1.PCI SSCからPCI DSS バージョン4.0と変更サマリの日本語版の公開
PCI SSCからPCI DSS バージョン4.0と変更サマリの日本語版は以下ホームページにて公開されました。
【PCI SSCホームページ】
Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards
2.「First Look at PCI DSS v4.0」 YouTube(日本語字幕付き)
First Look at PCI DSS v4.0 - English Subtitles - YouTube
【動画の概要+α】
① 多要素認証の適用範囲の拡大(要件8)
- 適切な多要素認証が実装されていればアカウントデータの攻撃が99.9%防げる。
- CDEへのすべてのアクセスに対する新要件が追加。
- 既存要件に追加される為、多要素認証は1回だけでなく2回発生する事を意味する。
② パスワードに関する規定(要件8)
- パスワードの長さ:7文字→12文字(現在の処理能力では7文字では不十分)
- 90日ごとにパスワードを変更するという要件を維持(万一漏洩しても、悪用を防ぐことが可能)。
- パスワード変更要件は多要素認証を搭載していないシステムのみに適用。
③ 共用アカウントと汎用アカウントの利用(要件8)
- 共有アカウント使用禁止要件がv4.0では条件付き(時間枠、承認、操作管理など)で使用可。
④ 2種類のターゲットリスク分析(要件12)
- 実行頻度に柔軟性がある定期的に実行する要件に対するターゲットリスク分析の要件。
⇨5.2.3.1, 5.3.2.1, 7.2.5.1, 8.6.3, 9.5.1.2.1, 10.4.2.1, 11.3.1.1, 11.6.1, 12.10.4.1 - カスタマイズアプローチで事業体が満たす要件に対するターゲットリスク分析の要件。
⑤ 検証方法に、従来の<定義されたコントロール>に加え、セキュリティ目標を達成するための柔軟な手法として<カスタマイズアプローチ>が追加(要件12)
<カスタマイズアプローチ>
- セキュリティ目標を達成するためのコントロールを事業者が決定。
- すでに強固なセキュリティプロセスが確立している事業者向け。
- 独自の方法で要件の目的を達成するために斬新で革新的なアプローチ方法。
- 追加情報を詳細に含む新しい付属書と専用のリスク分析テンプレートがある。
- カスタマイズアプローチが認められない要件。
⇨3.3.1, 3.3.1.1, 3.3.1.2, 3.3.1.3, 3.3.2, 3.5.1.2, 11.3.2, A2.1.1, A.2.1.2, A.2.1.3, A3.1.1, A3.1.2, A3.1.3, A3.1.4, A3.2.1, A3.2.2, A3.2.2.1, A3.2.3, A3.2.4, A3.2.5, A3.2.5.1, A3.2.5.2, A3.2.6, A3.2.6.1, A3.3.1, A3.3.1.2, A3.3.2, A3.3.3, A3.4.1, A3.5.1
<定義されたコントロール>
・従来の方法。
・代替コントロールは、事業上または技術上の制約で要件を満たせないような事業体向け。
⑥ クラウドベースのテクノロジへの対応(要件11、要件12)
- 新用語・・・マルチテナントサービスプロバイダ(AWSやAzureなど)
- 顧客の侵入テストのニーズをサポート。
- 顧客の要求に応じた(顧客に代わって実行する準拠状況や責任範囲など)情報開示をサポート。
⑦ フィッシング攻撃に対する対応強化(要件5、要件12)
- フィッシング対策やソーシャルエンジニアリングを含むセキュリティ意識向上のためのトレーニングを実施。
- 攻撃を自動検知・防止する技術的メカニズムの実装。
⑧ オンラインスキミング攻撃に対する対応強化(要件6、要件12)
- 全ての支払いページスクリプトを管理。
- 支払いページで悪意のあるアクティビティの変更またはインジケータを検出するメカニズムの導入。
⑨ 日常業務プロセス(BAU)としてセキュリティを推進(要件2~11)
- セキュリティは特定の時点に限った活動ではない。
- 主要な要件ごとに役割と責任に関する要件を追加。
- 責任が明確に割り当てられている場合、セキュリティが日常の役割にどのように関係するかをより理解できる。
- 評価対象となる事業体とサードパーティのサービスプロバイダと関係について、より多くのガイダンスを追加。
⑩ レポーティングに関する更新
- ROCやSAQに「In Place With Remediation(処置済み)」チェックボックスを追加。改善された領域が識別可能となりセキュリティの継続性について透明性を提供。
⑪ スケジュール
- 有効期限直前まで待たず、早急にV4へ対応を推奨。
3.PCI DSS v4.0への移行タイムライン
① V3.2.1の廃止・・・2024年3月31日
V3.2.1 ⇒ V4.0へのバージョンアップ移行期間はV4.0改訂版が出てから2年間。
※ V3.2.1での準拠は、AOCの準拠日が2024年3月31日以前であること。準拠日を超えてしまう危険がある場合は要注意。
② ベストプラクティクス要件の期限・・・2025年3月末
V4.0の新要件の多くは、ベストプラクティクスとしてV4.0の移行期限より更に1年間の猶予がある。
※ この期限も有効活用した計画的なバージョンアップを推奨いたします。
ひまわりセキュア(株)では、Ver4.0での取得、バージョンアップへ向けた支援サービスの提供を行っております。