TL;DR

クレジットカード情報を扱う場合、PCI DSSは必須です。PCI DSS の対象期間は次のとおりです。カード会員データ（CHD）および機密認証データ（SAD）を保護する方法（暗号化、ファイアウォール、アクセス制御、ロギング、スキャンなど）を網羅しています。

これを怠れば、罰金、違反行為、訴訟、支払い処理業者からの締め出しなどのリスクを負うことになります。コンプライアンスはオプションではありません。

PCI DSS スコアカードの概要：

• 開発者の労力：中～高（安全なコーディング、安全な設定、カード会員データの慎重な取り扱い、アクセス制御の遵守、 脆弱性スキャン/ログのサポートが必要）。
• ツール費用：中～高（ファイアウォール、脆弱性スキャナ（ASVスキャン）、ファイル整合性監視、ロギング/SIEM、暗号化ツール、トークン化/P2PEソリューションの可能性）。
• 市場への影響クリティカル（ペイメントカードデータを扱うすべての事業体に義務付けられ ている。）
• 柔軟性：低～中程度（中核となる要件は規定されているが、具体的な実施方法は様々である。）
• 監査の強度：高（有資格セキュリティ評価者（QSA）による自己評価質問票（SAQ）または正式な準拠性報告書（ROC）による年次検証、および四半期ごとの脆弱性スキャンが必要）。

PCI DSSとは？

Payment Card Industry Data Security Standard（PCI DSS）は、データの取り扱いと保管に関する管理を強化することで、クレジットカードの不正使用を防止することを目的とした世界的な情報セキュリティ基準です。PCI DSS は、規模や所在地に関係なく、カード会員データ（CHD）または機密認証データ（SAD）を受理、処理、保管、または送信するあらゆる組織に適用されます。

CHD には、プライマリアカウント番号（PAN）、カード所有者名、有効期限、サービスコードが含まれる。SAD には、完全な追跡データ、カード検証コード（CVV2、CVC2 など）、および PIN が含まれる。

PCI DSSは、主要なペイメントカードブランド（Visa、Mastercard、American Express、Discover、JCB）がPCI Security Standards Council（PCI SSC）を設立して策定したものです。準拠はPCI SSCが直接行うのではなく、各カードブランドとアクワイアリング銀行が実施する。

この規格は、6 つの目標を中心に構成されており、それが12 の中核となる要件に変換されます（これらは新しい PCI DSS v4.0 でも一貫したコンセプトであり続けています）：

1. 安全なネットワークとシステムの構築と維持
   
   • 要件1：ネットワーク・セキュリティ・コントロール（ファイアウォール）の設置および保守。
   • 要件2：すべてのシステムコンポーネントに安全な設定を適用する。
2. アカウントデータの保護：
   
   • 要件3：保存されたアカウントデータを保護する（例えば、PANを暗号化する）。
   • 要件 4：オープンでパブリックなネットワーク上での送信時に、強力な暗号化技術を使用して カード会員データを保護する。
3. 脆弱性管理プログラムを維持する：
   
   • 要件5：悪意のあるソフトウェアからすべてのシステムとネットワークを保護する。
   • 備考 6：セキュアなシステムおよびソフトウェアの開発・保守（パッチ適用、セキュアコーディング）。
4. 強力なアクセス制御手段を導入する：
   
   • 要件 7：システムコンポーネントおよびカード会員データへのアクセスを業務上の必要性に応じて 制限する。
   • 要求8：ユーザーを識別し、システムコンポーネントへのアクセスを認証する。
   • 要件 9：カード会員データへの物理的アクセスを制限する。
5. ネットワークの定期的な監視とテスト
   
   • 要件 10：システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録 し、監視する。
   • 要 件 11：システムとネットワークのセキュリティを定期的にテストする（脆弱性スキャン、侵入テスト）。
6. 情報セキュリティポリシーを維持する：
   
