クラウドコンピューティングが必要ですか? 今すぐ始める

PCI DSS とは?

ハッカーはお金を追い求めるため、金融取引は詐欺やサイバー犯罪行為の標的となります。たとえば、2022 年の Akamai のレポート によると、金融サービス企業に対する Web アプリケーション攻撃と API 攻撃は前年比で 257% 増加しました。さらに、連邦取引委員会の統計によると、消費者は 2022 年に金融詐欺により約 88 億ドルの損失を被っており、2021 年から 44% の増加となっています。

決済カードデータを使った金融詐欺や金融犯罪の発生を阻止するために、PCI Security Standards Council は、PCI DSS(Payment Card Industry Data Security Standard)という情報セキュリティ基準を提示しています。ここでは、その PCI DSS の要件を説明します。

PCI DSS の概要

PCI DSS は、2004 年に開始された一連のセキュリティ基準です。この基準は、クレジットカードデータの受け入れ、処理、保存、または送信を行うすべての組織に適用されます。PCI DSS は、PCI SSC(Payment Card Industry Security Standards Council)によって管理されます。PCI SSC は、主要なクレジットカード会社(Mastercard、Visa、Discover、American Express、JCB)の共同体で構成されています。

PCI DSS は、決済カードのデータセキュリティを強化し、セキュリティ侵害を防止するための基準として世界的に認められています。しかし、新たな脅威の出現や進化により、このサイバーセキュリティ基準は変更される可能性があります。最新版は 2022 年 3 月にリリースされた PCI DSS v4.0 であり、2025 年 3 月(2024 年 3 月の PCI DSS v3.2.1 廃止から 12 か月後)までに完全に準拠する必要があります。

Diagram illustrating the six areas of PCI DSS compliance

PCI DSS は、次のようなさまざまな脅威に対処します。

  • マルウェア
  • フィッシング
  • リモートアクセス制御および認証
  • 脆弱なパスワード
  • レガシーソフトウェア
  • カードのスキミング

PCI DSS のセキュリティ管理

PCI DSS の対象となるカード所有者データを保護するための 12 の管理項目は、「人、プロセス、テクノロジー」の精神に基づいています。管理項目には、ファイアウォールの使用、データの最小化、カード所有者データの暗号化送信、堅牢なアクセス制御、ウイルス対策ソフトウェア、定期的な侵入テストと脆弱性リスク評価、パッチ管理、一般的な安全環境管理などが含まれます。

PCI DSS に準拠することが求められる組織の種類

金融取引を処理する企業は、お金を追い求めるサイバー犯罪者の標的となります。 オンライン決済詐欺に起因する E コマースの損失額は、2023 年末までに世界全体で総額 480 億ドル超に達すると予想されています。 また、 PwC が実施した Global Economic Crime and Fraud Survey 2022(2022 年グローバル経済の犯罪と不正行為に関する調査)では、回答者の半数以上が過去 2 年間に金融詐欺にあっていることがわかりました。 Verizon の 2023 Data Breach Investigations Report(DBIR)によると、金融セクターではほとんどのデータ漏えいの背後に権限の悪用があります。 

PCI DSS 基準はカード所有者データの受け入れ、処理、保存、または送信を行うすべての組織に適用されるため、次の種類の組織はこの基準に準拠していることを証明する必要があります。

  • あらゆる規模の販売業者
  • 金融機関
  • 決済処理業者(ハードウェアベースとソフトウェアベースの両方)
  • POS ベンダー

PCI DSS の影響を受ける組織の例には、次のようなものがあります。

小規模な販売業者や小売企業

中小企業(SMB)は、大企業と同じくらい、深刻なデータ漏えいのリスクにさらされています。2022 年の DBIR によると、中小企業の 61% が少なくとも 1 回のデータ漏えいを経験しています。小規模な販売業者は PCI DSS の原則に準拠する必要があり、PCI DSS では販売業者のコンプライアンスレベルは次の 4 つに分けられています。

