保存したクレジットカード会員データを保護する方法はありますか?(PCI DSS要件3)

サイバーセキュリティに関するご質問にタレス eセキュリティがお答えします。

保存したクレジットカード会員データを保護する方法はありますか?(PCI DSS要件3)

PCI DSSでは、保存しているカード会員データを保護することが求められます。この基準では、暗号化、トークン化、トランケーション、マスキング、ハッシュ化など、カード会員データを保護する適切な方法の例が示されています。このような保護方法を1つまたは複数活用することで、データが盗まれたとしても事実上使用できないようにすることができます。

保存しているデータを保護するうえで、「すべてに適用できるソリューション」は存在しません。PCI DSS要件3については、攻撃者ができるだけ攻撃しにくいようにするために実装すべき最低限のセキュリティレベルだと考えるべきです。

データ保管ルールを把握する

データが保存されている場所をすべて知っておく必要があります(データフットプリントを最小限に抑えることにつながります)。要件3では、保存できるデータと保存できないデータについても示されています。この要件に関する最良のアドバイスは「不要なデータは保存しないこと」です。

保存したデータを判読不能にする

PCI DSS基準では、プライマリアカウント番号(PAN)を保存している場所がどこであっても、この番号を判読不能にすることが求められています。保存場所としては、ポータブルストレージメディアやバックアップデバイスはもちろん、見落とされがちですが監査ログなども対象になります。PCI Security Standards Council(PCI SSC)は「判読不能」という表現を意図的に使用しており、これにより、特定のテクノロジーを強制することを避け、将来においてもこの要件の妥当性が維持されるようにしています。ただし、要件3.4ではいくつかの選択肢が提示されています。

  • 一方向ハッシュ:強力な暗号化に基づいて、PAN全体をハッシュ化します。
  • トランケーション:PANの一部分のみを保存します(先頭の6桁および末尾の4桁以外は含まない)。
  • トークン化:PANそのものではなく、PANに代わるものを保存します。
  • 強力な暗号化:鍵管理プロセスとセキュリティ手順で補強します。

鍵を安全に管理する

保存したデータを判読不能にするためにどの方法を使用するとしても、関連の暗号化鍵を保護することが必要になります。強力な暗号化を採用しても、鍵管理プロセスが脆弱であれば意味がありません。PCI DSSでは、鍵の管理に関して詳細なガイダンスが示されています。その内容は、銀行や各種金融機関が暗号化鍵を保護するうえで必要とする仕組みとほぼ同じです。また、追加の要件として、各種の鍵を実装、管理する方法について、鍵のライフサイクル全体を通して完全に文書化することが求められています。

組織が鍵の管理に成功するかどうかは、優れた暗号化鍵管理者がいるかどうか、つまり、システムに対する攻撃に決して共謀することのない信頼できるスタッフがいるかどうかにかかっています。鍵管理者になる人は、鍵管理者としての責任を理解して受け入れることを正式に承諾する必要があります。

また、保存しているカード会員データを保護するためのセキュリティポリシーと運用手順を文書化して使用し、組織内の全関係者に周知させる必要があります。

強力な鍵管理の重要性を過小評価しないようにしてください。近道はありません。認定審査機関(QSA)によって問題点が見つかった場合、攻撃者もその問題点に気づいている可能性があります。

PANを表示する前にマスキングする

PCI DSSでは、PANの表示に関して、非常に具体的なアドバイスがいくつか示されています。たとえば、ビジネス上の理由から表示を必要とするユーザーに対してのみ、すべての数字(通常は16桁)を表示するようにします。それ以外の場合は常に、PANの先頭6桁および末尾4桁以外を表示しないようにマスキングする必要があります。

注:この資料は、「誰でもわかるPCIコンプライアンスとデータ保護、タレス eセキュリティリミテッドエディション」(Ian Hermon/Peter Spier著)から抜粋したものです。各トピックの詳細については、原文を参照してください。

関連記事