   • 要 件 12：組織の方針とプログラムによって情報セキュリティをサポートする。

コンプライアンス検証は、年間処理トランザクション量（加盟店レベル1～4、サービスプロバイダレベル1～2）に応じて異なり、年1回の自己評価アンケート（SAQ）から、コンプライアンス報告書（ROC）を提出する有資格セキュリティ評価者（QSA）による正式なオンサイト監査まで多岐にわたる。通常、認定スキャニングベンダー（ASV）による四半期ごとの外部脆弱性スキャンが必要です。PCI DSS v4.0は現行バージョンで、2025年3月31日までに要件が義務化されます。

なぜ重要なのか？

ペイメントカードデータに触れるすべてのビジネスにとって、PCI DSS準拠は絶対不可欠です：

• カード決済に必要：主要なカードブランドがアクワイアリング・バンクとの契約を通じて義務付けている。非準拠の場合、カード決済ができなくなる可能性がある。
• データ漏洩の防止：PCI DSS 管理を導入することで、コストのかかるカード会員データ漏えいのリスクを大幅に低減できます。
• 厳しい罰金の回避：コンプライアンス違反は、たとえ違反がなかったとしても、加盟銀行／カードブランドから毎月多額の罰金（毎月5,000ドルから10万ドル以上）を科される可能性がある。
• 侵害による影響の軽減： 万が一、情報漏えいが発生した場合、PCI DSS に準拠していることで、十分な注意を払っていることが証明され、罰金、法的責任、補償費用（カードの再発行費用など）を削減できる可能性があります。
• 顧客の信頼構築：コンプライアンスを遵守することで、支払データのセキュリティに真剣に取り組んでいることが顧客に伝わり、信頼とロイヤルティが醸成されます。
• ブランドの評判を守る：カード情報漏えいは企業の評判を著しく損ないます。PCI DSSはその防止に役立ちます。
• セキュリティのベースラインを提供：決済データだけでなく、組織全体のセキュリティ態勢にメリットをもたらす、強固なセキュリティの基本フレームワークを提供する。

PCI DSSを無視することは、ペイメントカードを受け入れたい企業にとって、単純に選択肢の一つではありません。

何をどのように実施するか（技術・政策）

PCI DSS の実装には、技術的な管理および文書化されたポリシー/手順を通じて 12 のコア要件すべてに対処することが含まれます。開発および運用に影響を与える主な分野は次のとおりです：

1. セキュアネットワーク（Req 1 & 2）：
   
   • カード会員データ環境（CDE）を他のネットワークから分離するためのファイアウォールを実装し、維持する。
   • 安全な設定を使用する：ベンダーのデフォルトを変更する、不要なサービス/ポートを無効にする、システムを堅牢化する。証拠：ファイアウォールルールセット、設定標準、ネットワーク図
2. カード会員データの保護（Req 3 & 4）：
   
   • 保管を最小限にする：絶対に必要な場合を除き、カード会員データを保存しない。認証後の SAD は絶対に保存しない。
   • Mask PAN：プライマリーアカウント番号（PAN）を表示する際にマスクする（最初の6桁／最後の4桁のみ表示）。
   • PANの暗号化：強力な暗号化技術（AES-256など）と強固な鍵管理を用いて、保存されたPANを読めなくする。
   • 伝送を暗号化する：オープン/パブリックネットワークでの送信時にCHDを暗号化する（強力なTLSバージョン、安全なプロトコルを使用する）。証拠：データ保持ポリシー、データフロー図、暗号化設定、鍵管理手順。
3. 脆弱性管理（Req 5 & 6）：
   
   • マルウェア対策：一般的にマルウェアの影響を受けるシステムにマルウェア対策ソリューションを導入し、定期的に更新する。
   • パッチ適用：セキュリティパッチを特定し、速やかに適用するプロセスを導入する（重要なパッチについ ては、定められた期限内に）。
   • 安全なコーディングセキュアコーディングガイドライン（例：OWASP）に基づき、ソフトウェアアプリケーション（内部または特注）を開発し、開発者を訓練し、一般的なコーディングの脆弱性（インジェクション、XSSなど）に対処する。証拠パッチ管理記録、セキュアコーディング方針、開発者トレーニング記録、SAST/DAST 結果。
4. アクセス制御（Req 7, 8, 9）：
   
