ブログ

  • 2024/11/27

PCI DSS v4.0への対応期日直前!ベストプラクティス要件3.5.1.2について解説!

こんにちは。「FinalCode」製品担当です。
さて、クレジットカード会員情報を安全に取り扱うための国際的なセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)が、約8年ぶりにメジャーバージョンアップされ、2024年4月1日よりPCI DSS v4.0の運用が開始されました。
当バージョンアップにより、クレジットカード事業者は60以上のすべての要件を2025年3月31日までに満たさねばなりません。

今回はPCI DSS v4.0のポイントと、今回のバージョンアップにて特に大きい変更の1つである、要件3.5.1.2「ディスクレベル/パーティションレベルの暗号化は不可」について解説し、要件に対応しているファイルセキュリティ製品「FinalCode」を紹介いたします。

クレジットカードセキュリティイメージ

1. PCI DSS v4.0とは

PCI DSSとは、クレジットカード会員データを安全に取り扱うことを目的に策定されたクレジットカード業界のセキュリティ基準です。

2024年4月より運用が開始したPCI DSS v4.0では、大きく下記3点が変更点として記載されていました。

■対象となる事業者の拡大

前バージョンであるPCI DSS v3.2.1では、準拠対象は「アカウントデータを保存、処理、または伝送する事業体」しか明記されていませんでしたが、今回のPCI DSS v4.0で「セキュリティに影響を与える可能性のあるすべての事業体やカード会員データにアクセスできる事業体」も含まれ、より対象が明確となりました。

■組織が特定のセキュリティ対策を実施する頻度と範囲について

PCI DSS v4.0では、組織に対してターゲットリスク分析を用い、特定のセキュリティ対策を実施する頻度と範囲について分析し、適切にセキュリティ対策を行うように義務付けています。

  1. ※ターゲットリスク分析:「PCI DSS の目的のために、特定の PCI DSS 要件に焦点を当てたリスク分析」と定義されており、事業者の運用状態に対して、保護すべき資産、情報へのリスクを洗い出し、総合的に分析することを指しております。定期的な対策が必要となる要件に関して、その発生頻度をリスク分析に基づいて決定することが求められています。

■昨今のインシデントに合わせた対応要件の追加

昨今の情報セキュリティインシデントの状況を鑑み、対応要件が追記されました。例えば、近年話題のフィッシング攻撃やオンラインスキミングなどのインシデントの発生要因から、クレジットカード情報やシステムにアクセスするための認証情報が攻撃を受けないように新しく要件が追記されました。

2. 要件3.5.1.2「ディスクレベル/パーティションレベルの暗号化は不可」とは

様々な大きな変更点があったPCI DSS v4.0ですが、その中でも特に注目すべき点の1つに要件3.5.1.2「ディスクレベル/パーティションレベルの暗号化は不可」があります。

本要件は、下記のように記載されています。現時点ではベストプラクティス要件となりますが、2025年4月1日までには必ず対応しなければいけません。

ディスクレベルまたはパーティションレベルの暗号化(ファイル、列、フィールドレベルのデータベース暗号化ではない)を使用してPANを読み取り不能にする場合、以下のようにのみ実装される。

  • リムーバブル電子メディア上
    または
  • リムーバブルでない電子メディアに使用する場合は、要件 3.5.1 を満たす別のメカニズムでPANも読み取り不能にする。
出典: Payment Card Industry データセキュリティ基準 (PDF)

本要件では、サーバーに内蔵されているハードディスクや外部ストレージに格納されているカード会員データは、ディスクレベルやパーティションレベルの暗号化ではいけないということが記載されています。

新たに追加された背景は、例えばディスクレベルの暗号化が許可されているリムーバブルメディアについては、不正アクセスされる場合というのは不正持ち出しが想定されます。
しかし、ディスクレベルで暗号化されていれば、復号化されることはないのでカード会員データは保護できると考えられています。

しかしサーバーやクライアント端末上にある情報をディスクレベルまたはパーティションレベルの暗号化を許可した場合、サーバーが起動すると自動的に復号化される挙動になっているため、正規のユーザー以外が接続できてしまえばカード会員データを確認することが可能となります。
これらより、ディスクレベルでは安全性を担保できないということで、利用が不可である旨が記載されています。

3. ディスクレベルの暗号化に替わるファイル暗号化ソリューション「FinalCode」とは

それでは、要件3.5.1.2「ディスクレベル/パーティションレベルの暗号化は不可」を満たすためのディスク暗号化の代替手段として、何が挙げられるのでしょうか。

情報漏えいを防ぐためには、たとえサーバーにアクセスされたとしても攻撃者に情報が渡らない代替手段が必要となります。

この問題を解決する方法の一つが「ファイル暗号化」です。
ファイルの暗号化は利用しているプログラムに左右されず、例えばアプリケーション変更の必要がなく、データの暗号化が可能です。
また、OSとは別で管理しているため、例えばファイル単位やユーザー単位での制御を行うことができます。

ファイル暗号化ソリューションの「FinalCode」は、ファイルそのものを暗号化し、1つ1つのファイルに詳細な権限を付与し、情報の流出を防ぐことができます。

さらにPCI DSS v4.0では、強力な暗号化技術を用いることも求めています。
「FinalCode」は要求されている強力な暗号化技術の要件を満たしており、電子政府推奨の暗号化技術として、暗号化アルゴリズムAES 256bit形式、暗号通信SSL+RSA2048を採用しています。

また、通常のファイルセキュリティソリューションにはない独自の機能で、利便性高く重要情報を守ります。

ファイルセキュリティ

① 守る

閲覧権限をメールアドレスで指定し、特定のユーザーのみがファイルを開くことが可能です。万が一、ファイルを第三者に共有されてしまったとしても、閲覧権限の無いユーザーはファイルを開くことができないため、機密情報の流出を防止することができます。

また、ファイルをフォルダーに格納する際に自動で暗号化することも可能なため、社員に暗号化を意識させずにファイルを守ることができます。

② 追跡する

手元を離れたファイルに対して「いつ、だれが、どんな操作をしたか」のログを確認できます。権限の無いユーザーからのアクセスがあった場合はファイルの作成者に通知をすることが可能なため、不正アクセスを早期に検知できます。

③ あとから消せる

「FinalCode」で暗号化したファイルは、遠隔で削除することができます。 閲覧権限の無いユーザーがファイルを開こうとした場合に自動でファイルを削除することも可能なため、悪意のあるユーザーの手元にファイルが残ってしまう心配はありません。

この機会にぜひファイルセキュリティ「FinalCode」をご確認ください。


03-5220-3090平日 9:00~18:00(土・日・祝日、弊社指定休業日除く)

- 弊社製品の海外でのご利用について

資料請求・お問い合わせ

お問い合わせ・資料請求

14日間無料試用版ご利用の申込み

このページの先頭へ