2018/1/24 エンカレッジ テクノロジ主催 まだ間に合う!PCI DSS 準拠のための具体策セミナー 講演資料 2018 年 3 月非保持化 or PCI DSS 準拠どちらの対応が必要か? fj コンサルティング ( 株 ) 2018 年 1 月 24 日
アジェンダ 1. 自己紹介 2. 改正割賦販売法と実行計画 3. 業態ごとの課題 4.PCI DSS 要件ごとのポイント解説 5. 質疑応答 2
会社概要 会社名 fj コンサルティング株式会社 fj の由来は From Japan 役員 代表取締役 CEO 瀬田陽介 非常勤取締役 須田騎一朗 ( ユナイトアンドグロウ株式会社代表取締役社長 ) 非常勤取締役 岡部賢治 ( ユナイトアンドグロウ株式会社執行役員 ) 監査役 土居明史 ( 公認会計士 ) 顧問弁護士 大井哲也 (TMI 総合法律事務所弁護士 ) 本社 101-0062 東京都千代田区神田駿河台 4-3 新お茶の水ビルディング 3F 3
代表者紹介 氏名瀬田陽介 (1972 年 3 月 23 日生 ) 経歴 1999 年 11 月 ~2007 年 9 月インフォリスクマネージ ( 株 ) ボードメンバー 2007 年 4 月 ~2013 年 1 月国際マネジメントシステム認証機構 ( 株 ) 代表取締役社長 2010 年 8 月 ~2013 年 2 月 PaymentCard Forensics( 株 ) 取締役 2009 年 11 月 ~2013 年 3 月エヌシーアイ ( 株 ): 日商エレクトロニクス ( 株 )100% 子会社ボードメンバー 2013 年 4 月 ~ fj コンサルティング ( 株 ) 代表取締役 CEO( 現任 ) 2014 年 7 月 ~ NANAROQ( 株 ) アドバイザー ( 現任 ) 2015 年 11 月 ~ BSI Professional Services Japan テクニカルアドバイザー ( 現任 ) 2016 年 8 月 日本カード情報セキュリティ協議会 (JCDSC) ユーザー部会世話役 ( 現任 ) 4
執筆 1 PCI DSS Version2.0 徹底解説 CardWave 編集部 2011 年 9 月発行 50,000 円 ( 税別 ) PCI DSS Version1.2 徹底解説 TI プランニング 2010 年 2 月発行 90,000 円 ( 税別 ) 経済産業省委託調査 平成 22 年度コンピュータセキュリティ早期警戒体制の整備事業安全な電子決済実現に向けた情報セキュリティ対策に関する調査事業 5
執筆 CardWave 2013 年 7 8 月号 Special Report スクエアの日本参入で加熱する決済市場スマートフォン決済普及への課題とは? 第 1 回ユーザビリティとセキュリティ CardWave 2013 年 9 10 月号 Special Report スクエアの日本参入で加熱する決済市場スマートフォン決済普及への課題とは? 第 2 回加盟店審査と加盟店管理 CardWave 2014 年 1 2 月号 Special Report カード情報の国際セキュリティ基準が改訂 PCI DSS バージョン 3.0 の注意点とは? CardWave 2014 年 3 4 月号 Special Report スクエアの日本参入で加熱する決済市場スマートフォン決済普及への課題とは? 第 3 回 IC カード決済への対応 CardWave 2014 年 11 12 月号 Special Report ベールを脱いだ iphone の NFC 決済 Apple Pay ビジネスモデルと国内サービス開始の条件とは CardWave 2015 年 11 12 月号 Special Report POS マルウェア攻撃に備える PCI P2PE とは POS 加盟店の PCI DSS 準拠を現実的なものに CardWave 2016 年 3 4 月号特集カード情報を守れ! 非対面決済編 官民共同案のセキュリティ対策で EC におけるカード決済はどう変わる? CardWave 2016 年 9 10 月号 Special Report ATM18 億円不正引き出し事件を検証銀行の国際ネットワーク対応に影響? CardWave 2017 年 3 4 月号特集クレジットカードのセキュリティ考察 セキュリティの指針 実行計画 2017 のポイント改正割賦販売法対応に向けた加盟店の取り組みが焦点に 6