   • 最小限の特権/知る必要性：職務上の役割と最低限必要な権限に基づいて、CHDとシステム・コンポーネントへのアクセスを制限する。
   • 一意のIDと認証：アクセス用に一意のIDを割り当てる。強力な認証（複雑なパスワード/パスフレーズ、MFA-特にCDEアクセス用）を導入する。
   • 物理的セキュリティ：CHD を保管／処理するシステムへの物理的アクセスを確保する。証拠：アクセス制御ポリシー、RBAC 設定、MFA 設定、パスワードポリシー、物理的アクセスログ。
5. モニタリングとテスト（Req 10 & 11）：
   
   • ロギング：すべてのシステム・コンポーネントに対して詳細な監査ロギングを実施し、ネットワーク・リソースとCHDへのアクセスを追跡する。ログを改ざんから保護する。時刻同期（NTP）を使用する。
   • ログの見直し：不審な動きがないか、定期的にログを確認する。
   • 脆弱性スキャン：四半期ごとに外部ASVスキャンと内部脆弱性スキャンを実施する。脆弱性に対処する。
   • 侵入テスト：年 1 回の内部／外部侵入テストを実施する（重要な変更後にも実施）。
   • 侵入検知/防止：IDS/IPSを導入する。
   • 変更の検出：重要なファイルにはファイル整合性監視（FIM）を使用する。証拠ログレビュー手順、SIEM 構成、ASV スキャンレポート、ペンテストレポート、FIM ログ。
6. 情報セキュリティポリシー（Req 12）：
   
   • 包括的な情報セキュリティ方針を維持し、毎年見直し、関係者に配布する。
   • セキュリティ責任を明確にし、意識向上トレーニングを実施する。
   • インシデント対応計画を実施し、テストする。証拠情報セキュリティポリシー文書、トレーニング記録、インシデント対応計画とテスト結果。

PCI DSS v4.0では、パスワード/MFA要件の強化、管理項目の適用範囲の拡大、フィッシング防止や決済ページのスクリプトセキュリティに関する新たな要件などのアップデートが導入され、従来の「定義されたアプローチ」に加えて、特定の条件下で要件を満たすための「カスタマイズされたアプローチ」が可能になりました。

避けるべき一般的な間違い

PCI DSS コンプライアンスを達成し、維持することはしばしば困難です。よくあるエラーを回避してください：

1. 誤ったスコープ設定：CHDを保存、処理、送信する、あるいはCDEのセキュリティに影響を与える可能性のあるすべてのシステム、ネットワーク、アプリケーションを正確に特定しなかったこと。これは最も重大なミスである。
2. 機密認証データ（SAD）の保存：認証後にCVV2、フルトラックデータ、PINデータを不正に保存すること。
3. 不十分なデータ保護：暗号化されていないPANの保管、脆弱な暗号化／鍵管理の使用、安全でない経路でのCHDの送信。
4. 弱いアクセス制御：共有/デフォルト認証情報の使用、CDE アクセスの MFA の欠如、最小特権の不履行、アクセスの迅速な失効。
5. 不十分なログと監視：関連するイベントをログに記録していない、ログを定期的に確認していない、ログを改ざんから保護していない。
6. 脆弱性管理の無視：四半期ごとのASVスキャンをスキップする、内部スキャンに失敗する、重要な脆弱性に迅速にパッチを適用しない。
7. 貧弱なセキュアコーディングの実践：CHDを暴露する一般的な脆弱性（SQLi、XSS）を持つアプリケーションの開発。
8. 方針および手順の怠慢：文書化された方針、手順、またはインシデント対応計画がない、または従業員への研修を怠っている。
9. ベンダーのコンプライアンス：サードパーティのサービスプロバイダーがコンプライアンスを遵守していると仮定する。
10. コンプライアンスを年次的なものとして扱う：PCI DSS を継続的なセキュリティプロセスではなく、単なる年 1 回の監査/SAQ と見なす。

