弊 社 の 紹 介 会 社 名 国 際 マネジメントシステム 認 証 機 構 ( 株 ) 業 務 内 容 情 報 セキュリティに 関 する 審 査 / 監 査 第 三 者 認 証 サービスのご 提 供 所 在 地 東 京 本 社 札 幌 営 業 所 認 定 財 団 法 人 日 本 情 報 処 理 開

26 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

第7回デジタル・フォレンジック・コミュニティ2010 in TOKYO 主催: 主催: 特定非営利活動法人デジタル・フォレンジック研究会

クレジットカード情報漏えい事件に

クレジットカ ド情報漏えい事件に

おけるデジタル・フォレンジックと

PCI DSS

2010/12/14

2010/12/14

Copyright International Certificate Authority of Management System All rights Reserved.

アジェンダ

アジ ンダ

1

クレジットカードを取り巻く環境

1.

クレジットカ ドを取り巻く環境

2.

PCIデータセキュリティ基準のご紹介

法律

び各種ガイド イ と

相関

3.

法律及び各種ガイドラインとの相関

4.

ペイメントカードに関するフォレンジック調査の

イ ントカ ドに関する ォ ンジック調査の

国際標準化の動き

付録:参考文献

付録:参考文献

(2)

弊社の紹介

弊社の紹介

会社名

国際マネジメントシステム認証機構(株)

会社名

国際マネジメントシステム認証機構(株)

業務内容 情報セキュリティに関する審査/監査、

第三者認証サービスのご提供

第三者認証サービスのご提供

所在地

東京本社、札幌営業所

認定

財団法人日本情報処理開発協会

認定

・財団法人日本情報処理開発協会

(以下

JIPDEC)からJIS Q 27001

ISO/IEC27001)の認証機関として認定(ISR010)

ISO/IEC27001)の認証機関として認定(ISR010)

・米国

PCIセキュリティ基準審議会より

認定セキュリティ評価機関(

QSA)として承認

認定セキュリティ評価機関(

QSA)として承認

関連会社

Payment Card Forensics(株)

(株式会社

UBICとの合弁会社)

Copyright International Certificate Authority of Management System All rights Reserved.

2

2

(株式会社

UBICとの合弁会社)

弊社のPCI DSSオンサイト監査実績

国内の主要インターネット決済代行事業者の全てにオンサイト監査に

実績を持つ

(3)

クレジットカードを取り巻く環境

クレジットカ ドを取り巻く環境

Copyright International Certificate Authority of Management System All rights Reserved.

4

4

クレジットカードを取り巻く環境①

クレジットカ ドを取り巻く環境①

米国における最大規模の情報漏えい事件

米国最大手

デ タ処理会社から約 億件 カ ド会員デ タ 情報漏え

-

米国最大手の1社のデータ処理会社から約3億件のカード会員データの情報漏え

い事件が発生

接続技術の変化

-

インターネットに接続した統合店舗販売時点管理(IPOS)システムの増加

-

カード会員データのIPベース送信の増加

個人情報保護法をトリガーとしたプライバシーマークの

個人情報保護法をトリガ としたプライバシ マ クの

普及と不足要素の顕在化

-

経済産業省からガイドラインが発行

「クレジットカード情報を含む個人情報の取扱いについて」

「クレジットカ ド情報を含む個人情報の取扱いについて」

-

JIS Q 15001はあくまで国内限定の規格

改正割賦販売法が可決

ク ジ ト事業者に対し

個人情報保護法 はカバ され

-

クレジット事業者に対して、個人情報保護法ではカバーされていない

クレジット情報の保護のために必要な措置を講じることを義務づけると

ともに、カード番号不正提供・不正取得をした者等を刑事罰の対象とする。

-

違反事業者に対する行政処分が法制化

違反事業者に対する行政処分が法制化

(4)

ハートランド・ペイメント・システムズ事件①

トランド

イメント システムズ事件①

Heartland Payment Systems(NASDAQ:HPY)はニュージャー

y

y

Q

)は

ジャ

ジー州に本社を置く全米

6位のペイメントカードのプロセシング会

2009年1月に事件を公表し、その後の被害調査報告によると漏え

い件数は

2億8,500万件を超える全米史上最大のカード情報の

漏えい事件とな た

漏えい事件となった。

同社は、

PCI DSS完全準拠企業だった。VISAのコンプライアンス

リストでは準拠ステ タスは 事故後 時停止となったが 現在は

リストでは準拠ステータスは、事故後一時停止となったが、現在は

異なる

QSAにより完全準拠を達成している。

Copyright International Certificate Authority of Management System All rights Reserved.

