PCIデータセキュリティ基準：主要要件ガイド

PCIデータセキュリティ基準（PCI DSS）とは？

PCIデータセキュリティ基準（PCI DSS）は、カード会員データのライフサイクル全体を保護するためのセキュリティ要件のセットです。Visa、Mastercard、American Express、Discover、JCBを含むPCIセキュリティ基準協議会が、決済カード情報をどのように保護するかを正確に定義する基準を策定しています。

決済カード情報を受け入れ、送信、または保存する場合は、PCI DSSに準拠する必要があります。これには、すべての規模の加盟店、決済処理業者、サービスプロバイダー、金融機関、サードパーティベンダーが含まれます。年間500件でも500万件でも、PCI準拠が決済処理能力を左右します。

なぜPCI DSS準拠が重要なのか？

非準拠には即時のビジネス上の影響があります。たとえば、加盟店契約銀行が加盟店アカウントを終了し、クレジットカード決済の処理が完全にできなくなる場合があります。

侵害が発生した場合、追加コストが発生します。高額なフォレンジック調査、漏洩したカード会員への通知費用、影響を受けた顧客や決済ブランドからの訴訟の可能性などです。

金銭的な罰則に加え、準拠失敗は顧客の信頼やブランドの評判を損ないます。データ侵害は公知となり、将来の売上や顧客獲得に影響します。インシデント後は規制当局の監視が強化され、さらなる準拠監督や運用コストが必要となります。

PCI DSS準拠は、決済処理能力を保護し、侵害リスクを限定し、顧客データ保護への取り組みを示します。

PCI DSS準拠とは？

PCI DSS準拠とは、カード会員データを保護するための技術的および運用上の要件を実装することを意味します。 PCI DSS v4.0.1（2024年6月にPCI SSCが公開）に準拠する必要があります。バージョン3.2.1を使用している場合は非準拠となります。PCI SSCは2024年3月31日にそのバージョンを廃止しました。

準拠範囲の理解

準拠範囲はカードを直接処理するシステムだけにとどまりません。カード会員データ環境（CDE）には、カード会員データを保存、処理、送信するすべてのシステムコンポーネント、およびCDEのセキュリティに影響を与える可能性のあるシステムが含まれます。ネットワーク分割により範囲を縮小できますが、評価時には分割が実際にCDEを範囲外システムから分離していることを検証する必要があります。

PCI DSS準拠の主要コンポーネント

PCI DSS準拠は、カード会員データを保護するために連携する3つの相互接続されたコンポーネントで構成されます。

1. 技術的セキュリティ制御が基盤となります。ファイアウォール、暗号化、アンチマルウェアソリューション、アクセス制御を実装し、不正アクセスから決済データを物理的に防御します。これらの制御は、処理、送信、保存時のカード会員情報の取り扱い方法に対応します。
2. 運用手順は、日々のセキュリティ管理方法を定義します。パスワード管理、ベンダー管理、インシデント対応、従業員トレーニングの方針を策定し、チームや拠点を問わず一貫したセキュリティ運用を維持します。
3. 準拠検証は、定期的な評価を通じて制御が機能していることを証明します。脆弱性スキャン、ペネトレーションテスト、正式な監査を実施し、要件が正しく実装され、継続的に有効であることを確認します。

これらのコンポーネントにより、技術的保護が文書化された手順内で運用され、独立した検証によりCDE全体で意図通りに機能していることが確認される準拠フレームワークが構築されます。

PCI DSSの主要目的と要件

PCI DSSは、 6つの管理目的の下に整理された12の主要要件に従います。

目的1：安全なネットワークとシステムの構築と維持

要件1：ネットワークセキュリティ制御の導入と維持。 ファイアウォールやルーターを実装し、信頼できないネットワークとCDE内システム間の接続を制限する必要があります。

要件2：すべてのシステムコンポーネントへの安全な設定の適用。すべてのシステムコンポーネントに対する設定基準を策定し、不要なサービスやプロトコルを無効化し、設定が既知の脆弱性にどのように対応しているかを文書化する必要があります。

