統合ログ管理ツールやデータベースの暗号化ツールなどのセキュリティ製品ベンダーが最近頻繁にプロモーションに用いるキーワードとしてPCI DSS(Payment Card Industry Data Security Standard)が注目を集めている。PCI DSSは、クレジットカード情報の保護を強固なものにするガイドラインとして国際カードブランド大手5社(Visa Inc.、MasterCard Worldwide、American Express、Discover Financial Services、JCB International)が共同して作成したセキュリティ実装対策基準である。近年、事実上の国際規格として知られるが、果たして期待通りにセキュリティ対策の実装要求基準として役に立つものなのだろうか。また、PCI DSSは、クレジットカード業界に無縁な一般企業にも応用できる基準なのか。
注目を集めるPCI DSSとは
筆者がPCI DSSに最初に関心を持ったのは、2005年に米国で開催されたCSI(Computer Security Institute)が主催するカンファレンスCSISX(CSI Security Exchange Conference)に参加した時のことである。
CSI SXは、30年以上も歴史がある情報セキュリティに関する専門家の会合で、毎年、その時々の情報セキュリティに関する最新の話題が討議される。セキュリティベンダー中心のカンファレンスが多い中、CSI SXは、ユーザーに当たる企業のCISO(Chief Information Security Officer)が多く参加する貴重なカンファレンスである。
その年のカンファレンスで立ち見が出るほど盛況だったセミナーがスピーカーメーカーとして知られるボーズ(BOSE)のCISOによるPCI DSS準拠事例発表だった。あまりにも参加者が熱心に聴講していたことから、PCI DSSが米国でただならぬ関心を集めていることを知る機会となった。
PC DSSは、元々は、国際カードブランド各社がそれぞれクレジットカード会員情報を保護するための規格を策定し、運用していたものを、2004年12月に統合、クレジットカード業界の統一規格としてPCI DSS バージョン1・0として公表したのが最初である。
現在は、「PCIセキュリティ標準協議会(PCI Security Standards Council:PCI SSC)」が基準の策定、改良、普及、導入支援を実施している。PCI SSCは、2006年9月に設立された団体で、米国でもPCI DSSが急速に普及し始めたのはこの団体が発足してからだ。