アジェンダ 1. 自己紹介 2. 改正割賦販売法と実行計画 3. 業態ごとの課題 4.PCI DSS 要件ごとのポイント解説 5. 質疑応答 7
改正割賦販売法の概要 1 クレジットカード番号等取扱業者 ( 第 35 条の 1) 1 号事業者イシュア 2 号事業者アクワイアラ ( オフアス ) 3 号事業者加盟店 クレジットカード情報の適切な管理義務 ( 第 35 条の 16) カード情報の非保持化あるいは PCI DSS 準拠 委託先の情報管理に係る指導等 クレジットカードの不正使用対策の義務 ( 第 35 条 17 の 15) クレジット決済端末の IC 化 ネット上のなりすまし対策 8
改正割賦販売法の概要 2 施行期日 公布 (2016/12/9) から 1 年 6 ヶ月以内 (2018 年 6 月予定 ) 対面加盟店における対策の 2020 年 3 月末期限との関係 行政指導や罰則について 行政指導 ( 報告徴収 立入検査 ) の可能性有り 罰則 ( 懲役 罰金 過料 ) はなし ( 第 49 条 ) ただし 故意にクレジットカード番号等の情報を漏えいした場合は 会社役員や個人に対して罰則有り 3 年以下の懲役または 50 万円以下の罰金 9
改正割賦販売法の概要 3 加盟店調査などのアクワイアラの義務 カード会社 ( アクワイアラ ) による加盟店のセキュリティ対策実施状況の初期 / 途上の調査義務 調査結果に問題のある加盟店に対する是正指導または契約の解除の義務 セキュリティ対策実施に問題のある場合 契約の解除となる可能性がある 調査で把握した情報の認定割賦販売協会 ( 日本クレジット協会 ) のデータベース ( 加盟情報交換制度 :JDM) への報告義務 悪質な取引に加え クレジットカード番号等の管理状況クレジットカードの不正利用防止対策状況が含まれた 10
クレジット取引におけるセキュリティ対策 強化に向けた実行計画 クレジット取引セキュリティ対策協議会から クレジット取引におけるセキュリティ対策強化に向けた実行計画 -2016- が発行された (2016 年 2 月 ) 更新版 実行計画 2017 発行 (2017 年 3 月 ) 2020 年まで毎年更新版が発行される予定 WG1: カード情報保護 WG2: クレジットカード偽造防止対策 WG WG3: 不正使用対策 実行計画 -2018- は 2018 年 3 月発行予定 11
クレジット取引における セキュリティ対策の強化の具体的な要請 対象 要請の内容 : 期限 EC など非対面加盟店 カード情報の非保持化 ( 1) または PCI DSS 準拠 :2018 年 3 月末 1 非保持とは 自社の保有する機器やネットワークにおいて電磁的に 保存 処理 通過 しない状態をさす 本人認証の強化 (3D セキュア セキュリティコードなど複数手段の導入 ):2018 年 3 月末 POS 加盟店など対面加盟店 カード会社 ( アクワイアラ )/ 決済代行事業者 (PSP) カード会社 ( イシュア ) カード情報の非保持化または PCI DSS 準拠 :2020 年 3 月末 IC(EMV) 対応 :2020 年 3 月末 PCI DSS 準拠 :2018 年 3 月末 2018 年 4 月を目処に PCI DSS 準拠していない PSP との契約を見直す PCI DSS 準拠 :2018 年 3 月末 12
アジェンダ 1. 自己紹介 2. 改正割賦販売法と実行計画 3. 業態ごとの課題 4.PCI DSS 各要件の概要 5. 質疑応答 13
EC 加盟店の非保持化 国内ではカード情報流出事件の大半がこの業態に集中している PSPの提供する非通過型のサービスの利用により非保持を実現 通過型はPCI DSSの準拠が求められる 加盟店サイト側 通過型 1 モジュール型 PSP 側 PSPのカード情報非保持の決済サービス非通過型 加盟店サイト側 2 リダイレクト ( リンク ) 型 PSP 側 3JavaScript 型 ( トークン決済 ) 加盟店サイト側 PSP 側 カード情報の取り扱いプロセス 通過 処理 トークンのみ トークンのみ 保存 ( ) 通常はカード情報を保存しないが ログなどに残っているケースが多い 非保持化のソリューション 14