目的2：アカウントデータの保護

要件3：保存されたアカウントデータの保護。カード会員データを保存する場合は、強力な暗号化、切り捨て、トークン化、ハッシュ化によりPANを判読不能にする必要があります。保持は正当な業務上の必要性に限定し、文書化された根拠が必要です。

要件4：送信中のカード会員データを強力な暗号化で保護。オープンな公衆ネットワーク上での送信時に、強力な暗号化とセキュリティプロトコルを用いてカード会員データを暗号化する必要があります。

目的3：脆弱性管理プログラムの維持

要件5：すべてのシステムとネットワークを悪意のあるソフトウェアから保護。マルウェアの影響を受けやすいすべてのシステムにアンチマルウェアソリューションを導入する必要があります。

要件6：安全なシステムとソフトウェアの開発と維持。セキュリティ脆弱性を特定し、リスクを評価し、優先順位に基づいて修正する必要があります。重大な脆弱性は30日以内に対処する必要があります。SentinelOne Singularity Platformのようなプラットフォームを利用し、CDE内のエンドポイントやサーバーの脆弱性を継続的に可視化できます。

目的4：強力なアクセス制御対策の実施

要件7：業務上必要な範囲でシステムコンポーネントおよびカード会員データへのアクセスを制限。適切なアクセス制御方針により、業務上必要な者のみにカード会員データへのアクセスを制限する必要があります。

要件8：ユーザーの識別とシステムコンポーネントへのアクセス認証。アクセス権を持つ各個人に一意のIDを割り当て、12文字以上のパスワードによる強力な認証を実施し、CDEへのすべてのアクセスに 多要素認証を要求する必要があります。

要件9：カード会員データへの物理的アクセスを制限。カード会員データを保存、処理、送信するシステムへの物理的アクセスを、施設入退室管理、ビデオカメラ、アクセスログ、セキュアな廃棄手順を用いて認可された担当者のみに制限する必要があります。

目的5：ネットワークの定期的な監視とテスト

要件10：システムコンポーネントおよびカード会員データへのすべてのアクセスの記録と監視。システムコンポーネントおよびカード会員データへのすべてのアクセスを記録する必要があります。要件10.6.1では、セキュリティイベントの毎日のレビューが求められます。

要件11：システムおよびネットワークのセキュリティを定期的にテスト。認定スキャニングベンダー（ASV）による四半期ごとの脆弱性スキャン、年次ペネトレーションテスト、ファイル整合性監視を実施する必要があります。PCI DSS v4.0では、決済ページスクリプト管理（要件11.6.1）が拡張され、2025年3月31日以降必須となります。

目的6：情報セキュリティ方針の維持

要件12：組織の方針とプログラムによる情報セキュリティの支援。すべての従業員を対象とした情報セキュリティに関する方針を策定、公開、維持、周知する必要があります。

これら6つの管理目的と12の要件が準拠の基盤を形成し、検証方法は加盟店レベルや取引量に応じて異なります。

2025年3月31日以降の必須要件

PCI DSS v4.0では、2025年3月31日以降に必須となる将来日付の要件が導入されました。組織は、すべての準拠評価でこれらの制御を実装する必要があります。

• 決済ページスクリプト管理（要件11.6.1）は、決済ページスクリプトの不正な変更を検知する変更・改ざん検出メカニズムを要求します。すべての決済ページスクリプトのインベントリ作成、スクリプトの正当な目的の文書化、変更時のアラート実装が必要です。
• 認証資格情報管理レビュー（要件8.3.10.1）は、ターゲットとするリスク分析で定めた頻度に基づき、すべてのアプリケーションおよびシステムアカウントのアクセス権限を定期的にレビューし、管理者がアクセスの妥当性を確認することを義務付けます。
• 強化されたセキュリティ監視（要件12.10.5）は、インシデント対応要件を拡張し、不正な無線アクセスポイントの検出や重要ファイルの変更検出メカニズムを含みます。