監査人/QSAが尋ねそうなこと（開発者フォーカス）

PCI DSSの認定セキュリティ評価者（QSA）による監査では、要件 6（セキュアなシステムおよびソフトウェア）に関連する開発プラクティスが調査されます：

• (Req 6.2)「安全なソフトウェア開発ライフサイクル（SSDLC）プロセスを記述すること。
• (要求事項 6.2.1)「業界標準および/または PCI DSS(例えば、OWASP のようなセキュアコーディングガイドライン)に基づいて、カスタ ムソフトウェアおよび特注ソフトウェアはどのように開発されますか?
• (Req 6.2.2)"開発者はセキュアコーディング技術についてどのようにトレーニングを受けていますか?"(トレーニング記録の提示)
• (Req. 6.2.3)「コード変更は、リリース前にセキュリティ脆弱性 についてどのようにレビューされるか？(コードレビューのプロセスを記述してください）
• (要求6.2.4)"開発/テスト環境と本番環境の間で、どのように職務の分離を確保していますか?"
• (要求6.3)"オーダーメイドおよびカスタム・ソフトウェアをどのように識別し、インベントリー化するか?"
• (Req 6.4 - v4.0)"支払いページのスクリプトをどのように管理し、完全性を確保し、スクリプトを承認していますか？"(ウェブ開発者向け）
• (Req 6.5 - v3.2.1 / v4.0の各種)"インジェクションの欠陥、バッファオーバーフロー、安全でない暗号ストレージ、XSSなどのような一般的なコーディングの脆弱性からどのように守っていますか？"(コード例の提示、ツールの使用-SAST/DASTが必要）
• (要求3)"機密データ(PAN)がアプリケーション内のストレージでどのように保護(暗号化、ハッシュ化、トランケーション)されているかを示すこと。"
• (要求4)"機密データが伝送中にどのように暗号化されるかを示すこと。"
• (要求8)"アプリケーションはどのようにパスワードの複雑性とMFA要件を強制しますか?"

QSA は、文書化されたプロセス、開発者訓練、セキュアコーディング標準の遵守、コードレビュー、セキュ リティテスト結果（SAST/DAST）、アプリケーション内のセキュアな構成の証拠を必要とする。

開発チームのクイックウィン

開発者はPCI DSS コンプライアンスに大きく貢献できます：

1. SAD を絶対に保存しない：コードが、認証後に CVV2、トラックデータ、または PIN を決して記録、保存、または保持しないようにする。
2. CHDの取り扱いを最小限にする：可能であれば、CHDを自社のシステムから完全に排除する（範囲を縮小する）サードパーティの支払いプロセッサー／ゲートウェイを使用する。CHDを取り扱わなければならない場合は、CHDが流れ、保管される場所を最小限にする。
3. セキュアコーディングの基本：OWASPトップ10の脆弱性、特にインジェクション（SQLi、コマンドインジェクション）とクロスサイトスクリプティング（XSS）の防止に重点を置き、入力検証と出力エンコーディングを行います。
4. データベース・クエリをパラメータ化する：SQLインジェクションを防ぐために、常にプリペアド・ステートメントまたはパラメータ化されたクエリを使用すること。
5. PANの暗号化／ハッシュ化／トークン化：PANを保存する場合は、強力な標準暗号化（AES-256）を適切な鍵管理とともに使用するか、トークン化ソリューションを検討する。独自の暗号化は行わないこと。
6. 強力なTLSを使用する：すべてのCHD伝送が最新の安全なTLSバージョンと強力な暗号スイートを使用するようにする。
7. 入力バリデーションの実施：ユーザーまたは外部システムからのすべての入力を厳密に検証する。
8. セキュリティヘッダの適用：HTTPセキュリティヘッダ(Content-Security-Policyなど)を使用して、XSSやその他のクライアントサイドの攻撃を緩和する。

