クレジット産業向けのグローバルセキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」の新バージョンである「v4.0」の運用が2024年4月1日から始まります。2013年11月にリリースされた「v3.0」から約8年ぶりとなるメジャーバージョンアップで、多要素認証(MFA:Multi Factor Authentication)を必須とする領域が拡大し、多要素認証自体の要件も厳格化されているのが特徴です。
大きな変更点としては、PCI DSSの準拠対象事業者が、カード会員データ環境(CDE)のセキュリティに影響を与える可能性のあるすべての事業体となったことです。例えば、金融分野のクレジットカード会社やカードを発行する銀行だけではなく、大手百貨店やスーパー、コンビニなどの流通分野、携帯電話会社、ISPなどの通信分野、電気、ガスなどのエネルギー分野、クラウドサービス事業者やECサイトなどもカード会員データ環境のセキュリティに影響を与える可能性があります。新たに対象となる事業者はもちろんのこと、「v3.2.1」に準拠して運用してきた既存の事業者に関しても、新バージョンへの対応が十分にできているかを確認する必要があります。
一方、多要素認証の領域については、「v3.0」では、カード会員データに対する全てのリモートアクセスと、サーバーなどのシステムに対する操作をネットワーク経由でリモートアクセスする非コンソールアクセスの管理者アクセスに対して多要素認証を求めていました。「V4.0」では、これに加えて、カード会員データ環境に対する全てのアクセスに対して多要素認証が求められています。 また、リモートアクセスでカード会員データ環境に接続する場合は、「リモート接続時の多要素認証」と、「カード会員データ環境への接続時の多要素認証」は、それぞれ行う必要があることが注記されています。
そして、暗号化された認証情報をネットワーク上でキャプチャした不正攻撃者が、暗号化されたままの情報を利用し、認証システムに不正アクセスする「リプレイ攻撃」の影響を受けないことが求められています。具体的には、「ワンタイムパスワードを使用する」方法や、「パスワードの流動的なハッシュ化を行う」ことなどが必要です。
また、「多要素認証システムは、期間を限定して、特別に文書化し、例外的に管理者によって許可されない限り、管理者ユーザーを含むいかなるユーザーであっても、バイパスすることはできない」とされています。管理者であってもバイパスできないように構成した上で、例外的にバイパスする場合は、文書化し、承認を受けた上で使用するようにします。
「v4.0」が求める多要素認証の要件は、世界中の加盟店にとって重要な更新です。不正アクセスの多くは、盗まれた認証情報を悪用することが、その突破口となっているからです。多要素認証は、サイバーセキュリティアーキテクチャの重要な要素であり、認証情報を防ぐための有効な手段となり得ます。
多要素認証は、ユーザーに対してリソースにアクセスするために2つ以上の異なる要素を提供するよう要求します。具体的には、ワンタイムパスワードなどの「知識情報」、スマートフォンやその他のモバイルデバイスなどの「所持情報」、顔認証や指紋認証など「生体情報」を組み合わせます。ユーザーのパスワードを盗んだりフィッシングを試みたりしても、追加の要素を要求することで、悪意の第三者が保護されたリソースやアプリケーションにアクセスするのを防ぐことができます。
PCI DSSには法的拘束力はありませんが、準拠対象の組織で、カード会員情報の漏えい事件・事故が発生した場合は、巨額の損害賠償責任に問われたり、社会的信用を失墜するリスクがあります。とにかく、多要素認証などの強力なサイバーセキュリティの姿勢を作り出すことは、データ侵害を防ぎ、組織の収益を守り、顧客の信頼を維持することに大いに役立つはずです。
■PCI DSS v4.0対応製品「SecureCore For BioPass」
「v4.0」はカード会員データ環境に対する全てのアクセスにMFA求める