これらの要件は、12のコア目的を拡張し、新たな決済セキュリティ脅威や評価手法に対応する具体的な技術制御を追加します。

継続的なPCI DSS監視のメリット

• 継続的な監視により、PCI準拠は年次の負担から継続的なセキュリティ改善へと変わります。セキュリティイベントのリアルタイム可視化により、年次評価時に緊急かつ高コストで是正が必要となる前に、設定の逸脱を即座に特定できます。
• 自動監視は、要件10.6.1で求められる手動ログレビューの作業負荷を削減します。アナリストが毎日数千件のアクセスイベントを手動で確認する代わりに、行動AIが実際のセキュリティ問題を示す異常パターンを検出します。日常的なアクセスイベントではなく、実際の脅威を調査できます。
• 継続的な準拠は、年間を通じて監査対応力も提供します。取得銀行やビジネスパートナー、監査人に対し、評価期間に証拠をかき集めることなく、いつでも現在の準拠状況を示せます。文書化は自動ログや監視を通じて継続的に蓄積され、手動での集約が不要です。

このプロアクティブなアプローチにより、セキュリティ問題を準拠違反やデータ侵害に発展する前に発見し、決済処理能力を維持しつつ、全体的な準拠コストを削減できます。

準拠検証：加盟店レベルと評価要件

PCI準拠認証要件は、取引量と組織の役割によって異なります。決済カードブランドは、加盟店を4つのレベル、サービスプロバイダーを2つのレベルに分類しています。

加盟店分類

取引量が検証要件を決定しますが、セキュリティ義務は規模に関係なく一貫しています。どの加盟店レベルでも侵害が発生すれば、カード会員データが危険にさらされ、決済エコシステムの信頼が損なわれます。

• レベル1加盟店（年間600万件超の取引）は、認定セキュリティ評価者による年次現地評価が必須です。準拠報告書、準拠証明書、ASVによる四半期ごとのネットワークスキャンの提出が必要です。
• レベル2加盟店（年間100万～600万件の取引）は、年次自己評価質問票（SAQ）と四半期ごとのASVスキャンを完了し、準拠証明書が必要です。
• レベル3～4加盟店（年間100万件未満のeコマース取引）は、年次SAQと四半期ごとのASVスキャンを実施し、具体的要件は取引量や取得銀行によって異なります。

下位レベルの加盟店は検証プロセスが緩やかですが、攻撃者はエンタープライズセキュリティリソースが不足しがちな小規模加盟店を狙う傾向があります。

サービスプロバイダーの検証

サービスプロバイダーは複数の加盟店の決済データを処理し、単一の侵害で数百～数千の下流ビジネスに影響を及ぼす集中リスクを生みます。

• レベル1サービスプロバイダー（年間30万件超の取引）は、年次QSA評価、準拠報告書、準拠証明書、四半期ごとのASVスキャンが必須です。
• レベル2サービスプロバイダー（30万件未満の取引）は、サービスプロバイダー向けSAQ Dを年次で完了する必要があります。

サービスプロバイダーの侵害は決済エコシステム全体に波及します。加盟店はサービスプロバイダーの準拠状況を毎年検証する必要があり、自社の準拠はサービスプロバイダーのセキュリティ制御に依存します。

自己評価質問票（SAQ）の種類

SAQの種類が検証負担を決定します。SAQ Aは決済処理を完全にアウトソースする非対面加盟店向け、SAQ A-EPは一部アウトソースのeコマース向け、SAQ Dはその他すべてのシナリオやカード会員データを保存する加盟店向けです。 PCIセキュリティ基準協議会が詳細なSAQ選択ガイダンスを提供しています。

