Pick UP!
情報セキュリティトレンド
ICMSが注目するPCI DSSや情報セキュリティに
関する情報をお届けします。
ICMSが注目するPCI DSSや変化のスピードが速い情報セキュリティ業界の“今”をピックアップしています。気になる情報があれば、ICMSまでお問い合わせください。
-
2024.09.03
-
PCI SSCからPCI DSS バージョン4.0.1の日本語版とROCが公開されました(2024年8月)
PCI SSCからPCI DSS バージョン4.0.1の日本語版とROCが公開されました(2024年8月)
Pick Up! (ソース)PCI SSCドキュメントライブラリ
https://www.pcisecuritystandards.org/document_library/PCI SSCからPCI DSS バージョン4.0.1と変更サマリの日本語版とROCテンプレートが公開されました。
上野 洋一
PCI DSS v4.0 は 2024 年 12月31日に廃止、その後v4.0.1のみが有効なバージョンとなります。v4.0.1は、要件の変更はありませんが、“適用に関する注意事項”“ガイダンス”に重要事項が追加されていますので、必ず一読してください。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2024.06.14
-
PCI SSCからPCI DSS バージョン4.0.1と変更サマリが公開されました(2024年6月)
PCI SSCからPCI DSS バージョン4.0.1と変更サマリが公開されました(2024年6月)
Pick Up! (ソース)PCI SSCドキュメントライブラリ
https://www.pcisecuritystandards.org/document_library/
PCI SSCブログ:Just Published: PCI DSS v4.0.1
https://blog.pcisecuritystandards.org/just-published-pci-dss-v4-0-1今回の改訂は、誤植や書式の訂正などがメインであり、要件そのものに追加、削除は無いとのことです。ブログが分かりやすいので、変更サマリと一読すると要点を掴めると思います。イシュアの方は、3.5.1.2 Applicability Noteの箇所に注意をひくと思います。
国際マネジメントシステム認証機構(ICMS)
ブログに紹介されたFAQの一部を紹介します。
※要約であり、当翻訳は公式ではありませんので、ご了承ください。
・v4.0のリタイア時期は?
→PCI DSS v4.0 は 2024 年 12月31日に廃止、その後v4.0.1のみが有効なバージョンとなります。
・PCI DSS v4.0.1 では、新要件の発効日である 2025 年 3 月 31 日は変更になりますか?
→いいえ、変更になりません。この限定的な改訂は、新要件の発効日に影響を与えるものではありません。
・PCI DSS v4.0.1 に新しい要件はありますか?
→いいえ。これは限定的な改訂であるため、新しい要件や削除された要件はありません。
・PCI DSS v4.0.1 Report on Compliance (ROC) テンプレートと Attestations of Compliance (AOC)、および自己評価アンケート (SAQ) はいつ公開されますか?
→第 3 四半期に発行される予定です。その後、優先的アプローチツールなどの更新された PCI DSS サポートドキュメントが発行される予定です。
代表取締役社長/PCI DSS QSA監査員国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2024.04.16
-
PCI SSCより「Items Noted for Improvement (INFI) Worksheet」が発行中止
PCI SSCより「Items Noted for Improvement (INFI) Worksheet」が発行中止
Pick Up! (ソース)https://blog.pcisecuritystandards.org/items-noted-for-improvement-infi-worksheet-discontinued
Items Noted for Improvement (INFI) Worksheet DiscontinuedINFIの中止は、コミュニティメンバーにとってメリットよりも課題を感じることや、INFIの使用方法に誤解があること、意図されていない目的での使用の可能性などを理由として挙げています。SSC公式ドキュメントライブラリにあったINFIのテンプレートは、削除されました。
国際マネジメントシステム認証機構(ICMS)
公式INFIが中止されたことにより、評価中に特定した軽微な不備について是正措置を実施したか、要件を継続的に満たす為のプロセスを備えているかなどの検証が消失する訳ではありません。当社では、v3.2.1と同様の報告書などを使用して、違反事項や改善事項の対応状況を確認していきます。
代表取締役社長/PCI DSS QSA監査員国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2023.12.06
-
PCI SSCより「TRA(ターゲットリスク分析) Guidance v4.x」英語版が発行されました(2023年11月)
PCI SSCより「TRA(ターゲットリスク分析) Guidance v4.x」英語版が発行されました(2023年11月)
Pick Up! (ソース)https://www.pcisecuritystandards.org/document_library/
PCI SSC HP>Resources> Document Library
・TRA Guidance
