Pick UP!
情報セキュリティトレンド
ICMSが注目するPCI DSSや情報セキュリティに
関する情報をお届けします。
ICMSが注目するPCI DSSや変化のスピードが速い情報セキュリティ業界の“今”をピックアップしています。気になる情報があれば、ICMSまでお問い合わせください。
-
2024.04.16
-
PCI SSCより「Items Noted for Improvement (INFI) Worksheet」が発行中止
PCI SSCより「Items Noted for Improvement (INFI) Worksheet」が発行中止
Pick Up! (ソース)https://blog.pcisecuritystandards.org/items-noted-for-improvement-infi-worksheet-discontinued
Items Noted for Improvement (INFI) Worksheet DiscontinuedINFIの中止は、コミュニティメンバーにとってメリットよりも課題を感じることや、INFIの使用方法に誤解があること、意図されていない目的での使用の可能性などを理由として挙げています。SSC公式ドキュメントライブラリにあったINFIのテンプレートは、削除されました。
国際マネジメントシステム認証機構(ICMS)
公式INFIが中止されたことにより、評価中に特定した軽微な不備について是正措置を実施したか、要件を継続的に満たす為のプロセスを備えているかなどの検証が消失する訳ではありません。当社では、v3.2.1と同様の報告書などを使用して、違反事項や改善事項の対応状況を確認していきます。
代表取締役社長/PCI DSS QSA監査員国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2023.12.06
-
PCI SSCより「TRA(ターゲットリスク分析) Guidance v4.x」英語版が発行されました(2023年11月)
PCI SSCより「TRA(ターゲットリスク分析) Guidance v4.x」英語版が発行されました(2023年11月)
Pick Up! (ソース)https://www.pcisecuritystandards.org/document_library/
PCI SSC HP>Resources> Document Library
・TRA Guidance
・Sample Template: TRA for Activity Frequency(TRAテンプレートサンプル)v4.0から要求事項となった「ターゲットリスク分析(TRA)」について、策定に悩む組織は多いようです。「どのように策定すれば良いのか」「他社はどれくらいの頻度で設定しているか」といった声が良く寄せられます。英語版になりますが本ガイダンスでTRAの要求事項を整理し、FAQやテンプレートが多少なりとも参考になればと思います。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2023.10.03
-
PCI SSCより「SAQ Instructions and Guidelines」(v4.0)英語版が発行
PCI SSCより「SAQ Instructions and Guidelines」(v4.0)英語版が発行
Pick Up! (ソース)https://www.pcisecuritystandards.org/document_library/
PCI SSC HP>Resources> Document Library>SAQ Instructions and Guidelines
PCI SSCから「SAQ Instructions and Guidelines」(v4.0)英語版が公開されました。従来のA~D、P2PEタイプに加えて、新たに「SpoC」タイプが追加されました。SSC検証済セキュアカードリーダ搭載の市販のモバイルデバイス向けですので、日本国内では、まだ利用される組織は少ないと思います。
国際マネジメントシステム認証機構(ICMS)
今のところ英語版のみですが、SAQv4.0で対応する事業体様は、公式ガイドラインにはぜひ一度目を通す事を推奨します。
代表取締役社長/PCI DSS QSA監査員国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2023.07.07
-
PCI SSCより「INFI Instructions and Worksheet」が発行
PCI SSCより「INFI Instructions and Worksheet」が発行
Pick Up! (ソース)https://www.pcisecuritystandards.org/document_library/
PCI SSC HP>Resources> Document Library>INFI Instructions and Worksheet
PCI SSCから改善指摘事項(Items Noted for Improvement-INFI)の指示書およびワークシートが公開されました(2023年6月)組織のセキュリティ体制において改善が必要な領域を特定および文書化する一貫性のある方法として示されています。特定された領域に対処し、継続的なプロセスでセキュリティの維持をサポートできるように設計されています。v4.0が発行された当初のROCにありました「In Place with Remediation」は、ROCとは分けてワークシートで対応するとして、短期間で廃止となりました。そのワークシートに該当すると思います。監査におけるQSAからの指摘事項などの報告書の様式は、現在各社に委ねられていますが、今後v4.0監査においてはこのワークシートに準じると思います。
上野 洋一
当社は、本テンプレートを使用する運用に早々に切り替えていく予定です。
お客様におきましては、ご理解とご協力のほど、どうぞよろしくお願いします。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2022.10.20
-
銀聯(UnionPay )が参加ブランドとなりPCIドキュメントが反映されました
銀聯(UnionPay )が参加ブランドとなりPCIドキュメントが反映されました
Pick Up! (ソース)https://www.pcisecuritystandards.org/document_library/
PCI SSC HP>Resources> Document Library
銀聯が参加ブランドして追加され、PCI DSS v3.2.1、および関連ドキュメント(準拠報告書(ROC)テンプレート、準拠証明書(AOC)、自己評価質問票(SAQ))が改訂されました。※英語のみ(2022年10月現在)銀聯カードがPCI SSCの6ブランド目となりました。
上野 洋一
入国水際対策も緩和され、銀聯カードのトランザクションも増えると容易に推測されます。
現状、銀聯カードについてもPCI DSS適用範囲で処理されているとは思いますが、適用範囲に漏れが発生しないよう、データフローの見直しをお願いします。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2022.04.04
-
PCI DSS v4.0が公開されました
PCI DSS v4.0が公開されました
Pick Up! (ソース)v4.0では、今まで実施していたことに対して更なる対応が必要になるものや、要件の考え方が厳格になったものがあります。
上野 洋一
特に下記の件は、大きなインパクトがあるかもしれません。
・ディスク暗号化
・多要素認証
・システムアカウント管理
これら主要な変更点を当社のウェビナーやweb等々で詳しく解説していきたいと思います。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2021.11.08
-
リモートワークにおける監査について
リモートワークにおける監査について
Pick Up! (ソース)PCI SSC FAQ
https://www.pcisecuritystandards.org/faqs
1495) Is an assessor required to visit work-from-home environments to determine if personnel are meeting PCI DSS requirements?