自社の加盟店レベルとSAQ要件を理解することで、最新のPCI DSS検証義務を満たし、継続的な準拠を維持できます。

PCI DSS実装時の一般的な課題

組織は、多様な技術環境でPCI DSS v4.0制御を実装する際にいくつかの障害に直面します。

• 戦略的リスクと事業継続性：PCI DSS準拠は事業継続リスクに直結します。監査不合格は決済処理能力を制限します。取得銀行は契約義務を通じて準拠を強制します。2025年3月31日以降、評価には決済ページ整合性監視、資格情報管理レビュー、強化されたセキュリティ監視が必要となり、不合格は決済処理能力に影響します。
• アラート管理と調査効率：PCI DSS要件10および11は、従来のSIEMやログ管理ツールで実装すると、アナリストの調査負荷が過大になることが多いです。 SentinelOne Singularity Platformのようなサービスを利用することで、行動AIがイベントを自動相関し、アラート量を88%削減できます。
• 範囲評価と変更管理：要件12.5.3は、重大な組織変更が発生した際に、PCI DSS範囲および適用制御の正式な内部影響評価を義務付けています。範囲レビューのトリガーを文書化し、変更管理プロセスにPCI DSS影響分析を組み込んでください。

これらの課題は、PCI DSSのベストプラクティスに従うことで対処できます。

PCI DSS準拠のベストプラクティス

継続的なPCI DSS準拠を維持する組織は、最小要件の充足を超えた体系的アプローチを実施しています。

1. 継続的な準拠監視の実装：年次評価だけに頼らず、セキュリティ制御を継続的に検証する自動化ツールを導入します。設定変更、アクセスパターン、セキュリティイベントのリアルタイム監視により、評価前に準拠逸脱を特定できます。
2. 包括的な文書化の維持：すべてのセキュリティ制御、設定、是正活動をタイムスタンプと責任者付きで文書化します。これにより、評価時の準拠証明やインシデント調査時の監査証跡が得られます。CDE境界を示すネットワーク図、カード会員データ経路を示すデータフローマップ、管理承認済みのセキュリティ手順を示す方針文書を含めてください。
3. 定期的な内部評価の実施：年次外部評価を待たず、四半期ごとの内部脆弱性スキャンや月次セキュリティ制御レビューを実施します。このプロアクティブなアプローチにより、是正が容易かつ低コストな段階でギャップを特定できます。外部監査と同等の厳格さで内部評価を行い、CDE全体で全要件をテストし、是正期限付きで結果を文書化します。
4. 効果的なネットワーク分割：適切なネットワーク分割により、カード会員データ環境を他システムから分離し、PCI DSS範囲を縮小します。ファイアウォール、VLAN、アクセス制御リストなど複数層のネットワーク制御を実装し、明確なセキュリティ境界を構築します。分割の有効性は四半期ごとにペネトレーションテストで検証します。
5. セキュリティプロセスの自動化：パッチ管理、ログレビュー、脆弱性是正、セキュリティ監視の自動化を実装し、手動ミスを減らし対応速度を向上させます。自動化ワークフローにより、セキュリティ制御の一貫適用が保証され、アナリストは複雑な調査に集中できます。
6. 継続的なスタッフ教育：セキュリティ意識向上トレーニングを採用時、年次、役割変更時、新たな脅威発生時に実施します。トレーニング内容はソーシャルエンジニアリング対策、パスワードセキュリティ、インシデント報告手順、PCI DSS違反のビジネス影響を含みます。すべてのトレーニングは出席記録、テスト結果、要件12検証用の署名付きで文書化します。
7. ベンダー管理プロセスの確立：サードパーティサービスプロバイダーのPCI DSS準拠状況を契約前および年次で評価します。契約にはセキュリティ責任、データ取扱手順、インシデント通知要件を明記します。CDEセキュリティに影響を与えるすべてのサービスプロバイダーから最新の準拠証明書を維持します。
8. インシデント対応手順のテスト：テーブルトップ演習や模擬インシデント対応シナリオを四半期ごとに実施し、インシデント対応計画の有効性を検証します。これにより、実際のインシデント発生前に手順上のギャップやコミュニケーションの問題、リソース不足を特定できます。演習結果を文書化し、学びを反映して手順を更新し、インシデント対応チーム全員が決済システム侵害時の具体的責任を理解していることを確認します。