・Sample Template: TRA for Activity Frequency(TRAテンプレートサンプル)v4.0から要求事項となった「ターゲットリスク分析(TRA)」について、策定に悩む組織は多いようです。「どのように策定すれば良いのか」「他社はどれくらいの頻度で設定しているか」といった声が良く寄せられます。英語版になりますが本ガイダンスでTRAの要求事項を整理し、FAQやテンプレートが多少なりとも参考になればと思います。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2023.10.03
-
PCI SSCより「SAQ Instructions and Guidelines」(v4.0)英語版が発行
PCI SSCより「SAQ Instructions and Guidelines」(v4.0)英語版が発行
Pick Up! (ソース)https://www.pcisecuritystandards.org/document_library/
PCI SSC HP>Resources> Document Library>SAQ Instructions and Guidelines
PCI SSCから「SAQ Instructions and Guidelines」(v4.0)英語版が公開されました。従来のA~D、P2PEタイプに加えて、新たに「SpoC」タイプが追加されました。SSC検証済セキュアカードリーダ搭載の市販のモバイルデバイス向けですので、日本国内では、まだ利用される組織は少ないと思います。
国際マネジメントシステム認証機構(ICMS)
今のところ英語版のみですが、SAQv4.0で対応する事業体様は、公式ガイドラインにはぜひ一度目を通す事を推奨します。
代表取締役社長/PCI DSS QSA監査員国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2023.07.07
-
PCI SSCより「INFI Instructions and Worksheet」が発行
PCI SSCより「INFI Instructions and Worksheet」が発行
Pick Up! (ソース)https://www.pcisecuritystandards.org/document_library/
PCI SSC HP>Resources> Document Library>INFI Instructions and Worksheet
PCI SSCから改善指摘事項(Items Noted for Improvement-INFI)の指示書およびワークシートが公開されました(2023年6月)組織のセキュリティ体制において改善が必要な領域を特定および文書化する一貫性のある方法として示されています。特定された領域に対処し、継続的なプロセスでセキュリティの維持をサポートできるように設計されています。v4.0が発行された当初のROCにありました「In Place with Remediation」は、ROCとは分けてワークシートで対応するとして、短期間で廃止となりました。そのワークシートに該当すると思います。監査におけるQSAからの指摘事項などの報告書の様式は、現在各社に委ねられていますが、今後v4.0監査においてはこのワークシートに準じると思います。
上野 洋一
当社は、本テンプレートを使用する運用に早々に切り替えていく予定です。
お客様におきましては、ご理解とご協力のほど、どうぞよろしくお願いします。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2022.10.20
-
銀聯(UnionPay )が参加ブランドとなりPCIドキュメントが反映されました
銀聯(UnionPay )が参加ブランドとなりPCIドキュメントが反映されました
Pick Up! (ソース)https://www.pcisecuritystandards.org/document_library/
PCI SSC HP>Resources> Document Library
銀聯が参加ブランドして追加され、PCI DSS v3.2.1、および関連ドキュメント(準拠報告書(ROC)テンプレート、準拠証明書(AOC)、自己評価質問票(SAQ))が改訂されました。※英語のみ(2022年10月現在)銀聯カードがPCI SSCの6ブランド目となりました。
上野 洋一
入国水際対策も緩和され、銀聯カードのトランザクションも増えると容易に推測されます。
現状、銀聯カードについてもPCI DSS適用範囲で処理されているとは思いますが、適用範囲に漏れが発生しないよう、データフローの見直しをお願いします。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2022.04.04
-
PCI DSS v4.0が公開されました
PCI DSS v4.0が公開されました
Pick Up! (ソース)v4.0では、今まで実施していたことに対して更なる対応が必要になるものや、要件の考え方が厳格になったものがあります。
上野 洋一
特に下記の件は、大きなインパクトがあるかもしれません。
・ディスク暗号化
・多要素認証
・システムアカウント管理
これら主要な変更点を当社のウェビナーやweb等々で詳しく解説していきたいと思います。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2021.11.08
-
リモートワークにおける監査について
リモートワークにおける監査について
Pick Up! (ソース)PCI SSC FAQ
https://www.pcisecuritystandards.org/faqs
1495) Is an assessor required to visit work-from-home environments to determine if personnel are meeting PCI DSS requirements?
