1. ホーム
  2. サービス
  3. セキュリティ
  4. PCI DSS
  5. PCI DSSとは

PCI DSS(ピーシーアイ ディーエスエス)とは

  • PCI DSS(Payment Card Industry Data Security Standard)とは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。
  • 2004年12月に制定され、2013年11月に現行のv3.0にバージョンアップされています。また、PCI SSC(Payment Card Industry Security Standards Council)がPCI DSSの維持、管理、普及活動を目的に設立されています。
  • カード会社、加盟店、プロセサー(決済処理代行事業者)など、カード情報を管理、処理、伝送するすべての組織が対象になります。 カード情報の盗難多発、スキミングからネットの不正アクセスによる大量のカード情報盗難、2005年米国大手プロセサーから4,000万件の情報盗難がきっかけで米国で普及しました。

PCI DSSの目的と要件

PCI DSSでは、カード会員情報を適切に管理するための6つの目的を達成するために、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシジャなどに関する基準が12の要件として規定されています。

目的 要件
1. 安全なネットワークとシステムの構築と維持 1. カード会員データを保護するために、ファイアウォールをインストールして維持する
2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
2. カード会員データの保護 3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
3. 脆弱性管理プログラムの維持 5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
4. 強力なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
5. ネットワークの定期的な監視およびテスト 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする
6. 情報セキュリティポリシーの維持 12. すべての担当者の情報セキュリティに対応するポリシーを維持する

出典:Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順 バージョン3.0 2013年11月

これら12の要件は、さらに詳細な約400項目に細分化されて規定されています。

準拠認定のためのプログラム

PCI DSSはカード会員情報を格納、処理、又は伝送するすべての組織、加盟店、サービスプロバイダーに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされています。

自己問診

「自己評価問診票」の設問に、「はい」「いいえ」、または「該当なし」で回答することにより、PCI DSS基準をどれだけ満たしているか確認することができます。
「自己評価問診票」は、PCI SSCホームページ(英語サイト)よりダウンロードいただけます。

ASVによる脆弱性スキャン

PCI SSCが認定したASV(Approved Scanning Vendor)が遠隔地からの操作により、インターネットに接続されているネットワーク機器、サーバ機器の脆弱性をチェックします。
テスト費用、実施期間などの詳細につきましては、「セキュリティ評価機関(ASV)」にお問い合わせください。

訪問審査、遵守報告書の提出

PCI SSCが認定したQSA(Qualified Security Assessor)が各事業者に実地訪問し、セキュリティ対策、運用及び情報の取り扱い状況に関するインタビューや検査を実施します。審査結果は認定審査員から各事業者に報告されます。

イメージ

サービス/製品

星印(おすすめ)のついた商品は、セキュリティガバナンスを実現するおすすめ商品です。

カテゴリ 製品/サービス名
全体支援 セキュリティ対策支援 サービス おすすめ情報セキュリティ強化支援コンサルティング
ユーザ教育支援 サービス おすすめ情報セキュリティ教育コンサルティング
セキュリティ監査 サービス おすすめ情報セキュリティ監査サービス
セキュリティ最適化 サービス おすすめセキュリティ最適化サービス
脆弱性診断サービス サービス おすすめ脆弱性診断・管理サービス
PCI DSS マネージドセキュリティ サービス FUJITSU Security Solution PCI DSS セキュリティコントロールサービス
ファイアウォール/WAFの導入 ファイアウォールアプライアンス/UTM 製品 おすすめFUJITSU Network IPCOM EX2シリーズ
製品 Palo Alto Networks PAシリーズ
ファイアウォール 製品 Barracuda Web ApplicationFirewall Vx(仮想アプライアンス版)
初期パスワードの禁止 IDマネジメント 製品 LDAPManager
製品 PMaid IDMaster
データの保護 マルチプラットフォーム暗号 製品 おすすめマルチプラットフォーム暗号化ツールCOMPLOCKII
暗号化ストレージ 製品 おすすめETERNUS DX 自己暗号化ドライブ
製品 おすすめETERNUS SF KM
マスキング 製品 Oracle Data Masking and Subsetting Pack
通信の暗号化 ネットワーク暗号ルータ 製品 おすすめIPアクセスルータ Si-R
VPN 製品 PulseSecure Appliance
ゲートウェイ型メール暗号 製品 FUJITSU SecuritySolution FENCE-Mail For Gateway
カード情報の自動暗号化 サービス おすすめFUJITSU SecuritySolution FENCE メール誤送信対策サービス
アンチウイルスの導入 アンチウイルス 製品 McAfee MVISION(McAfee Endpoint Security)
製品 Server Protection for Windows
製品 ServerProtect for Linux
製品 ServerProtect for Storage on NetApp
製品 Trend Micro Apex One
ウイルスゲートウェイ サービス おすすめIPCOM EX2 セキュリティサポートサービス
安全なアプリケーション 検疫ソフト 製品 おすすめiNetSec Inspection Center
資産管理ソフト製品 製品 おすすめSystemwalker Desktop Patrol
アプリケーション診断 サービス おすすめWebアプリケーションセキュリティ診断サービス
仮想パッチ 製品 Deep Security
アクセス制御 サーバアクセスコントロール 製品 おすすめFUJITSU Security Solution SHieldWARE
一意なIDの割り当て 手のひら静脈認証 製品 おすすめ手のひら静脈認証 PalmSecure
クライアント認証強化 製品 SMARTACCESS/Premium
物理アクセスの制限 映像収集・蓄積 製品 おすすめFutureyeII
アクセスの追跡と監視 証跡管理 製品 おすすめSystemwalker Centric Manager
ネットワークキャプチャ型DBログ記録 製品 Chakra
サーバエージェント型DBログ記録 製品 データベースセキュリティ強化(PISO)
特権操作ログ 製品 SHieldWARE NE
セキュリティテスト ASVによる脆弱性スキャン サービス おすすめPCI DSS ASV認定スキャンサービス
侵入検知 サービス おすすめIPCOMセキュリティ運用サービス スタンダード
セキュリティポリシーの整備 組織ポリシー策定支援 サービス おすすめ情報セキュリティ方針立案コンサルティング
セキュリティマネジメント支援ツール サービス おすすめ統合マネジメント支援サービス(IMS-S)

関連ソリューション

お問い合わせはこちら

Webでのお問い合わせ

電話でのお問い合わせ