6

ハートランド・ペイメント・システムズ事件②

トランド

イメント システムズ事件②

犯人は

犯人は

Albert Gonzalez

米国最大級のハッカーグループ

に所属

本事件以外にも

TJX(小売)

Dave & Busters(レストラン

チェーン)事件にも関与

(5)

ハートランド・ペイメント・システムズ事件③

トランド

イメント システムズ事件③

過去

PCI DSSのオンサイト監査を実施したQSAに

ついては停止処分を受けることなしに現在も活動を続けている

ついては停止処分を受けることなしに現在も活動を続けている。

Copyright International Certificate Authority of Management System All rights Reserved.

8

クレジットカードを取り巻く環境②

クレジットカ ドを取り巻く環境②

国内でもクレジットカード情報の漏洩事件

/事故が多発

サウ ド

サイト(音響機器)から約

件流出

-

サウンドハウスのECサイト(音響機器)から約2.7万件流出

08年4月)

-

アリコジャパンの情報システムから約

アリコジャパンの情報システムから約

5千件流出(09/7月)

5千件流出(09/7月)

-

アミューズの

ECサイト『アスマート』から約5万件流出(09/8月)

-

デジタルダイレクトのECサイト『saQwa(サクワ) ネットショッピ

デジタルダイレクトのECサイト『saQwa(サクワ) ネットショッピ

ング 』から約5.2万件流出(09/9月)

-

カード会社から不正利用に関する監視業務を受託する

ド情

ベルシステム

24の契約社員がカード情報を不正に取得し逮捕

された(

10/6月)

ネットスーパー運営会社『

NEO BEAT(ネオビート) 』から1 2万

-

ネットスーパー運営会社『

NEO BEAT(ネオビート) 』から1.2万

件の情報漏洩(

10/8月)

-

『さくら観光』高速バス予約サイトから5.2万件のカード会員情報

『さくら観光』高速

ス予約サイトから5 万件のカ ド会員情報

(6)

事故の考察

事故の考察

ECサイトからの情報流出事件/事故

ECサイトからの情報流出事件/事故

-

原因

ECサイトに保管されていた会員のクレジットカード情報が、

海外からSQLインジェクション攻撃をされたため

海外からSQLインジェクション攻撃をされたため。

-

事故後の必要な対応

事故後の必要な対応

顧客の問い合わせ対応

認定機関によるフォレンジック調査

警察への被害届

※SQLインジェクション攻撃

警察への被害届

広報

カード取扱再開のための対応

PCI DSSへの準拠が再開の条件

データベースコマンド入力

→PCI DSSへの準拠が再開の条件

-

対応コストは莫大

Copyright International Certificate Authority of Management System All rights Reserved.

10

PCIデータセキュリティ基準のご紹介

(7)

PCI DSSとは?

PCI DSSとは

国際的なクレジット産業向けのデータセキュリティ

国際的なクレジット産業向けのデータセキュリティ

基準(

Payment Card Industry Data Security

Standard)

Standard)

VISA、 MasterCard 、American Express、JCB、

VISA、 MasterCard 、American Express、JCB、

Discover、5つの国際ペイメントブランドによって

2006/9月に設立されたPCIセキュリティ基準審議会

(米国)が制定した事実上の基準

Copyright International Certificate Authority of Management System All rights Reserved.

12

PCI基準とは?

PCI基準とは

ソフトウェア開発

加盟店とプロセッサ

製造メーカー メーカー

PCI PTS

PCI PA-DSS

PCI DSS

ペイメント

PIN

エントリー

データセキュリティ基準

アプリケーション

ベンダー

エントリ

デバイス

リティ基準

(8)

PCI DSS準拠の対象

カード会社

プロセシング

(データ処理会社)

承認要求 外部委託

ペイメント

iDC事業者

など

カ ド会社

(アクワイアラ)

承認要求 購買許可

ゲートウェイ

(決済代行)

コールセンター

事業者など

外部委託

PCI DSSの対象範囲

加盟店

ペイメントブランド

承認要求 購買許可 購買許可

PCI DSSの対象範囲

外部委託

コールセンター

事業者など

加盟店

ペイメントブランド

のネットワーク

購入 外部委託

プロセシング

(データ処理会社)

カード提示 承認要求 購買許可 購入 PCI DSS準拠が必要な事業体

コールセンター

PCI DSSの対象範囲

カード会社

(イシュア)

カード発行 外部委託

プロセシング

PCI DSS準拠が必要な事業体

コ ルセンタ

事業者など

加盟店 サービスプロバイダ

Copyright International Certificate Authority of Management System All rights Reserved.