担当者が PCI DSS 要件を満たしているかどうかを判断するために、評価者が在宅勤務環境を訪問する必要がありますか?監査の基本はオンサイト監査ですが、PCI DSSではリモートワークの個人宅にオンサイト監査を行う事はありません。
上野 洋一
事業体の責任において在宅環境で適用可能なPCI DSS 管理策が導入されていること、関連のポリシーおよび手順を実施する必要があります。
対応している状況については、可能な限り各種証跡を利用し確認します。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2021.03.10
-
PCI DSS ver4.0リリース時期延期、2021年第4半期へ
PCI DSS ver4.0リリース時期延期、2021年第4半期へ
Pick Up! (ソース)(参考)
PCI SSCブログ
https://blog.pcisecuritystandards.org/pci-dss-v4.0-timeline-updated-to-support-an-additional-rfc
JCDSC(SSC公式ニュース)
https://www.jcdsc.org/news/20210228_ssc-news.pdfPCI DSS v4.0のリリースが2021年4Q(2021/10~12)に延期されました。
上野 洋一
弊社でもドラフト版に対する意見をおくりましたが、メジャーバージョンアップであり、新しい要件も多く世界中から多くのコメント寄せられ調整に手間取っているのかなと思います。(コロナ禍の影響もあると思いますが)
多くの時間を掛け、良い基準になってくれると期待しています。
もう、延長はしないでほしいですね。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2021.03.10
-
BINの桁数が変更に
BINの桁数が変更に
Pick Up! (ソース)(参考)
Visa's Numerics Initiative(Visa公式)
https://usa.visa.com/partner-with-us/info-for-partners/numerics-initiative.html
PCI SSC公式FAQ
https://www.pcisecuritystandards.org/faqs
-記事No.1492
How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs?
BINが8桁に移行した際に、事業体はPANのマスキングやトランケーションでPCI DSS要件をどう満たすか。
-記事No.1091
What are acceptable formats for truncation of primary account numbers?
各ブランドのPANトランケーションフォーマットVISAのページによると、BINの桁数8桁に移行は2022年4月ビジネスリリースとあります。
上野 洋一
PCI SSCのFAQ(上記参照)には、BIN桁数が増えることを前提にしたマスク方法が記載されているので、やっと来たかという感覚です。
ペイメントアプリケーションやホストなどでBINの桁数を固定にしている組織は、システム改修に相当のインパクトがあると思います。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2021.03.05
-
2021年注目するセキュリティ脅威2
2021年注目するセキュリティ脅威2
Pick Up! (ソース)(参考)
Security NEXT数十以上の金融機関にDDoS攻撃か - ダークネットで応答パケット観測
https://www.security-next.com/120992
「ランサムDDoS」を国内で観測 - 支払有無で結果変わらず
https://www.security-next.com/118189
IPA情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
IPAテレワークを行う際のセキュリティ上の注意事項
https://www.ipa.go.jp/security/announce/telework.html引き続き2020年を振り返り、今年新たに注目を浴びているセキュリティ脅威と、あわせて関連するPCI DSSの要件を紹介します。
岸 克巳
-ランサムDDoS(DDoS脅迫)
DDoS攻撃の中止と引き換えに金銭を要求する攻撃です。DDoSは新たな脅威ではありませんが、依然として被害にあう事例が絶えず、被害は深刻です。