Level 1:年間 600 万件以上のカード取引を処理

Level 2:年間 100 万~600 万件の取引を処理

Level 3:年間 2 万~100 万件の取引を処理

Level 4:年間 2 万件未満の取引を処理

小規模な販売業者は、ファイアウォールを使用した IT システムの保護、堅牢なアクセス制御の実装、カード所有者データの暗号化という包括的な取り組みとしてセキュリティにアプローチする必要があります。このレベルの 360 度セキュリティを実現してシンプル化するために、SMB はデータ、デバイス、人のセキュリティを確保できるソリューションを探さなければなりません。

サービスプロバイダー

サービスプロバイダーとは、決済データのセキュリティに影響を与える可能性のあるあらゆる企業を指し、他の組織に属している場合もあります。PCI DSS には、サービスプロバイダーが処理する取引レベルに応じて、次の 2 つのコンプライアンスレベルがあります。

Level 1 Service Provider:年間取引数が 30 万件以上(American Express の場合は 250 万件以上)

Level 2 Service Provider:年間取引数 30 万件未満(American Express の場合は 250 万件未満)

中小企業の販売業者と同様に、サービスプロバイダーは PCI DSS のセキュリティ対策と管理を順守する必要があります。

Akamai は PCI DSS v4.0 のコンプライアンスをどのように支援できるか

Akamai は最高レベルである PCI DSS Level 1 Service Provider として認証されています。また、Akamai は、PCI DSS の 6 つの柱に準拠するためのさまざまなソリューションを提供しています。以下の Akamai のソリューションは、PCI 準拠のセキュリティ管理を提供 し、12 個の PCI 要件を満たせるよう支援します。

マルウェア防御を備えた App & API Protector:ログのコンプライアンスを確保し、PII データ漏えい、ゼロデイ攻撃、CVE、その他のエッジベースの攻撃から保護します。

API Security:API のふるまいとロジックの悪用を検知して緩和し、サイト、資産、PII を損失から保護します。

Client-Side Protection & Compliance:ブラウザー内で実行されるすべてのスクリプトのインベントリと正当性を維持し、スクリプトのふるまいの変化を監視し、疑わしいスクリプトアクティビティにフラグを付けます。

Akamai Guardicore Segmentation:規制対象資産を詳しく調べ、より容易にコンプライアンスを達成できるようにします。

Secure Internet Access Enterprise:PII、PCI DSS、または HIPAA のデータが含まれたコンテンツのアップロードをブロックまたは監視します。

よくある質問(FAQ)

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報の受け入れ、処理、保存、または送信を行うすべての企業が安全な環境を維持するためのセキュリティ基準を定めています。

カード所有者データの受け入れ、送信、または保存を行う組織であれば、取引の規模や数に関係なく、PCI DSS に準拠する必要があります。

PCI DSS の対象となる組織がこの基準を順守しない場合、厳しい罰と罰金が課されます。罰金は、規制違反の重大度に応じて異なります。一般的な罰金は数千ドルから数十万ドルで、是正されるまで継続する場合があります。しかし、評判が損なわれた場合のコストの方がはるかに高くなる可能性があります。データ漏えいによって顧客の信頼が損なわれると、顧客の喪失や集団訴訟につながります。2019 年には 3,400 万枚もの決済カード に関わるデータ漏えいが発生して 800 万ドルの損害賠償請求訴訟が起こり、いくつかの PCI DSS 違反があったことが捜査で明らかになりました。

PCI DSS に準拠する組織は、財務データの保護に注力する必要があります。PCI DSS セキュリティは、カード所有者データと機微な認証情報の 2 つの一般的なデータクラスを対象とします。

カード所有者データ

  • プライマリアカウント番号(PAN) 
  • カード所有者名 
  • 有効期限 
  • サービスコード 

機微な認証情報

  • フル・トラック・データ(磁気ストライプデータまたはチップ上の同等のデータ) 
  • CAV2/CVC2/CVV2/CID 
  • PIN/PIN ブロック

Akamai が選ばれる理由

Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。

Akamai の全セキュリティソリューションをご紹介