PCI DSS とは？

ハッカーはお金を追い求めるため、金融取引は詐欺やサイバー犯罪行為の標的となります。たとえば、2022 年の Akamai のレポート によると、金融サービス企業に対する Web アプリケーション攻撃と API 攻撃は前年比で 257% 増加しました。さらに、連邦取引委員会の統計によると、消費者は 2022 年に金融詐欺により約 88 億ドルの損失を被っており、2021 年から 44% の増加となっています。

決済カードデータを使った金融詐欺や金融犯罪の発生を阻止するために、PCI Security Standards Council は、PCI DSS（Payment Card Industry Data Security Standard）という情報セキュリティ基準を提示しています。ここでは、その PCI DSS の要件を説明します。

PCI DSS は、2004 年に開始された一連のセキュリティ基準です。この基準は、クレジットカードデータの受け入れ、処理、保存、または送信を行うすべての組織に適用されます。PCI DSS は、PCI SSC（Payment Card Industry Security Standards Council）によって管理されます。PCI SSC は、主要なクレジットカード会社（Mastercard、Visa、Discover、American Express、JCB）の共同体で構成されています。

PCI DSS は、決済カードのデータセキュリティを強化し、セキュリティ侵害を防止するための基準として世界的に認められています。しかし、新たな脅威の出現や進化により、このサイバーセキュリティ基準は変更される可能性があります。最新版は 2022 年 3 月にリリースされた PCI DSS v4.0 であり、2025 年 3 月（2024 年 3 月の PCI DSS v3.2.1 廃止から 12 か月後）までに完全に準拠する必要があります。

PCI DSS は、次のようなさまざまな脅威に対処します。

• マルウェア
• フィッシング
• リモートアクセス制御および認証
• 脆弱なパスワード
• レガシーソフトウェア
• カードのスキミング

PCI DSS の対象となるカード所有者データを保護するための 12 の管理項目は、「人、プロセス、テクノロジー」の精神に基づいています。管理項目には、ファイアウォールの使用、データの最小化、カード所有者データの暗号化送信、堅牢なアクセス制御、ウイルス対策ソフトウェア、定期的な侵入テストと脆弱性リスク評価、パッチ管理、一般的な安全環境管理などが含まれます。

金融取引を処理する企業は、お金を追い求めるサイバー犯罪者の標的となります。 オンライン決済詐欺に起因する E コマースの損失額は、2023 年末までに世界全体で総額 480 億ドル超に達すると予想されています。 また、 PwC が実施した Global Economic Crime and Fraud Survey 2022（2022 年グローバル経済の犯罪と不正行為に関する調査）では、回答者の半数以上が過去 2 年間に金融詐欺にあっていることがわかりました。 Verizon の 2023 Data Breach Investigations Report（DBIR）によると、金融セクターではほとんどのデータ漏えいの背後に権限の悪用があります。 

PCI DSS 基準はカード所有者データの受け入れ、処理、保存、または送信を行うすべての組織に適用されるため、次の種類の組織はこの基準に準拠していることを証明する必要があります。

• あらゆる規模の販売業者
• 金融機関
• 決済処理業者（ハードウェアベースとソフトウェアベースの両方）
• POS ベンダー

PCI DSS の影響を受ける組織の例には、次のようなものがあります。

小規模な販売業者や小売企業

中小企業（SMB）は、大企業と同じくらい、深刻なデータ漏えいのリスクにさらされています。2022 年の DBIR によると、中小企業の 61% が少なくとも 1 回のデータ漏えいを経験しています。小規模な販売業者は PCI DSS の原則に準拠する必要があり、PCI DSS では販売業者のコンプライアンスレベルは次の 4 つに分けられています。

Level 1：年間 600 万件以上のカード取引を処理

Level 2：年間 100 万～600 万件の取引を処理

Level 3：年間 2 万～100 万件の取引を処理

Level 4：年間 2 万件未満の取引を処理

小規模な販売業者は、ファイアウォールを使用した IT システムの保護、堅牢なアクセス制御の実装、カード所有者データの暗号化という包括的な取り組みとしてセキュリティにアプローチする必要があります。このレベルの 360 度セキュリティを実現してシンプル化するために、SMB はデータ、デバイス、人のセキュリティを確保できるソリューションを探さなければなりません。

サービスプロバイダー

サービスプロバイダーとは、決済データのセキュリティに影響を与える可能性のあるあらゆる企業を指し、他の組織に属している場合もあります。PCI DSS には、サービスプロバイダーが処理する取引レベルに応じて、次の 2 つのコンプライアンスレベルがあります。

Level 1 Service Provider：年間取引数が 30 万件以上（American Express の場合は 250 万件以上）

Level 2 Service Provider：年間取引数 30 万件未満（American Express の場合は 250 万件未満）

中小企業の販売業者と同様に、サービスプロバイダーは PCI DSS のセキュリティ対策と管理を順守する必要があります。

Akamai は最高レベルである PCI DSS Level 1 Service Provider として認証されています。また、Akamai は、PCI DSS の 6 つの柱に準拠するためのさまざまなソリューションを提供しています。以下の Akamai のソリューションは、PCI 準拠のセキュリティ管理を提供 し、12 個の PCI 要件を満たせるよう支援します。

マルウェア防御を備えた App & API Protector：ログのコンプライアンスを確保し、PII データ漏えい、ゼロデイ攻撃、CVE、その他のエッジベースの攻撃から保護します。

API Security：API のふるまいとロジックの悪用を検知して緩和し、サイト、資産、PII を損失から保護します。

Client-Side Protection & Compliance：ブラウザー内で実行されるすべてのスクリプトのインベントリと正当性を維持し、スクリプトのふるまいの変化を監視し、疑わしいスクリプトアクティビティにフラグを付けます。

Akamai Guardicore Segmentation：規制対象資産を詳しく調べ、より容易にコンプライアンスを達成できるようにします。

Secure Internet Access Enterprise：PII、PCI DSS、または HIPAA のデータが含まれたコンテンツのアップロードをブロックまたは監視します。