inSmartBank

B/43を運営する株式会社スマートバンクのメンバーによるブログです

PCI DSS v4.0準拠までの道のりとこれからについて

この記事はSmartBank Advent Calendar 2024の17日目の記事です。
昨日はmaayaさんの「リサーチデータの資産化 N1インタビューDBのアップデート」でした!

こんにちは!スマートバンクでSREをしている @maaaato です。

スマートバンクではVisaプリペイドカードを発行しています。その中で PCI DSS(Payment Card Industry Data Security Standard) というクレジットカード業界のセキュリティ基準を取得しており、2024年8月31日付けでPCI DSS v4.0に準拠しています。

PCI DSSとは?

PCI DSSを制定したのはPCI SSC(PCI Security Standards Council)で国際カードブランド5社(JCB、Visa、Mastercard、 American Express、 Discover)によって設立された団体です。

PCI DSSは全部で12の要件となっており、中には定期的に対応を必要とするものがあります。
例えば90日毎にパスワードの変更を実施する(要件8 システムコンボーネントへのアクセスを識別・認証する)といった要件があります。

また、PCI DSSは1年に1回更新するための審査が必要であり、スマートバンクでは約3ヶ月ほど準備を含め工数をかけています。その時に監査員(QSA)に対応した要件のエビデンスを提出する必要があります。
エビデンスの管理はGitHubで対応する要件のIssuesを作成し管理を行っています。 このIssuesの作成について過去に記事を書いていますのでよろしければ御覧ください。 blog.smartbank.co.jp

スマートバンクのインフラ構成は大きくPCI DSS 準拠環境とPCI DSS 非準拠環境に分かれており、構成図の左側の部分が審査の対象です。 https://images.microcms-assets.io/assets/2c7a729c17754b66a6f0b8f7180cf385/778c3df66eeb4ecf8fe66045de2b825a/image.png

さて、今回はPCI DSS v4.0に準拠するまでの道のりとまだ対応が必要となる要件(ベストプラクティス要件)について説明し、PCI DSSの対応・更新の全体感をお伝えできればと思います。

PCI DSS v3.2.1とv4.0について

PCI DSSにはバージョンがあり2024年3月31日まではv3.2.1の利用が可能でした(この時点でPCI DSS v4.0に準拠することは可能)

2024年4月1日からはPCI DSS v4.0に準拠する必要があり、v3.2.1に準拠していたスマートバンクはバージョンアップを行う必要がありました。
PCI DSS v3.0が公開されてからのメジャーバージョンアップは約8年ぶりでした。

PCI DSS v3.2.1とPCI DSS v4.0の差分においてマスト要件とベストプラクティス要件の2種類に分けられます。

マスト要件は2024年3月31日までに対応が必要でベストプラクティス要件は2025年3月31日までと期限が違います。スマートバンクとしてはマスト要件の対応を進めながら、ベストプラクティス要件で着手ができるものは対応を進めていき、他の案件との兼ね合いですぐの対応が難しいものは日程を調整していきました。

スマートバンクの場合、マスト要件が5件でベストプラクティス要件が36件となりました。

PCI DSS v3.2.1とv4.0の差分のキャッチアップはPCI SSCから提供されているドキュメントを参照し変更箇所を特定しました。

PCI DSS v3.2.1とPCI DSS v4.0の変更点の一例としてはこのようなものがあります。

多要素認証(MFA)の強化

PCI DSS v3.2.1ではカード会員データ環境(CDE)へのアクセスは管理者のみMFAが必須でしたが、PCI DSS v4.0からはすべてのアクセスにMFAが必須となりました。 よりセキュリティが強化された印象です。
※カード会員データ環境=データベースなど

セキュリティ啓発プログラムの見直し

セキュリティ意識向上のためのトレーニングの見直しを少なくとも12ヶ月に一度行うようになりました。内容はカード会員データ環境に影響を与える可能性のある脅威や脆弱性について含む必要があります。
トレーニング内容に関してより業務に近しい納得感のあるものに変更していく必要があります。
例えばPAN(クレジットカード番号)が漏洩した場合にどのような対応を行う必要があるかと言った具合です。

インシデント対応手順にPANが検出されたケースが追加

PANは暗号化された状態で保存される必要があり、厳重に管理されなければなりません。 PCI DSS v4.0ではこのPANが想定外の場所で検出された場合のインシデント対応手順を定める必要があります。

ほんの一例でしたがよりセキュリティ面の強化がなされていたり、インシデント対応の手順をケースによって新規に定めることが求められています。個人的にはより明確な要件となっている印象を持ちました。