PCI SSC(PCI Security Standards Council)は、2006年にAmerican Express、Discover、JCB、MasterCard、Visaのクレジットカードの国際ブランドによって設立された国際的な評議会で、クレジットカードに関する国際的なセキュリティ基準の制定、運用、管理を行っています。PCI DSSの新バージョン「v4.0」は、現行バージョン「v3.2.1」から新たに64項目追加され、そのうち51項目は2025年3月31日までに準拠する必要があります。大きな変更点としては、PCI DSSの準拠対象事業者が、カード会員データ環境(CDE)のセキュリティに影響を与える可能性のあるすべての事業体となったことです。例えば、金融分野のクレジットカード会社やカードを発行する銀行だけではなく、大手百貨店やスーパー、コンビニなどの流通分野、携帯電話会社、ISPなどの通信分野、電気、ガスなどのエネルギー分野、クラウドサービス事業者やECサイトなどもカード会員データ環境のセキュリティに影響を与える可能性があります。新たに対象となる事業者はもちろんのこと、「v3.2.1」に準拠して運用してきた既存の事業者に関しても、新バージョンへの対応が十分にできているかを確認する必要があります。
一方、多要素認証の領域については、「v3.0」では、カード会員データに対する全てのリモートアクセスと、サーバーなどのシステムに対する操作をネットワーク経由でリモートアクセスする非コンソールアクセスの管理者アクセスに対して多要素認証を求めていました。「V4.0」では、これに加えて、カード会員データ環境に対する全てのアクセスに対して多要素認証が求められています。 また、リモートアクセスでカード会員データ環境に接続する場合は、「リモート接続時の多要素認証」と、「カード会員データ環境への接続時の多要素認証」は、それぞれ行う必要があることが注記されています。
リプレイ攻撃を防ぐため、ワンタイムパスワード使用を
「v4.0」では、多要素認証の実装に関する要件が追加されています。少なくとも2種類の認証要素が使用されていることです。アクセスが許可される前に、全ての認証要素に成功することが要求されます。そして、暗号化された認証情報をネットワーク上でキャプチャした不正攻撃者が、暗号化されたままの情報を利用し、認証システムに不正アクセスする「リプレイ攻撃」の影響を受けないことが求められています。具体的には、「ワンタイムパスワードを使用する」方法や、「パスワードの流動的なハッシュ化を行う」ことなどが必要です。
また、「多要素認証システムは、期間を限定して、特別に文書化し、例外的に管理者によって許可されない限り、管理者ユーザーを含むいかなるユーザーであっても、バイパスすることはできない」とされています。管理者であってもバイパスできないように構成した上で、例外的にバイパスする場合は、文書化し、承認を受けた上で使用するようにします。
加盟店にとっても重要な「v4.0」へのバージョンアップ
「v4.0」のガイドラインは、カード取引の処理回数にかかわらず、すべての加盟店にPCIコンプライアンスを守ることを求めています。多要素認証を必須にすることで、デジタル支払いに対する重要な新しい基準を設定することが狙いです。キャッシュレス決済を必要としている国内外のビジネスの仕組みが大きく変わることを意味しています。「v4.0」が求める多要素認証の要件は、世界中の加盟店にとって重要な更新です。不正アクセスの多くは、盗まれた認証情報を悪用することが、その突破口となっているからです。多要素認証は、サイバーセキュリティアーキテクチャの重要な要素であり、認証情報を防ぐための有効な手段となり得ます。
多要素認証は、ユーザーに対してリソースにアクセスするために2つ以上の異なる要素を提供するよう要求します。具体的には、ワンタイムパスワードなどの「知識情報」、スマートフォンやその他のモバイルデバイスなどの「所持情報」、顔認証や指紋認証など「生体情報」を組み合わせます。ユーザーのパスワードを盗んだりフィッシングを試みたりしても、追加の要素を要求することで、悪意の第三者が保護されたリソースやアプリケーションにアクセスするのを防ぐことができます。
PCI DSSには法的拘束力はありませんが、準拠対象の組織で、カード会員情報の漏えい事件・事故が発生した場合は、巨額の損害賠償責任に問われたり、社会的信用を失墜するリスクがあります。とにかく、多要素認証などの強力なサイバーセキュリティの姿勢を作り出すことは、データ侵害を防ぎ、組織の収益を守り、顧客の信頼を維持することに大いに役立つはずです。
■PCI DSS v4.0対応製品「SecureCore For BioPass」
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Authenticatorアプリの代替機を使った多要素認証(MFA)
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて
●Amazon Web Services(AWS)MFAを必須化