MOTO 加盟店の非保持化 1 非保持化 の条件は以下の両方を満たす必要がある カード情報の保存方法は紙 媒体 (PDF ファイル 音声データを含む ) のみ 決済代行事業者にカード情報を送信する時 加盟店内の PC で入力を行わない 非保持化 の条件に当てはまらない場合は PCI DSS の準拠が必要 PCI DSS 準拠の場合 PCI DSS と 非保持化 はカード情報の定義が異なるため 紙 媒体 (PDF ファイル 音声データを含む ) も PCI DSS の対象範囲となる PC による処理が変更できない場合は PCI DSS 準拠の負担軽減のため SAQ C-VT:Web ベースの仮想端末を使用する加盟店 ( カード会員データを電子形式で保存しない (85 項目 )) を適用して対応 非保持化 実現をサポートする外部ベンダーのソリューションがいくつか登場
MOTO 加盟店の非保持化 2 SAQ C-VT:Web ベースの仮想端末を使用する加盟店 通常のメール 電話 はがき FAX 等オーダー加盟店においては困難なものがある 適用条件に当てはまらない場合はSAQ D 加盟店 (331 項目 ) となる 決済代行事業者 (PSP) 決済はカード情報を 1 件ずつ PSP のサーバにウェブブラウザ等でアクセスして入力する ソフトウェアに保存してバッチ処理などによる決済は行わない 場所はカード情報を扱うものを隔離し 他のシステムに接続しない 加盟店のコールセンター カード情報が含まれる取引記録は紙でのみ保存 SAQ C-VT 適用 カード情報も含め通話録音 PCI DSS に準拠済みのクラウド PBX サービス 通話録音サーバ カード情報 PCI DSS 対象範囲 16
対面 (POS) 加盟店の課題 POS 加盟店が PCI DSS の準拠を正面から取り組むのは非常に困難である 米国ではセグメンテーションにより PCI DSS 対象範囲を極小化して対応している 米国では PCI P2PE ソリューションを導入し SAQ P2PE(33 項目 ) を適用する方式が増加している (SAQ D 加盟店は 331 項目 ) 店舗はカード会員データを伝送 処理しているので PCI DSS の対象範囲である 対象範囲がデータセンターだけでないため店舗数に比例してコストが増大する 例 ) POS 端末に定期的に重要性の高いパッチを適用する ( 要件 6.2) すべての店舗に無許可の無線 LAN がないことを四半期に一度調査する ( 要件 11.1) 国内の POS 加盟店は可能な限り 非保持化 を選択したいと考えている 17
POS 加盟店の非保持化 1 大半の加盟店は未だ磁気ストライプ取引がメインであるため決済端末の導入が必要 それらの磁気ストライプを含めたカード情報が POS 端末やクレジットサーバにより 通過 処理 保存 されている POS 機能と決済機能を分離する通称 外回り 接続により非保持を実現 決済専用端末 (CCT) 連動型 カード会社 ASP/ クラウド連動型 カード会社 決済ネットワーク 決済ネットワーク カード情報 ASP/ クラウドセンター カード情報 店舗 POS 端末カード情報非保持 決済専用 (CCT) 端末 店舗 POS 端末カード情報非保持 決済端末 決済専用端末のネットワークと POS ネットワークとは分離する 金額と決済結果のみ連動 決済専用端末のネットワークと POS ネットワークとは分離する 金額と決済結果のみ連動 18
POS 加盟店の非保持化 2 百貨店やショッピングセンターのうち 80% が内回り接続の現状 内回りを維持したまま非保持化を実現する方式の一例として PCI Point-to-Point Encryption が示された クレジット取引セキュリティ対策協議会にサブ ワーキンググループを設置し 非保持同等 / 相当のセキュリティ措置について検討 PCI P2PE( 内回り ) カード会社 決済ネットワーク ASP/ クラウドセンター (PCI P2PE ソリューションプロバイダー ) 復号化 店舗 POS サーバー POS 端末カード情報非保持 決済端末 DUKPT で暗号化したカード情報 19
POS 加盟店の非保持化 3 内回り決済の非保持同等 / 相当のセキュリティ措置 POS-IC 化推進に向けたシステム構成 対面加盟店における非保持と同等 / 相当のセキュリティ確保を可能とする措置に関する具体的な技術要件について (2017/5/25 日本クレジット協会発表 ) パターン 1 POS 端末で DUKPT により暗号化 カード会社 パターン 2 PA-DSS 認定の POS アプリ利用 カード会社 決済ネットワーク 復号化 決済ネットワーク 復号化 共同利用型決済センター (ASP/ クラウド接続型 ) 共同利用型決済センター (ASP/ クラウド接続型 ) 店舗 POS サーバー 店舗 POS サーバー DUKPT による暗号化 (OS/ ドライバ層 ) POS 端末 決済端末 (PCI-PTS 認定端末 ) PA-DSS 認定 POS アプリで処理 POS 端末 決済端末 (PCI-PTS 認定端末 ) 20