クレジットカード会員

プロセシング

(データ処理会社)

サービスプロバイダ

14

PCI DSS準拠制度の概要

自己問診表(SAQ)

脆弱性検査レポート

監査報告書(ROC)

ペイメントブランド

準拠性

PCIセキュリティ

基準審議会(

PCI SSC)

カード会社

監査報告書(ROC)

準拠証明書(AOC)

準拠要請

準拠性

報告

基準審議会(

PCI SSC)

※米国組織

(アクワイヤラ)

準拠要請

提出

検査

(四半期毎)

認定ネットワーク

スキャニングベンダー

承認

準拠要請

スキャニングベンダ

ASV

加盟店

監査

(年次)

認定セキュリティ評価機関

QSA

承認

サービス

プロバイダ

(年次)

QSA

(9)

加盟店のレベル①

レベル

VISA Inc.

(AIS)

MasterCard

(SDP)

JCB

(JCBデータセキュ

リテ プ グラム)

American

Express

(DSOP)

リティプログラム)

(DSOP)

1

・当該ブランドの年間の 取引件数が600万件以 ・当該ブランドの年間の取 引件数が600万件以上 ・当該ブランドの年間の 取引件数が100万件以上 ・当該ブランドの年間の 取引件数が250万件以 上、または地域のVISA がレベル1と判断したグ ローバルな加盟店 ・過去にカード情報の 漏洩事件を起こした加盟店 ・MasterCardがレベル1と 判断した加盟店 ・International取引を処 理する加盟店、または過 去にカード情報の 漏洩事件を起こした 上またはAmerican Expressがレベル1と判 断した加盟店 判断した加盟店 ・Visaがレベル1と判断した 加盟店 加盟店

2

・当該ブランドの年間の 取引件数が100万~ 600万件 ・当該ブランドの年間の取 引件数が100~600万件以 上 ・Visaがレベル2と判断した ・当該ブランドの年間の 取引件数が100万件未満 ・International取引を処 理する加盟店 ・当該ブランドの年間の 取引件数が5万~250万 件以上またはAmerican Expressがレベル2と判 Visaがレベル2と判断した 加盟店 理する加盟店 断した加盟店

Copyright International Certificate Authority of Management System All rights Reserved.

VISA Inc.とVISA Europeでは基準が異なる。

16

加盟店のレベル②

加盟店のレ ル②

レベル

VISA Inc.

(AIS)

MasterCard

(SDP)

JCB

(JCBデータセキュ

American

Express

(AIS)

(SDP)

(JCBデ タセキ

リティプログラム)

(DSOP)

3

・当該ブランドの年間の 電子商取引における取引 ・当該ブランドの年間の 電子商取引における取

N/A

・当該ブランドの年間の 取引件数が5万件未満 件数が2万~100万件 引件数が2万~100万件 ・Visaがレベル3と判断 した加盟店

4

・当該ブランドの年間の 電子商取引における取引 件数が2万件未満 ・レベル1~3以外のす べての加盟店

N/A

N/A

件数が2万件未満 ・当該ブランドの年間の 取引件数が100万件未満

(10)

加盟店の検証要件①

レベル

VISA Inc.

(AIS)

MasterCard

(SDP)

JCB

(JCBデータセキュ

リティプログラム)

American

Express

(DSOP)

1

・QSAによる年1回の オンサイト監査 ・QSAによる年1回の オンサイト監査 ASVによる四半期毎の ・QSAによる年1回の オンサイト監査 ・QSAによる年1回の オンサイト監査 ・ASVによる四半期毎 のネットワークスキャン ・ASVによる四半期毎の ネットワークスキャン ・ASVによる四半期毎のネットワークスキャン ・ASVによる四半期毎の ネットワークスキャン ・準拠証明書(AOC)

2

・年1回の自己問診 ・PCI SSC主催の加盟店 ・年1回の自己問診 ・ASVによる四半期毎の

2

・ASVによる四半期毎 のネットワークスキャン トレーニングに参加し、 資格継続している監査担 当者による年1回の自己 問診、またはQSAによる 年 監査 ・ASVによる四半期毎の ネットワークスキャン ネットワークスキャン ・準拠証明書(AOC) 年1回のオンサイト監査 ※期限:2011年6月30日 ・ASVによる四半期毎の ネットワークスキャン

Copyright International Certificate Authority of Management System All rights Reserved. ネットワ クスキャン

18

加盟店の検証要件②

加盟店の検証要件②

レベル

VISA Inc.

