PCI DSS 4.0:金融サービスプロバイダーが新しい規制要件について知っておくべきこと
このブログはこちらの英語ブログ(2024年11月7日公開)の機械翻訳です。
金融サービスプロバイダーにとって、顧客の機密情報を安全に保護しながら、便利でシームレスな決済を実現することは最も重要です。2006年、プロバイダーのグループが、支払いとカード保有者のデータを保護するためのガイドラインと基準を策定し維持することを目的とした世界的なフォーラムであるPayment Card Industry Security Standards Council(PCI SSC)を設立しました。同協議会のPayment Card Industry Data Security Standard(PCI DSS)は、これらのガイドラインを収集し、サイバー攻撃が増加する中、PCI DSSへの準拠を目指す金融サービス組織にとって重要な参考資料となっています。
2024年3月には、バージョン4.0のPCI DSSが施行されました。4.0の要件の一部は即時に有効となりましたが、大半は2025年3月31日までは強制力を持たないことになっています。つまり、要件とその達成方法についてまだ明確な理解が必要な金融サービス企業にとっては、セキュリティインフラを強化し、近代化するための貴重な数か月が残されているということです。
このブログでは、PCI DSS 4.0 に関する主な疑問について回答することを目的としています。
- この更新の目的は何ですか?
- 更新された要件は認証にどのような影響を与えますか?
- Okta のような最新のアイデンティティソリューションは、PCI DSS に含まれるアイデンティティ関連の要件をどのようにサポートできますか?
PCI DSS 4.0 の目的は何ですか?
PCI DSS 4.0 は、デジタル環境での決済カードの使用において、機密性の高い消費者情報を保護するという PCI Security Standards Council の目標をさらに推進するために策定されました。 以前のバージョンの PCI DSS には、決済セキュリティに関する厳格な基準やルールが数多く盛り込まれていましたが、特にサイバー攻撃が増加している環境では、COVID-19 の発生中および発生後に電子商取引が劇的に増加したことで、対処が必要な脆弱性が依然として残っていることが明らかになりました。
PCI DSS 4.0の目標は、4つの大きなカテゴリーに分類されます。
|
PCI DSS 4.0の目標 |
|||
|
決済業界のセキュリティニーズへの対応 |
セキュリティを継続的なプロセスとして推進 |
セキュリティ達成のためのさまざまな方法における柔軟性の向上 |
検証方式および手順の強化 |
|
脅威の状況はここ数年で劇的に変化しており、PCI DSSは多要素認証(MFA)、パスワード、eコマース、フィッシング耐性に関する新しい要件や拡張要件を採用する必要があります。 |
効果的なセキュリティ対策は一度きりで終わるものではなく、継続的な取り組みです。PCI DSSは、詳細な要件(それぞれに明確な役割と責任が割り当てられている)と実装に関する堅牢なガイダンスによって、この問題に対処することを目的としています。 |
より強固なセキュリティに向けたさまざまなアプローチを可能にすることで、革新と普及が促進されます。PCI DSSは、的を絞ったリスク分析、カスタマイズされたアプローチ、革新的な方式によるセキュリティ目標達成のための追加オプションを通じて、これらの目標をサポートすることを目指しています。 |
明確な検証と報告オプションにより、金融サービスプロバイダの透明性と詳細な正確性が確保されます。PCI DSSは、組織のセキュリティインフラと規制当局が持つインフラの全体像との整合性を高めることを目指しています。 |
認証要件はどのように更新されたのでしょうか?
PCI DSS 4.0 における重要な変更点のひとつに、認証に関するものがあります。これは、特定のユーザーが本人であることを確認し、それに応じて機密情報へのアクセスを許可するというものです。以下は、更新された PCI DSS 4.0 に含まれる認証関連の主な変更点の概要です。
- MFAは、内部と外部ネットワークの両方で必須となりました。
- パスワードの最小文字数は12文字以上(以前は7文字以上)となりました。
- MFA機能がない場合、認証情報の盗難の脅威を軽減するために、パスワードは90日ごとに更新しなければならなくなりました。
- 特権アクセス管理を導入している組織では、共有アカウントと汎用アカウントが許可されるようになりました。
詳細:要件8とMFA
PCI DSS 4.0には13の広範な要件が含まれており、そのうちの1つはアイデンティティに特化したものです。要件8では、組織に対して「アクセス権を持つ人物」それぞれに固有のアイデンティティを割り当てることを義務付けており、重要なデータやシステムに関連する操作が、既知の認可ユーザーによって実行され、そのユーザーに追跡できることを保証しています。
特に記載のない限り、これらの要件は、POS、管理、支払いアカウントのデータを表示またはアクセスするために使用されるすべてのアカウントを含む、すべてのアカウントに適用されます。これらの要件は、消費者(カード所有者)が使用するアカウントには適用されません。
Oktaは要件8のあらゆる側面でのコンプライアンスをサポートします。実際、各サブセクションに対して、Oktaはより強力で安全な認証をサポートする機能が少なくとも1つあります。
|
サブセクション |
要件 |
Oktaの機能と利点 |
|
8.1 |
ユーザーを識別し、システムコンポーネントへのアクセスを認証するためのプロセスとメカニズムが定義され、理解されている。 |