これを無視すれば...（コンプライアンス違反の結果）

PCI DSSを無視すると、財政的に打撃を受け、評判が壊滅的になる可能性があります：

• 毎月の罰金：買収銀行は、コンプライアンス違反に対して高額な罰金を課す。通常、毎月5,000ドルから10万ドル以上の罰金が課され、コンプライアンスレベルと違反期間に応じて増額される。
• 取引手数料の増加：銀行は、非準拠の加盟店に対する取引手数料を引き上げる可能性がある。
• カードブランドのペナルティ：カードブランドは直接、追加のペナルティを課すことができる。
• カード処理の停止：銀行は、ペイメントカードを受け入れる能力を完全に取り消すことができ、カード決済の収入源を事実上停止することができる。
• データ漏洩のコスト：コンプライアンス違反が情報漏えいにつながった場合、コストは急増する。これには、フォレンジック調査、カード交換費用（1枚あたり3～5ドル以上）、被害者の信用監視、弁護士費用、規制当局による罰金（該当する場合はGDPRなど）、訴訟の可能性などが含まれる。
• 風評被害：コンプライアンス違反やカード情報漏洩の公表は、顧客の信頼とブランドイメージに深刻なダメージを与える。
• 監視の強化：コンプライアンス違反や情報漏えいの後、企業は銀行やカードブランドからの厳しい監視に直面する。

よくあるご質問

PCI DSSに準拠する必要があるのはどのような企業ですか？

主要なカードブランド（Visa、Mastercard、American Express、Discover、JCB）のカード会員データを受け入れ、処理、保存、または送信するすべての組織。これには、加盟店、サービスプロバイダー（決済処理業者、ホスティングプロバイダーなど）、金融機関が含まれます。

PCI DSS v3.2.1とv4.0の違いは何ですか？

PCI DSS v4.0は、v3.2.1（v4.0 の新しい要件は 2025 年 3 月 31 日までベストプラクティスとなるが、v3.2.1 は 2024 年 3 月 31 日に失効）に代わる最新バージョンです。v4.0 の主な変更点には、パスワード/MFA 要件の更新、セキュリティ管理の適用範囲の拡大、フィッシン グ攻撃および電子商取引スキミング攻撃をターゲットとした新しい要件、より明確なガイダンス、従来の「定義さ れたアプローチ」と並んで要件目標を満たす代替方法としての「カスタマイズされたアプローチ」の導入などがあ ります。

マーチャント・レベル／サービス・プロバイダー・レベルとは何ですか？

これらは、年間カード取引量に基づいて組織を分類する。レベル 1（処理量が最も多い）では、検証要件が最も厳しくなります（QSA による年次 ROC、四半期ごとの ASV スキャン）。レベル 2、3、4 は、処理量が徐々に少なくなり、通常、年 1 回の SAQ と四半期に 1 回の ASV スキャンで検証を行います。

QSAとASVとは何ですか？

QSA（Qualified Security Assessor）とは、PCI SSC によって認定された個人で、PCI DSS 評価をオンサイトで実施し、レベル 1 の加盟店/サービスプロバイダの準拠レポート（ROC）を作成します。ASV（Approved Scanning Vendor）とは、PCI SSC によって認定され、四半期ごとに義務付けられている外部ネットワークの脆弱性スキャンを実施する組織です。

カード会員データ環境（CDE）とは何ですか？

CDE は、カード会員データまたは機密性の高い認証データを保存、処理、または送信する人、プロセ ス、およびテクノロジで構成されます。要件は主にこの環境内で適用されるため、CDE の範囲を正確に定義することが PCI DSS 準拠の重要な第一歩となります。ネットワークのセグメンテーションは、CDE の範囲を縮小するために使用できます。

CVV2コードを保存できますか？

いいえ。3 桁または 4 桁のカード検証コード（CVV2、CVC2、CID、CAV2）、完全な磁気ストライプデータ、および PIN を含む機密認証データ（SAD）は、取引の承認が完了した後は決して保存してはなりません。SAD の保存は重大なコンプライアンス違反である。

PCI DSS準拠は法的に義務付けられていますか？

PCI DSSはカードブランドによって策定された業界標準ですが、準拠は通常、加盟店、アクワイアリング 銀行、およびカードブランド間の契約によって義務付けられています。準拠に失敗すると、これらの契約に違反し、銀行/ブランドによって罰則が科されることになります。また、個人情報が関係する場合は、GDPRのような法的要件と重複する可能性もある。