非保持化 か PCI DSS 準拠か? 加盟店 サービスプロバイダ 外部委託 加盟店が取りうるカード情報保護対策 非保持化 PCI DSS 準拠 自己問診 (SAQ) ROC の完成が求められることも QSA による外部審査の場合もある サービスプロバイダのカード情報保護対策 カード会社 /PSP/ プロセッサ BPO/ コールセンター / クラウド事業者 PCI DSS 準拠など顧客が要請する基準 非保持化という選択肢が認められていない 一部のアクワイアラ /PSP/ プロセッサは QSA によるオンサイト監査が必須 それ以外は顧客の要請次第 PCI DSS 準拠にかかる基準及び検証方法等に関する実施要領 による (2017 年 6 月 28 日日本クレジット協会公表 ) 21
非保持化 の選択肢がない業種 ( 一部の旅行代理店 宿泊施設 ) IATA 加盟旅行代理店 2017 年 6 月 IATA 決議 818g により 加盟旅行代理店への PCI DSS 準拠を要請 準拠には時間がかかることを考慮し PCI DSS 準拠の義務化は NewGen ISS ( 航空会社と旅行代理店の新決済サービス ) 導入に合わせ 2018 年 3 月 1 日とする (3 月 1 日以降 AoC 提出が必須化 ) 背景には 航空便の発券処理のために旅行代理店はクレジットカード情報を必ず入力しなくてはいけない という業界特有の事情 大手予約サイト (Booking.com TripAdvaiser) による宿泊施設への要請 予約情報送信時にカード番号を宿泊施設に送付するため PCI DSS 準拠を要請している 22
SAQ を活用した PCI DSS 準拠項目数の軽減 適用条件が整えば PCI DSS の準拠項目を最大で 22 項目まで減らすことができる 複数の決済チャネルの場合は 支払チャネルごとに異なる SAQ を完了するか 各チャネルのすべての要件を組み合わせた単一の SAQ を使用することができる カード情報の取扱い形態 PCI DSS SAQ 項目数 モジュール型決済を導入する EC 加盟店 SAQ D Merchant 331 EC 加盟店 リンク型決済を導入する EC 加盟店 SAQ A 22 JavaScript 型決済を使用する EC 加盟店 SAQ A-EP 192 カード情報のすべての処理を外部委託 SAQ A 22 MOTO 加盟店 社内 PC からカード情報入力を行わず 通話録音を外部委託 SAQ C-VT 85 上記以外 SAQ D Merchant 331 外回り接続 ( 公衆回線で CCT を接続 ) を導入する POS 加盟店 SAQ B 41 対面加盟店 外回り接続 ( インターネット回線 (VPN) などで CCT を IP 接続 ) を導入する POS 加盟店 SAQ B-IP 88 PCI P2PE を導入する POS 加盟店 SAQ P2PE 33 上記以外 SAQ D Merchant 331 サービスプロバイダ カード会社 PSP プロセッサなど ( 加盟店以外の業態 ) SAQ D ServiceProvider 373 クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 2017 を元に作成 23
アジェンダ 1. 自己紹介 2. 改正割賦販売法と実行計画 3. 業態ごとの課題 4.PCI DSS 各要件の概要 5. 質疑応答 24
PCI DSS によって護る情報 国際ブランドのペイメントカード情報 American Express/Discover/JCB/MasterCard/Visa クレジットカード / デビットカード / プリペイドカード PIN/PIN ブロック カード会員名 カード会員番号 1234 5678 9123 4567 10/18 有効期限 EFUJAY HANAKO 123 磁気ストライプセキュリティコード 保護すべき情報 = カード情報 アカウントデータ 青字 カード会員データ 非保持が望ましい 通過 処理 保存する場合 PCI DSS 準拠赤字 機密認証データ 保持すること自体禁止 25