ここからは定期的に対応している要件の実施タイミングとPCI DSSの更新における監査のスケジュールについて説明します。

PCI DSSの定期的な作業と審査を含めた全体スケジュール

まずはPCI DSSの運用と審査においてどのようなステークホルダーがおりどのような関係になっているかを説明します。

PCI DSSのステークホルダー

左側がスマートバンクのPCI DSSの運用・審査に関係しているメンバーです。

  1. SRE
    1. PCI DSSの運用・審査の対応を主導しています。
    2. PCI DSSの要件を満たしているエビデンスをQSAに提出します。
    3. 現在は情シスも兼務しており社内ネットワーク機器のパスワード変更を対応しています。
  2. カスタマーサポート
    1. スマートバンクでは物理カードを提供しているため物理カードをセキュリティルーム内の施錠された金庫で管理しています。この物理カードの棚卸しを実施して頂いています。
  3. 社員
    1. 開発者
      1. 利用しているアカウントのパスワード変更の対応をしています。
      2. ベンダーへの脆弱性診断の準備(APIの実行手順)と対応を行っています。
    2. その他の方
      1. PCI DSSの要件には社員への情報セキュリティポリシーの向上を目的としたトレーニングを実施が必要となっておりトレーニングを受けて頂いています。(一例)

右側はQSAを表しています。

  1. 担当者
    1. スマートバンクに対してPCI DSSの要件を満たしているエビデンスの提供を求めます。
    2. 提出されたエビデンスの精査を行ったり審査が完了すればAOC(準拠証明書)を作成します。

さて、PCI DSSを取り巻く関係者についてわかったところでスケジュールについても説明します。

PCI DSS全体スケジュール

1月、4月、7月、10月は定期的な作業が発生する月となっており、その中でも90日毎(4月、10月)の作業と半年毎(1月)、1年毎(7月)と分類され、それぞれ実施する内容が違ってきます。

  1. 90日毎(四半期)・ パスワードの変更や不要なアカウントが存在していないか確認
  2. 半年毎・ PCI DSSの適応範囲のセグメントから別セグメント(逆のパターンも)へのネットワークレベルでの接続確認
  3. 一年毎・ インシデントが発生した場合における訓練の実施

毎年6月からQSAと審査に向けたキックオフがあります。その後はBacklogを使いエビデンス提出を行っていきます。この期間中にQSAの監査員がオフィスに来社し、オンサイト監査(セキュリティルーム内の確認)の実施があります。

こうしてみると2Q、3Qが一番忙しくなりそうなことがわかってきます。この時期は他の案件とのバランスを考えつつPCI DSSの対応に集中できるようにタスクの調整をしています。

この審査期間はあくまでもスマートバンクでのケースですので他社ではもう少し違ってくるのではないかと思います。

PCI DSSに準拠・更新したことでよかったポイント

クレジットカードを取り扱うにあたって必須なPCI DSSですが、準拠・更新したことでよかったポイントがあるのでご紹介します。

  1. 銀行と提携する場合などにセキュリティチェックシートの対応が必要な場合が多いですが、PCI DSSに近い要件もあり対応済みにすることができました。
  2. PCI DSS v4.0となり提出するエビデンスの量が増えQSAのチェックもより細かくなり、今後の運用方法を見直すよいきっかけとなりました。
    1. インシデント対応訓練をStaging環境で実施しているのですが、このインシデントの内容をよりカード会員データ環境へ影響のある内容に変更することを見直しポイントとして上げています。
  3. すでに出来ている点もありますがAWSからPCI DSS v4.0に関するガイドラインが提供されており、さらに取り入れより良い運用を目指したいと思います。

これからについて

今回PCI DSS v4.0に準拠できましたがマスト要件のみの対応(一部のベストプラクティス要件も対応)にとどまっています。ベストプラクティス要件すべてを対応する期限は2025年3月31日となっており、まだいくつかの要件は満たせてはいません。
PCI DSSの要件はドキュメントを読んだだけでは完全に理解するのは難しいため、QSAのアドバイザリーのご協力のもと残りのベストプラクティス要件を対応していく予定です。
引き続きではありますが社内向けにPCI DSSをインストールする説明会や新入社員向けのオンボーディング資料の準備などPCI DSSに触れやすく理解しやすい環境を作っていきたいと考えています。

今回このような形でスマートバンクにおけるPCI DSSの運用に関する全体像を整理させてもらえたことは光栄です。決して自分ひとりの力ではなく入社当時からずっと対応してくれていたメンバーがいてからこそ今の運用が実現出来ています。

筆者はこれまで2社(スマートバンク含む)でPCI DSSに携わってきましたがメジャーバージョンアップは初めてでとても大変でした。大変なところも多いPCI DSSですが学びが多いところが魅力の一つだと思い今日も頑張ります。

お知らせ

スマートバンクでは一緒に B/43 を作り上げていくメンバーを募集しています! smartbank.co.jp

12月18日(水)にはオフラインでのエンジニアイベントも開催予定なので、お気軽にご参加ください。 smartbank.connpass.com

明日はputchomさんの記事です!お楽しみに!

We create the new normal of easy budgeting, easy banking, and easy living.
In this blog, engineers, product managers, designers, business development, legal, CS, and other members will share their insights.