PCI DSSとは、クレジットカード業界のセキュリティ基準のことです。
PCI DSSに関しては、詳しく解説された過去問(H21SC春午後2問2)があるので、引用します。言葉の定義に関しては、以下の冒頭を読んでもらえばわかることでしょう。
Fさん:先日の話ですが,国際クレジットカードブランド5社が共同で設立したPCISSC (Payment Card Industry Security Standards Council, LLC)という国際協議会が, PCIデータセキュリティ基準(Payment Card Industry Data SecurityStandard,以下, PCI DSS という)という業界基準を設けています。この基準を参考にして対応を考えてはどうでしょうか。

Fさんは図2に示すPCIDSS(バージョン1.2)の要件をG部長に提示した。
安全なネットワークの構築と維持
 要件1 :カード会員データ(')を保護するために,ファイアウォールをインストールして構成を維持すること
 要件2 :システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないこと
カード会員データの保護
 要件3 :保存されたカード会員データを保護すること
 要件4 :オープンな公共ネットワーク経由でカード会員デー夕を伝送する場合・暗号化すること
脆弱性管理プログラムの整備
 要件5 :アンチウィルスソフトウェア(')またはプログラムを使用し,定期的に更新すること
 要件6 :安全性の高いシステムとアプリケーションを開発し,保守すること
強固なアクセス制御手法の導入
 要件7 :カード会員データへのアクセスを,業務上必要な範囲内に制限すること
 要件8 :コンピュータにアクセスできる各ユーザ(=>)に一意のIDを割り当てる。
 要件9 :カード会員データへの物理アクセスを制限する。
ネットワークの定期的な監視およびテスト
 要件10 :ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する。要件11 :セキュリティシステムおよびプロセスを定期的にテストする。
情報セキュリティポリシー(4)の整備
 要件12 :従業員および派遣社員向けの情報セキュリティポリシーを整備する。
3









G部長:全部で12個の要件があるのか。観察事項に対応する要件は要件6, 8辺りかな。これらの要件が更に細かく分かれているわけだね。
Fさん:そうです。例えば,観察事項として指摘されたパスワード管理に関しては,要件8の中に,図3に示すような詳細要件が定められています。
要件8:コンピュータにアクセスできる各ユーザ(')に一意のIDを割り当てる。
(省略)
8.5 すべてのシステムコンポーネントで. 以下のように,消費者以外のユーザおよび管理者に対して適切なユーザ認証とパスワード管理を確実に行う。
 8.5.1 ユーザID.資格情報,およびその他の識別子オブジェクトの追加,削除,変更を管理する。
 8.5.2 パスワードのリセットを実行する前にユーザIDを確認する。
 8.5.3 初期パスワードをユーザごとに一意の値に設定し,初回使用後に直ちに変更する。
(省略)
 8.5.9 少なくとも90日ごとにユーザパスワードを変更する。
 8.5.10 パスワードに7文字以上が含まれることを要求する。
 8.5.11 数字と英文字の両方を含むパスワードを使用する。
 8.5.12 ユーザが新しいパスワードを送信する際,最後に使用した4つのパスワードと同じものを使用できないようにする。
(省略)
4






G部長:クレジットカード加盟店では,今後このレベルの管理が求められるということか。当社の現状からみるとかなり厳しい要件もあるが,クレジットカード決済を利用していくのであれば実施する方がいいのだろうね。