6 つの目標と 12 の要件 安全なネットワークの構築と維持 要件 1: カード会員データを保護するために ファイアウォールをインストールして構成を維持する要件 2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない カード会員データの保護 要件 3: 保存されたカード会員データを保護する要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合 暗号化する 脆弱性管理プログラムの維持 要件 5: マルウェアに対してすべてのシステムを保護し ウィルス対策ソフトウェアを定期的に更新する要件 6: 安全性の高いシステムとアプリケーションを開発し 保守する 強力なアクセス制御手法の導入 要件 7: カード会員データへのアクセスを 業務上必要な範囲内に制限する要件 8: システムコンポーネントへのアクセスを識別 認証する要件 9: カード会員データへの物理アクセスを制限する ネットワークの定期的な監視およびテスト 要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する要件 11: セキュリティシステムおよびプロセスを定期的にテストする 情報セキュリティポリシーの維持 要件 12: すべての担当者の情報セキュリティポリシーを維持する 26
要件 1 カード会員データを保護するために ファイヤーウォールをインストールして構成を維持する ファイアウォールやルータにて外部ネットワーク DMZ 内部ネットワークを適切にセグメンテーションする インターネットに接続し サーバーを公開している場合はステートフルインスペクション ( 一般的にはファイアウォール ) が必要 業務要件の通信を文書化し あるべき姿と実際のコンフィグを半年に 1 回レビューする 27
要件 2 システムパスワード及びその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない 業界で認知されたシステム強化基準により要塞化 ( ハードニング ) を実施する Center for Internet Security(CIS) が一般的 同じサーバに異なるセキュリティレベルを必要とする機能が共存しないように 1 つのサーバには 主要機能 1 つだけを実装する 無線 LAN(Wi-Fi) を使用しないことにより 対応する要件を削減することが可能 SSL と初期 TLS は 原則的に TLS1.2 に 2018 年 6 月 30 日までに移行する必要がある 28
要件 3 保存されるカード会員データを保護する カード会員データを保存する場合は強力な暗号化など判読不能となる措置を講じる 強度共通鍵暗号ハッシュ DSA( デジタル署名 ) RSA( 公開鍵暗号 ) 112bit 安全性 3-key Triple DES - 128bit 安全性 AES-128 SHA-256 192bit 安全性 AES-192 SHA-384 256bit 安全性 AES-256 SHA-512 公開鍵 : 2,048 ビット秘密鍵 : 224 ビット 公開鍵 : 3,072 ビット秘密鍵 : 256 ビット 公開鍵 : 7,680 ビット秘密鍵 : 384 ビット 公開鍵 :15,360 ビット秘密鍵 : 512 ビット 2,048ビット 3,072ビット 7,680ビット 15,360ビット 29
要件 3 保存されるカード会員データを保護する カード会員データの暗号化に使用される秘密暗号化キーは 以下のいずれかの形式で管理する データ暗号化キーと同じ強度のキー暗号化キーで暗号化し 各キーは別の場所に保存することキーの保存場所を最小限にする 平文の暗号鍵を扱う場合は知識分割する 安全な暗号化デバイス ( ハードウェア ( ホスト ) セキュリティモジュール (HSM) に保存される SAD( 機密認証データ ) は処理後に直ちに削除する 保存禁止とされている セキュリティコード(EC) 全磁気ストライプ (POS 端末 ) 暗証番号 ( カード会社の申込書 ) 30
