PCI DSS v4.0:スクリプトの監視と管理に関する新たなニーズに対応
PCI DSS とは?
Payment Card Industry Data Security Standard(PCI DSS)とは、クレジットカード口座のデータセキュリティを促進、強化するとともに、国際的に一貫したデータセキュリティ対策を幅広く採用することを目的として開発された基準です。
クレジットカード業界におけるこの基準は、オンライン決済を受け入れるあらゆる企業にとって最も重要なコンプライアンス規制の 1 つであり、最終更新から 4 年が経過しています。PCI 基準はクレジットカードのデータを詐欺や不正使用から守るために策定されました。この基準は、カード保有者データを保存、処理、または送信するあらゆる小売業または組織に適用されます。
v4.0 の違いは?
PCI DSS の今回のメジャーリビジョン(v4.0)は、 2022 年 3 月にリリースされました。このリビジョンには、コンプライアンスへの準拠を維持したいと考えるお客様にとってゲームチェンジを促す新たな基準や勧告が含まれています。たとえば、ブラウザースクリプトの監視と管理が必要になりますが、これは正に Akamai Page Integrity Manager が中核とする機能です。
PCI DSS v4.0 は、デジタルコマースのプロバイダーに対し、JavaScript ベースのカードスキミング攻撃への効果的な防御を構築するという新たな要件も追加しています。これにより、チェックアウトと支払いページのクライアント側セキュリティがこれまで以上に重要となります。
必須になったスクリプト監視
この新たな要件はまだ必須要件にはなっていませんが、その期限は 2025 年です。スクリプトの動作の変化を監視し対処することは、散発的な Magecart 攻撃を受けたお客様だけの関心事ではなく、これからは日常的に順守すべき要件になります。
PCI DSS v4.0 コンプライアンスの新たなニーズに対応できる Page Integrity Manager は、当社のお客様にとって今後さらに重要なものになると考えられます。
以下の表は、今回のいくつかの変更点と、Page Integrity Manager がそれらにどのように対応しているかをまとめたものです。
Page Integrity Manager は PCI DSS v4.0 のコンプライアンス準拠にどう役立つのか?
今すべきことは何か?
現在のサイトのスクリプトを監視し管理するために、いま用いているしくみがあれば、本要件に沿って再評価することをお勧めします。本要件では、定期的なレビューだけでなく、継続的な監視も求められていることを忘れないでください。また、サイト内に存在するスクリプトと、その役割のインベントリを用意して、それぞれの正当性を示す文書化ができるようにすることも重要です。
Page Integrity Manager や、この製品が新たな要件を満たすためにどのように役立つかについての詳細は、Akamai の担当者にお問い合わせいただくか、または info_akamai@akamai.co.jp まで E メールでご連絡ください。