地方銀行、オンライン決済サービス事業者、金融関連サービス、旅行代理店、eコマースなどが標的となっており、サービスが停止することでビジネスに大きな影響が及ぶ事業者が狙われています。近年ではIoT機器が踏み台となるケースが増えています。
DDoS攻撃対策ツールの導入や、定期的な脆弱性検査やパッチ適用、IoT機器含めアプリケーション、デバイスの更新で常にセキュリティの強度を高め、リスクの低減化に努めることが推奨されます。
-テレワーク等のニューノーマルな働き方を狙った攻撃
テレワーク・リモートワークは、セキュリティ対策が施されているオフィス環境と異なり、リモートアクセス環境は様々なパターンが想定されます。私物のPCか会社からの貸与か、自宅から会社の通信はVPNを利用しているか、外部インターネット接続を含め全通信がVPN経由か等々、環境により脅威も多様化します。個々の説明は別の機会にするとして、いずれのパターンに共通していえる基本的な対策を述べたいと思います。
・テレワーク・リモートワークにおいても安全なセキュリティポリシーを整備すること。
・使用しているPCは常に最新のパッチを適用し、脆弱性を突かれないようにすること。
・セキュリティ教育を徹底すること。
PCI DSSはクレジットカード情報を守るセキュリティ基準になりますが、リモートアクセス含め社の機密情報を守るセキュリティ対策としても活用できる、体系的で定量的な基準になります。対策、運用や技術面の参考にしてください。
要件1.4リモートで使用するPCのセキュリティ対策
要件5.2アンチウイルス更新と定期スキャン
要件6.1、6.2セキュリティ脆弱性の把握とパッチ対策
要件8.3 多要素認証、8.4パスワードの保護
要件11.2、11.3 脆弱性スキャン、ペネトレーションテスト
要件12..3 PC未使用時のセッション自動切断、PCに重要情報を保存しないなど
要件12.6 セキュリティポリシー教育
国際マネジメントシステム認証機構(ICMS)
PCI DSS QSA監査員/ISMS 主任審査員岸 克巳
国際マネジメントシステム認証機構(ICMS)
PCI DSS QSA監査員/ISMS 主任審査員
-
2021.01.06
-
2021年注目するセキュリティ脅威
2021年注目するセキュリティ脅威
Pick Up! (ソース)(参考)
IPA 【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について
https://www.ipa.go.jp/security/announce/2020-ransom.html
ZDNet Japan 2020年のランサムウェアはバラマキ型から標的型に--経営責任のリスクも
https://japan.zdnet.com/article/35163807/
FFRI 標的型ランサムウェアの脅威
https://www.ffri.jp/blog/2020/06/2020-06-29-Targeted-ransomware-threat.htm
Secureworks 日本国内で増加する 標的型ランサムウェアインシデント
https://www.secureworks.jp/resources/at-targeted-ransomware-spreading-in-japan2020年を振り返り、2021年も引き続き注目していきたいセキュリティ脅威のひとつ、「標的型攻撃におけるランサムウェア」を紹介します。
宮﨑 清隆
〇標的型攻撃におけるランサムウェアを用いたファイル暗号化
ランサムウェアは、一般的にメール添付ファイルを不用意に実行することによって感染し、ファイルが暗号化される身代金要求系のマルウェアです。そのランサムウェアが標的型攻撃において悪用され始めたのが2020年の大きなトピックとなりました。
標的型攻撃は、ターゲットとなる組織のコンピュータネットワークに様々な手法を用いて侵入し、機密度が高く、価値ある情報を秘密裏に盗み出す、長期間に及ぶセキュリティ脅威であり、侵入されていること、情報を盗み出されることなどを悟られないように工作活動を続け、機密情報等を長年にわたって盗み続けるのが一般的です。
ですが、2020年に見られた標的型攻撃では、侵入に成功した後、ファイルサーバを特定し、当該サーバ上のデータを盗み出した後に、攻撃者によって実行されたランサムウェアによってファイルが暗号化され、身代金をも要求する攻撃活動が見られました。従来の長期にわたる秘密裏の工作活動から、ファイル暗号化による事業活動の妨害・身代金の直接請求へと、その脅威が大きく変化しています。
