集できます。
SIGには、PO(Participating Organization)であれば誰でも参加することができます。ご興味のある方は、以下にご連絡の上、参加されてみてはいかがでしょうか。
SIG E-mail: sigs@pcisecuritystandards.org

■Emerging Technologyに関するホワイトペーパー
Scoping SIGでは、テクノロジ別にさらに細分化されたワーキンググループに分かれています。今回のCommunity Meetingでは、その中でもホワイトペーパーを作成するまでの調査状況に至った3つのテクノロジについて、「Emerging Technology(最新テクノロジ)」として解説されました。

  • 今回のセッションで発表されたEmerging Technologyは以下の通りです。
  • ・ Point-to-Point Encryption(Point-to-Point暗号化)
  • ・ EMV(ICカード)
  • ・ Tokenization(トークン化)
上記のうち、Point-to-Point EncryptionとEMVのホワイトペーパーは、すでに公開済み、Tokenizationについては、近日公開されるようです。ホワイトペーパーは以下のサイトからダウンロード可能です。 上述した3つのEmerging Technologyを利用することにより、今後、PCI DSSの審査対象範囲に大きく関わる(対象範囲を縮小できる)可能性がありますので、これらのテクノロジを採用しているPCI DSS取得企業、あるいは今後採用することをご検討される企業の方は、ホワイトペーパーをご一読いただくことを推奨します。

■クレジットカード犯罪の攻撃手法の傾向 -カード情報が最も狙われるのは「伝送あるいは処理中」
今回のセッションでは、ゲストスピーカーを招いて、クレジットカード業界に関するトピックのプレゼンがありました。 一番印象的だったプレゼンの一つに、Trustwave社の方による調査報告(ヨーロッパにおけるクレジットカード犯罪の攻撃手法の傾向)が挙げられます。最近の傾向として、カード情報が最も狙われるのは、保存中の状態ではなく、「伝送あるいは処理中」の状態だそうです。その中でも、メモリダンプツールを使い、メモリ中のカード情報を抜き取る手法が、全体の6割を占めているそうです。対策方法としては、メモリ中のデータを保護することはなかなか困難ですので、マルウェアなどの悪意あるツールが仕込まれる前に、未然に防御策を講じることが重要と語っていました。

■おわりに
今回のEuropean Community Meetingに出席することにより、新バージョンのPCI DSSに関する情報はもちろんのこと、業界におけるトレンドや他のQSAなどの悩みなどを肌で感じることができました。今後も引き続き、PCI DSS関連サービスに携わる者として、より有用かつ説得力のある提言をお客様に提供できるよう日々研鑚していきたいと思っています。

《参考》日本カード情報セキュリティ協議会のQSA部会
インフォセックもメンバーとして活動している「日本カード情報セキュリティ協議会」のQSA部会についてご紹介したいと思います。QSA部会は、日本で活動するQSA企業(2010/10/27時点で9社)で構成されており、PCI DSSの普及・啓蒙や基準の解釈方法などについて、定期的に集まって議論しています。基準についてQSA間で統一見解を持つことにより、PCI DSSに内在する解釈の曖昧さを解消することもできます。
日本カード情報セキュリティ協議会では、定期的にセミナーも開催しており、日本におけるPCI DSSの動向を知ることができます。ご興味のある方は、以下からご参照ください。
日本カード情報セキュリティ協議会

- 執筆者 -
株式会社インフォセック
三科 涼 QSA, CISSP