要件 4 オープンな公共ネットワーク経由でカード会員データを伝送する場合 暗号化する インターネット Wi-Fi などの無線通信でカード情報を送信する場合のみ適用 2018 年 7 月以降はフィーチャーフォンのカード決済が終了する? Windows XP/Vista やフィーチャーフォンは TLS1.1/1.2 は互換しない 31
要件 5 全てのシステムをマルウェアから保護し ウィルス対策ソフトウェア またはプログラムを定期的に更新する ウィルス対策ソフトウェアがクライアント PC のみならずサーバにも必要 (Windows/Linux/MacOS) 検知などのログを 1 年間取得する ユーザーが停止できないようにする インターネットに接続されていない環境 パターンファイルは手動で配信? ホワイトリスト方式という選択肢 32
要件 6 安全性の高いシステムとアプリケーションを開発し 保守する リリース 1 ヶ月以内に重要性の高いパッチを適用する 基準を定義する 仮想パッチを使用する方法もあり 保守切れ OS についてもホワイトリスト方式 + 管理策を代替コントロールにすることも可能 33
要件 7 カード会員データへのアクセスを業務上必要な範囲内に制限する 要件 8 システムコンポーネントへのアクセスを識別 認証する ユーザーアカウントが管理の対象 統合認証環境でもローカルの特権アカウント管理は障害対応の観点から必須 アプリケーションアカウントは? 最も代替コントロールが適用される要件 正当な制約 パッケージソフトが対応していない すでに保守ベンダーがサポートを打ち切っている 共有アカウントを使用する場合の代替コントロール 34
要件 8 システムコンポーネントへのアクセスを識別 認証する 多要素認証 事業体のネットワーク外からのすべてのリモートネットワークアクセス ( ユーザと管理者の両方 サポートやメンテナンスのための第三者のアクセスを含む ) 全ての非コンソールからの管理者アクセス 3つの認証要素 ( 生体情報 所持情報 知識情報 ) のうち 少なくとも2 要素を組み合わせる 同一の要素を2 回繰り返すのは多要素とはならない 二段階認証と二要素認証 認証機構の独立性が重要 35
要件 9 カード会員データへの物理アクセスを制限する カード情報を通過 / 保存 / 処理するシステムを設置する拠点だけでなく アクセスする端末を設置する場所も機密エリアに含まれる カード情報を保存する媒体が少なければ少ないほど対応する要件を削減することができる 36
要件 10 ネットワークリソース及びカード会員データのすべてのアクセスを 追跡及び監視する インシデントの兆候 繰り返しログインの失敗 ログの改ざん セキュリティ監視システムの不全 監視カメラの停止なども含まれる ログの変更検知 DeepSecurity TripWire などのツールが必要 ルート権限や管理権限を持つ個人によって行われた全てのアクションのロギング Windows の GUI 動作は? 37
要件 11 セキュリティシステム及びプロセスを定期的にテストする 無許可の無線 APがないかどうかを四半期に一度 検査する必要がある 無線 LANを使用していなくても必ず実施 IDS/IPSの導入 カード会員データ環境との境界およびカード会員データ環境内の重要なポイントを通過するすべてのトラフィックを監視し 侵害の疑いがある場合はアラートを 発報する ホスト型のIDS/IPSの方が実装しやすい 38
要件 12 すべての担当者の情報セキュリティに対応するポリシーを維持する ISMS やプライバシーマークの認証をすでに持っていれば統合して運用が可能 カード会員データを共有する外部委託先には PCI DSS 準拠を要請し モニタリングする インシデント対応演習が極めて重要! 39
最後に 非対面加盟店は 2018 年 3 月の期限を控え 早急な対応が求められる POS 加盟店も 2020 年 3 月に完了するには早急な着手が必要 改正割賦販売法の施行と実行計画 -2018- 公表に際して 経済産業省 カード会社や関連ベンダー 日本クレジット協会 JCDSC など業界団体による更なる連携が必要となる 40
アジェンダ 1. 自己紹介 2. 改正割賦販売法と実行計画 3. 業態ごとの課題 4.PCI DSS 各要件の概要 5. 質疑応答 41
ご質問 & お問い合わせなど Email: admin@fjconsulting.jp http://www.fjconsulting.jp/ TEL:03-4570-8580 Facebook:facebook.com/fjconsultinginc 42