このランサムウェアを標的型攻撃に組み合わせる脅威は、次の点で、被害を受けた組織を悩ませました。まず、ファイル暗号化の影響による事業継続が困難な点、そしてもうひとつは、身代金の支払いを問わず盗みだされた情報をインターネット上にリークされる点です。つまり、標的型攻撃を受け、被害が発生したことを世間に隠し通せないことも、組織にとって大きな脅威になることが明らかになりました。
このような攻撃から組織を守るためには、従来から求められている基本的な情報セキュリティ対策の積み重ねが肝要です。また、被害が発生した時にはインシデント対応体制の存在も肝要です。サイバー攻撃の被害はIT部門に集中しますが、今回紹介した標的型攻撃では、経営層の関与がもはや不可欠になっていることも示唆しています。経営層とIT部門の連携のとれたインシデント対応体制、机上訓練の実施などが、今後ますます重要になろうかと思います。
ICMSでは、PCI DSS監査・ISMS審査を通じて、監査要件にしたがったインシデント対応訓練の実施状況、経営層とIT部門の連携状況を確認しています。組織規模により大小はあるものの、インシデント対応体制を整えている組織が増えていますが、今後も増加していくことを願っています。もし、このような社内体制の構築・改善に興味を持たれましたら、弊社も含め、ITセキュリティ関連企業にお問い合わせ頂き、新たなセキュリティ脅威への対応を推進されることをお勧めします。
国際マネジメントシステム認証機構(ICMS)
PCI DSS QSA監査員宮﨑 清隆
国際マネジメントシステム認証機構(ICMS)
PCI DSS QSA監査員
-
2020.12.16
-
UnionPay (銀聯)がPCI SSCのStrategic Memberに
UnionPay (銀聯)がPCI SSCのStrategic Memberに
Pick Up! (ソース)PCI SSC公式(英語)2020年11月2日プレスリリース
https://www.pcisecuritystandards.org/about_us/press_releases/pr_11022020
記事概要
UnionPay (銀聯)が PCIデータセキュリティ基準審議会(PCI SSC)の戦略的メンバー(Strategic Member)になりました。銀聯のPCI SSCへの加入は、国際的なカード決済基準の強化、および統一性を促進することが期待されます。少し前から、銀聯カードのPCI SSCメンバー入りについては噂がありましたが、やっと参加したというところですかね。
上野 洋一
今では、日本国内どこでも銀聯カードが利用できますので、当然といえば当然ですね。
現状、PCI DSS準拠システム範囲に銀聯カードに関するシステムがある場合が多いので、影響は少ないかもしれませんが、今一度、銀聯カードのデータフローの見直しをお願いします。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2020.10.23
-
PCI DSS v4.0今後のスケジュールについて
PCI DSS v4.0今後のスケジュールについて
Pick Up! (ソース)PCI SSC公式(英語)
https://blog.pcisecuritystandards.org/pci-dss-v4-0-anticipated-timelines-and-latest-updates
日本語版(SSC Japan)
https://training.pcisecuritystandards.org/pci-dss-v4-0-timelines-japanesePCI DSS v4.0へのバージョンアップはPCI DSS v3.0が2013年11月にリリースして以来ですので実に約8年ぶりのメジャーバージョンアップになります。
上野 洋一
基本的に変わらないセキュリティ規格が、8年間も大幅な変更なく運用されてきたことは、昨今の情報セキュリティ事情を考えると驚異的なことだと思います。それだけ、PCI DSSは網羅的に情報セキュリティがカバーされた洗練されたものであると言えます。
今回のv4.0ではさらに現在のトレンドを意識したものとなっています。
詳細をお伝えしたいのですが、NDAが厳しく記載することができません。
しかし、今まで以上に厳しく、現在のシステムや運用の見直しは必須だと思われます。
正式リリースは2021年2Qが予定されています。
その時点では、大々的に皆さんに変更点や注意点をお伝えできるよう規格を読み込み、理解を深めておきたいと思います。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
お問い合わせはこちらから
-
お電話からのお問い合わせはこちらから