担当者が PCI DSS 要件を満たしているかどうかを判断するために、評価者が在宅勤務環境を訪問する必要がありますか?監査の基本はオンサイト監査ですが、PCI DSSではリモートワークの個人宅にオンサイト監査を行う事はありません。
上野 洋一
事業体の責任において在宅環境で適用可能なPCI DSS 管理策が導入されていること、関連のポリシーおよび手順を実施する必要があります。
対応している状況については、可能な限り各種証跡を利用し確認します。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2021.03.10
-
PCI DSS ver4.0リリース時期延期、2021年第4半期へ
PCI DSS ver4.0リリース時期延期、2021年第4半期へ
Pick Up! (ソース)(参考)
PCI SSCブログ
https://blog.pcisecuritystandards.org/pci-dss-v4.0-timeline-updated-to-support-an-additional-rfc
JCDSC(SSC公式ニュース)
https://www.jcdsc.org/news/20210228_ssc-news.pdfPCI DSS v4.0のリリースが2021年4Q(2021/10~12)に延期されました。
上野 洋一
弊社でもドラフト版に対する意見をおくりましたが、メジャーバージョンアップであり、新しい要件も多く世界中から多くのコメント寄せられ調整に手間取っているのかなと思います。(コロナ禍の影響もあると思いますが)
多くの時間を掛け、良い基準になってくれると期待しています。
もう、延長はしないでほしいですね。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2021.03.10
-
BINの桁数が変更に
BINの桁数が変更に
Pick Up! (ソース)(参考)
Visa's Numerics Initiative(Visa公式)
https://usa.visa.com/partner-with-us/info-for-partners/numerics-initiative.html
PCI SSC公式FAQ
https://www.pcisecuritystandards.org/faqs
-記事No.1492
How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs?
BINが8桁に移行した際に、事業体はPANのマスキングやトランケーションでPCI DSS要件をどう満たすか。
-記事No.1091
What are acceptable formats for truncation of primary account numbers?