Okta Identity Governanceは、組織のセキュリティ対策を改善し、アクセスガバナンスを向上させる統合ソリューションを提供します。これにより、適切なユーザーが適切なタイミングで適切なリソースにアクセスできるようになります。 多くの企業では、組織内のアイデンティティとアクセスの乱立に関する透明性が確保されていません。そのため、セキュリティチームは、複雑なクラウドとSaaS環境における詳細な可視性とリスク分析が不足しているため、制御が適切に実装されているかどうかを確認することが困難です。これが、OktaがOkta Identity Security Posture Managementを導入した理由です。 |
|
8.2 |
ユーザーと管理者のユーザー識別と関連アカウントは、アカウントのライフサイクル全体を通じて厳格に管理されています。 |
Okta Lifecycle Managementは、アプリケーションとクラウドディレクトリ全体でユーザープロビジョニング/プロビジョニング解除を自動化し、ユーザーIDとアクセスを一元的に管理します。 |
|
8.3 |
ユーザーと管理者向けの強力な認証が確立・管理されています。 |
Adaptive MFAは、フィッシング耐性などの2つ以上の高信頼性の認証要素を使用してリソースへのアクセスを保護する強力な認証を使用しており、組織はニーズや要件に合わせて柔軟に認証ポリシーを適用できます。 |
|
8.4 |
カード会員データ環境(CDE)へのアクセスを保護するためにMFAが実装されている。 |
|
|
8.5 |
MFAシステムは、不正使用を防止するように構成されている。 |
|
|
8.6 |
アプリケーションとシステムアカウントと関連する認証要素の使用は厳格に管理されている。 |
機能の注目点:Okta Privileged Access Management
セキュリティを強化し、その強化を達成するためのより柔軟な方法を可能にするという2つの目標をサポートするために、PCI DSS 4.0では、組織が特権アクセス管理を実装している場合のみ、共有グループアカウントと汎用アカウントを作成することを許可しています。
Okta Privileged Accessを使用すると、セキュリティ管理者は、サーバーなどの特権リソースへの排他的なアクセスを制御できます。また、共有アカウントの使用を制限したり、特定の期間に特権アクセスを提供したり、ユーザーIDとパスワードの代わりに一時的な証明書を使用したりすることもできます。さらに、これらのリソースにアクセスするためのポリシーの一部としてMFAを拡張することもできます。このIDベースのセキュリティレイヤーにより、共有特権アカウント内の個々の責任を明確にすることが可能になり、特権リソースのセキュリティ強化をサポートします。
機能の注目点: Okta Identity Security Posture Management
アイデンティティとアクセスの管理が不十分な状態が続くと、一部のユーザーがオフボード化されたままの状態となり、アイデンティティが過剰にプロビジョニングされたり、使用されていないリスクの高い権限が残されたままになるなど、管理されていない攻撃対象領域が拡大していきます。
このような不安定な状況は、フィッシングによる悪意のあるアクセスや、盗まれた認証情報、アカウント乗っ取りなどのリスクに組織をさらすことになり、組織を守るセキュリティチームの時間とリソースを浪費することになります。
当社のソリューションは、IDの可視化、管理、修正を自動化する、合理化された単一のサービスです。これにより、アイデンティティリスクの特定と優先順位付けを「ワンストップショップ」で実現します。さらに、この製品はコンテクスト化機能により、すべてのユーザーアカウントを必要な特権、アクティビティ、従業員のライフサイクルの段階にリンクし、脅威を軽減し、コンプライアンスの確保を支援します。これには、高度なアクセス権を持つアカウントやMFAが設定されていないアカウントの特定が含まれます。
Okta:規制変更への対応に役立つ秘密兵器
金融サービスプロバイダーは、2025年3月31日までに上記の要件を満たさなければなりません。つまり、セキュリティインフラストラクチャの成熟度を全体的に向上させるには、あまり時間が残されていないということです。Oktaのソリューションは、この向上において重要な役割を果たし、業界標準を満たし、カスタマーアイデンティティを安全に保つために、アイデンティティ機能を安全かつ近代化します。
アイデンティティ成熟度の向上に関するアドバイスをご希望の場合は、当社までお問い合わせください。
免責事項:これらの資料およびその中の推奨事項は、法律、プライバシー、セキュリティ、コンプライアンス、またはビジネスに関するアドバイスではありません。これらの資料は一般的な情報提供のみを目的としており、最新のセキュリティ、プライバシー、および法律の動向、または関連するすべての問題を反映していない場合があります。法律、セキュリティ、プライバシー、コンプライアンス、またはビジネスに関するアドバイスは、各自の弁護士またはその他の専門アドバイザーから取得する責任があり、これらの推奨事項に依存すべきではありません。Oktaは、お客様が本資料に記載された推奨事項を実施した結果生じる可能性のある損失または損害について、お客様に対して一切責任を負いません。Oktaは、本資料の内容について、表明、保証、またはその他の保証を行いません。Oktaがお客様に対して契約上保証する内容については、okta.com/agreementsをご覧ください。
以上の内容は、原文(英語)の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。