これらのベストプラクティスを実装することで、監査準備を超えた継続的な準拠フレームワークが構築され、決済インフラ全体の実質的なセキュリティ向上につながります。

PCI DSS監査の準備方法

監査準備は、予定された評価日の90日前から開始します。

1. 割り当てられたSAQまたはROC要件をチェックリストとして使用し、内部準拠ギャップ分析を実施します。現在実装されているすべての制御を文書化し、未実装または文書化が不十分な要件を特定します。
2. CDE境界を示すネットワーク図、カード会員データ経路を示すデータフロー図、セキュリティ方針、ベンダー準拠証明書など、すべてのセキュリティ文書を見直し、更新します。文書が現状を反映し、過去の構成のままになっていないことを確認します。
3. 四半期ごとのASVスキャン、年次ペネトレーションテスト、脆弱性評価など、必要な技術的検証を監査の少なくとも45日前にスケジューリングします。不合格の場合は是正と再スキャンが必要となるため、十分な時間を確保してください。
4. 監査人とのインタビューに参加する担当者向けにトレーニングを実施します。スタッフはPCI準拠における自分の役割を理解し、日常的にどのようにセキュリティ手順を遵守しているか説明できる必要があります。
5. 最後に、監査人が適用するのと同じ評価基準を用いて模擬監査ウォークスルーを実施します。

この体系的な準備アプローチにより、監査ストレスを軽減し、評価完了を加速し、初回での準拠達成の可能性を高め、コストのかかる是正期間を回避できます。

SentinelOneでPCI準拠を実現

SentinelOneの Singularity Platformは、エンドポイント、サーバー、クラウドワークロード全体に自律的な保護を拡張し、断片的なポイントソリューションを導入することなく、PCI DSSのログ管理、監視、セキュリティ要件を満たします。行動AIはシグネチャではなくパターンで悪意のある活動を検出し、要件10.6.1の毎日のセキュリティイベントレビュー義務に対応しつつ、従来のSIEMアプローチと比較してアラート量を88%削減します。プラットフォームはCDE内のすべてのエンドポイントとサーバーのアクセスイベントを収集し、Storylineテクノロジーでイベントを相関させ、手動分析を排除します。

Storylineテクノロジーは、決済システム全体の攻撃チェーンを完全に再構築し、ランサムウェアが初期アクセスから暗号化試行に至るまでの経路を正確に可視化します。資格情報の侵害、ラテラルムーブメントの試行、自動封じ込めまでを単一のタイムラインで表示し、複数のセキュリティツール間での手動相関を不要にします。この攻撃再構築は、PCI DSSのインシデント対応手順や評価時の準拠検証に必要なフォレンジックコンテキストを提供します。

Purple AIは、カード会員データ環境のイベントを分析し、観測された攻撃行動に基づく対応アクションを推奨することで、セキュリティ調査を加速します。複数システムのログを手動で検索する代わりに、実際の脅威パターンを反映したAI推奨の調査手順を確認できます。Purple AIの自然言語インターフェースにより、セキュリティチームは「過去24時間のカード会員データへのすべてのアクセス試行を表示」や「どのプロセスが決済設定ファイルを変更したか」など、PCI関連イベントを会話形式で照会でき、日次ログレビュー要件に必要な運用可視性を提供します。

Singularity Cloud Securityは、エージェントレススキャンによりクラウド決済処理インフラ全体で一貫したセキュリティ方針を適用し、クラウドワークロードや通信パターンの検出、主要クラウドプロバイダー全体での機密クラウドデータの発見・分類を実現します。セキュリティ方針は、AWS、Azure、GCP、ハイブリッドインフラ間で決済ワークロードの移動に自動追従し、手動再設定なしで動的なクラウド環境でもPCI準拠を維持します。

デモを予約し、自律的な保護が決済インフラ全体に統合されたセキュリティカバレッジを提供し、運用の複雑さなくPCI準拠を維持する方法をご確認ください。

まとめ

PCI DSS v4.0.1は、カード会員データ環境全体にわたる包括的なセキュリティ制御を要求します。12のコア要件を満たすには、統合された可視性、行動AIによる検出、自律的な対応能力が必要であり、従来のツールでは実現できません。アンチマルウェア、脆弱性管理、ログ管理、ファイル整合性監視を統合したプラットフォームを導入することで、準拠効率を高めつつ、決済システム攻撃に対する実質的なセキュリティ体制を強化できます。