banner

伝送時にアカウントデータを暗号化する方法はありますか?(PCI DSS要件4)

伝送時にアカウントデータを暗号化する方法はありますか?(PCI DSS要件4)

 

機密データは、インターネット、公衆ワイヤレスネットワーク、信頼できないワイヤレスネットワーク、モバイル通信ネットワークなど、オープンなネットワークを介して伝送すると、非常に危険です。PCI Security Standards Council(PCI SSC)は、データの伝送に関して非常に厳格な基準を設けており、信頼できる鍵/証明書、セキュアな転送プロトコル、強力な暗号化の使用を義務付けています。また、PCI SSCは、各企業に対して、継続的にセキュリティプロトコルを検証し、セキュアな通信に関する業界のベストプラクティスに準拠していることを確認するよう求めています。

データ傍受者をブロックする

攻撃者は多くの場合、既知のセキュリティ脆弱性を悪用しようと試みる「データ傍受者」です。PCI DSSには、次のような、他システムと接続を確立する際の具体的な要件とガイダンスが示されています。

  • 信頼できる鍵/証明書が所定の場所にある場合に限り、処理を継続します。鍵や証明書を検証し、期限切れになっていないことを必ず確認します。
  • セキュアなプロトコルのみを使用するようにシステムを設定し、脆弱性のあるプロトコルや不適切な暗号化鍵長を使用しているシステムから接続要求があっても受け入れないようにします。
  • 強力なPCI DSS暗号化を実装して、カード会員データを伝送するワイヤレスネットワークやカード会員データ環境に接続されているワイヤレスネットワークを介した認証や伝送に適用します。

エンドユーザーメッセージ機能のセキュリティを強化する

PCI DSSの大部分は、PANの保護に焦点を当てています。要件4は、オープンネットワークを介してPANを伝送する際のルールを規定しています。そのため、カード会員データを伝送する場合は、組織が通常使用しているテクノロジー(エンドユーザーメッセージング機能など)の調整や変更、廃止が必要となります。要件4の主な制約は以下のとおりです。

  • PANを保護せずに、電子メールやインスタントメッセージ、チャット用のアプリケーションなど、一般ユーザー向けテクノロジーを介して送信することはできません。
  • このようなエンドユーザーテクノロジーを使用する場合は、その前に、強力な暗号化によってPANが判読不能になっていることを確認する必要があります。
  • 第三者がPANを要求している場合、その第三者はPANを保護するためのツールや方法を提示する必要があります。あるいは、送信側が、PANを送信する前に番号を判読不能にする必要があります。

ネットワーク通信プロセスの一環としてカード会員データを暗号化する場合は、適切なセキュリティポリシーと運用手順を定義する必要があります。また、関連文書を常に最新の状態に保ち、組織内の全関係者が文書を利用して準拠するようにする必要があります。

注:この資料は、「誰でもわかるPCIコンプライアンスとデータ保護、タレス eセキュリティリミテッドエディション」(Ian Hermon/Peter Spier著)から抜粋したものです。

関連記事