PCI DSSの登場の背景から普及するための課題、さらに一般企業への応用までPCI DSSのすべてを解説する。
統合ログ管理ツールやデータベースの暗号化ツールなどのセキュリティ製品ベンダーが最近頻繁にプロモーションに用いるキーワードとしてPCI DSS(Payment Card Industry Data Security Standard)が注目を集めている。PCI DSSは、クレジットカード情報の保護を強固なものにするガイドラインとして国際カードブランド大手5社(Visa Inc.、MasterCard Worldwide、American Express、Discover Financial Services、JCB International)が共同して作成したセキュリティ実装対策基準である。近年、事実上の国際規格として知られるが、果たして期待通りにセキュリティ対策の実装要求基準として役に立つものなのだろうか。また、PCI DSSは、クレジットカード業界に無縁な一般企業にも応用できる基準なのか。
注目を集めるPCI DSSとは
筆者がPCI DSSに最初に関心を持ったのは、2005年に米国で開催されたCSI(Computer Security Institute)が主催するカンファレンスCSISX(CSI Security Exchange Conference)に参加した時のことである。
CSI SXは、30年以上も歴史がある情報セキュリティに関する専門家の会合で、毎年、その時々の情報セキュリティに関する最新の話題が討議される。セキュリティベンダー中心のカンファレンスが多い中、CSI SXは、ユーザーに当たる企業のCISO(Chief Information Security Officer)が多く参加する貴重なカンファレンスである。
その年のカンファレンスで立ち見が出るほど盛況だったセミナーがスピーカーメーカーとして知られるボーズ(BOSE)のCISOによるPCI DSS準拠事例発表だった。あまりにも参加者が熱心に聴講していたことから、PCI DSSが米国でただならぬ関心を集めていることを知る機会となった。
PC DSSは、元々は、国際カードブランド各社がそれぞれクレジットカード会員情報を保護するための規格を策定し、運用していたものを、2004年12月に統合、クレジットカード業界の統一規格としてPCI DSS バージョン1・0として公表したのが最初である。
現在は、「PCIセキュリティ標準協議会(PCI Security Standards Council:PCI SSC)」が基準の策定、改良、普及、導入支援を実施している。PCI SSCは、2006年9月に設立された団体で、米国でもPCI DSSが急速に普及し始めたのはこの団体が発足してからだ。
この記事は参考になりましたか?
- IT Compliance Reviewスペシャル連載記事一覧
- この記事の著者
-
山崎 文明(ヤマザキ フミアキ)
ビジネスアシュアランス株式会社 代表取締役社長
ネットワンシステムズ株式会社 フェローシステム監査技術者(経済産業省)
英国規格協会公認BS7799情報セキュリティ・スペシャリスト
大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