各ブランドのPANトランケーションフォーマットVISAのページによると、BINの桁数8桁に移行は2022年4月ビジネスリリースとあります。
上野 洋一
PCI SSCのFAQ(上記参照)には、BIN桁数が増えることを前提にしたマスク方法が記載されているので、やっと来たかという感覚です。
ペイメントアプリケーションやホストなどでBINの桁数を固定にしている組織は、システム改修に相当のインパクトがあると思います。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2021.03.05
-
2021年注目するセキュリティ脅威2
2021年注目するセキュリティ脅威2
Pick Up! (ソース)(参考)
Security NEXT数十以上の金融機関にDDoS攻撃か - ダークネットで応答パケット観測
https://www.security-next.com/120992
「ランサムDDoS」を国内で観測 - 支払有無で結果変わらず
https://www.security-next.com/118189
IPA情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
IPAテレワークを行う際のセキュリティ上の注意事項
https://www.ipa.go.jp/security/announce/telework.html引き続き2020年を振り返り、今年新たに注目を浴びているセキュリティ脅威と、あわせて関連するPCI DSSの要件を紹介します。
岸 克巳
-ランサムDDoS(DDoS脅迫)
DDoS攻撃の中止と引き換えに金銭を要求する攻撃です。DDoSは新たな脅威ではありませんが、依然として被害にあう事例が絶えず、被害は深刻です。
地方銀行、オンライン決済サービス事業者、金融関連サービス、旅行代理店、eコマースなどが標的となっており、サービスが停止することでビジネスに大きな影響が及ぶ事業者が狙われています。近年ではIoT機器が踏み台となるケースが増えています。
DDoS攻撃対策ツールの導入や、定期的な脆弱性検査やパッチ適用、IoT機器含めアプリケーション、デバイスの更新で常にセキュリティの強度を高め、リスクの低減化に努めることが推奨されます。
-テレワーク等のニューノーマルな働き方を狙った攻撃
テレワーク・リモートワークは、セキュリティ対策が施されているオフィス環境と異なり、リモートアクセス環境は様々なパターンが想定されます。私物のPCか会社からの貸与か、自宅から会社の通信はVPNを利用しているか、外部インターネット接続を含め全通信がVPN経由か等々、環境により脅威も多様化します。個々の説明は別の機会にするとして、いずれのパターンに共通していえる基本的な対策を述べたいと思います。
・テレワーク・リモートワークにおいても安全なセキュリティポリシーを整備すること。
・使用しているPCは常に最新のパッチを適用し、脆弱性を突かれないようにすること。
・セキュリティ教育を徹底すること。
PCI DSSはクレジットカード情報を守るセキュリティ基準になりますが、リモートアクセス含め社の機密情報を守るセキュリティ対策としても活用できる、体系的で定量的な基準になります。対策、運用や技術面の参考にしてください。
要件1.4リモートで使用するPCのセキュリティ対策
要件5.2アンチウイルス更新と定期スキャン
要件6.1、6.2セキュリティ脆弱性の把握とパッチ対策
要件8.3 多要素認証、8.4パスワードの保護
要件11.2、11.3 脆弱性スキャン、ペネトレーションテスト
要件12..3 PC未使用時のセッション自動切断、PCに重要情報を保存しないなど
要件12.6 セキュリティポリシー教育
国際マネジメントシステム認証機構(ICMS)
PCI DSS QSA監査員/ISMS 主任審査員岸 克巳
国際マネジメントシステム認証機構(ICMS)
PCI DSS QSA監査員/ISMS 主任審査員
-
2020.12.16
-
UnionPay (銀聯)がPCI SSCのStrategic Memberに
UnionPay (銀聯)がPCI SSCのStrategic Memberに
Pick Up! (ソース)PCI SSC公式(英語)2020年11月2日プレスリリース
https://www.pcisecuritystandards.org/about_us/press_releases/pr_11022020
記事概要
UnionPay (銀聯)が PCIデータセキュリティ基準審議会(PCI SSC)の戦略的メンバー(Strategic Member)になりました。銀聯のPCI SSCへの加入は、国際的なカード決済基準の強化、および統一性を促進することが期待されます。少し前から、銀聯カードのPCI SSCメンバー入りについては噂がありましたが、やっと参加したというところですかね。
上野 洋一
今では、日本国内どこでも銀聯カードが利用できますので、当然といえば当然ですね。
現状、PCI DSS準拠システム範囲に銀聯カードに関するシステムがある場合が多いので、影響は少ないかもしれませんが、今一度、銀聯カードのデータフローの見直しをお願いします。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
2020.10.23
-
PCI DSS v4.0今後のスケジュールについて
PCI DSS v4.0今後のスケジュールについて
Pick Up! (ソース)PCI SSC公式(英語)
https://blog.pcisecuritystandards.org/pci-dss-v4-0-anticipated-timelines-and-latest-updates
日本語版(SSC Japan)
https://training.pcisecuritystandards.org/pci-dss-v4-0-timelines-japanesePCI DSS v4.0へのバージョンアップはPCI DSS v3.0が2013年11月にリリースして以来ですので実に約8年ぶりのメジャーバージョンアップになります。
上野 洋一
基本的に変わらないセキュリティ規格が、8年間も大幅な変更なく運用されてきたことは、昨今の情報セキュリティ事情を考えると驚異的なことだと思います。それだけ、PCI DSSは網羅的に情報セキュリティがカバーされた洗練されたものであると言えます。
今回のv4.0ではさらに現在のトレンドを意識したものとなっています。
詳細をお伝えしたいのですが、NDAが厳しく記載することができません。
しかし、今まで以上に厳しく、現在のシステムや運用の見直しは必須だと思われます。
正式リリースは2021年2Qが予定されています。
その時点では、大々的に皆さんに変更点や注意点をお伝えできるよう規格を読み込み、理解を深めておきたいと思います。
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員上野 洋一
国際マネジメントシステム認証機構(ICMS)
代表取締役社長/PCI DSS QSA監査員
-
お問い合わせはこちらから
-
お電話からのお問い合わせはこちらから