MasterCard

JCB

デ タ キ

American

E

(AIS)

(SDP)

(JCBデータセキュ

リティプログラム)

Express

(DSOP)

3

・年1回の自己問診 ・年1回の自己問診

N/A

・ASVによる四半期毎の ネ トワ クスキ ン

3

・ASVによる四半期毎 のネットワークスキャン ・ASVによる四半期毎の ネットワークスキャン ネットワークスキャン (強く推奨)

4

・年1回の自己問診(推 奨) ・年1回の自己問診 (推奨)

N/A

N/A

4

奨) ・ASVによる四半期毎 のネットワークスキャン (推奨) (推奨) ・ASVによる四半期毎の ネットワークスキャン 推奨 ・アクワイアラが定める 準拠要件 ネットワークスキャン (推奨)

(11)

サービスプロバイダのレベル①

レベル

VISA Inc.

(AIS)

MasterCard

(SDP)

JCB

(JCBデータセキュ

リティプログラム)

American

Express

(DSOP)

リティプログラム)

1

・Visa Netに接続する プロセッサ、または取 引の伝送/処理/保 存 件数が年間 ・すべてのTPP※1 ・年間30万件超の取引を 伝送/処理/保存する ・すべてのTPP ・すべてのTPP 存の件数が年間30万 件以上あるサービスプ ロバイダ 伝送/処理/保存する DSE※2 ・過去にカード情報の 漏洩事件を起こしたことが あるすべてのTPP及び あるすべてのTPP及び DSE

2

・取引の伝送/処理/ 保存の件数が年間30 ・年間30万件以下の取引 を伝送/処理/保存 保存の件数が年間30 未満のサービスプロバ イダ を伝送/処理/保存 するDSE

※1 TPP (サードパーティープロセッサ):取引処理サービスをアクワイアラのために行うサービスプロバ

※1 TPP (サ ドパ ティ プロセッサ):取引処理サ ビスをアクワイアラのために行うサ ビスプロバ

イダ(インターネットペイメントサービス等)

※2 DSE (データストレージエンティティ):取引処理サービスを加盟店又は他のサービスプロバイダの

ために行うサービスプロバイダ(Webホスティングサービス等)

Copyright International Certificate Authority of Management System All rights Reserved.

20

サービスプロバイダの検証要件

レベル

Visa Inc.

(AIS)

MasterCard

(SDP)

JCB

(JCBデータセキュ

リティプログラム)

American

Express

(DSOP)

リティプログラム)

1

・QSAによる年1回の オンサイト監査 ・ASVによる四半期毎 ・QSAによる年1回の オンサイト監査 ・QSAによる年1回の オンサイト監査 ・QSAによる年1回の オンサイト監査 ASVによる四半期毎 のネットワークスキャン ・準拠証明書(AOC) ・Visa Incのサービスプ ・ASVによる四半期毎の ネットワークスキャン ・ASVによる四半期毎の ネットワークスキャン ・ASVによる四半期毎の ネットワークスキャン ロバイダリストに掲載

2

・年1回の自己問診 ・年1回の自己問診

2

・ASVによる四半期毎 のネットワークスキャン ・Visa Incのサービスプ ロバイダリストには掲載 ・ASVによる四半期毎の ネットワークスキャン ロバイダリストには掲載 されない(レベル1とし て検証すれば掲載)

(12)

サービスプロバイダの再検証

Visa Inc.

(AIS)

MasterCard

(SDP)

American Express

(DSOP)

・監査報告書(ROC)承認日より12ヶ 月以内に年1回の再検証を行わなけ ればならない。 検証書類 期 ま 承認されな ・準拠証明書(AOC)レポート日より 12ヶ月以内に年1回の再検証を行わ なければならない。 C は OC 受付または ・監査報告書(ROC)レポート日より 12ヶ月以内に年1回の再検証を行わな ければならない。 は顧客に対し キ 期 ・検証書類は期日までに承認されなけ ればならない。 ・期日を過ぎた検証書類は義務の不 履行とみなされ次のように色分けされ ・MasterCardはROCの受付または レビューを行わない ・準拠証明書(AOC)が受領されるま で、MasterCard Webサイトの準拠 ・Amexは顧客に対し、スキャン期日の 30日前までに、またROC期日の30日 前及び90日前までに再検証を行わな ければならないことを通知 履行とみなされ次のように色分けされ たリストに記載される。 -期日超過が60日までの場合は黄色 -期日超過が61日以上の場合は赤色 期日超過が90日以上とな たサ ビ で、 サイトの準拠 サービスプロバイダ一覧から削除さ れる場合がある。また該当するアク ワイアラに対して準拠していないと評 価されることがある。 ・ROCは顧客の年1回の再検証期日ま でに承認されなければならない。その 期日を過ぎたROCは義務の不履行と みなされ、Amex独自の義務履行管理 ・期日超過が90日以上となったサービ スプロバイダは検証書類が受領及び 承認されるまでリストから削除される。 価される ある。 みなされ、 独自 義務履行管理 プロセスが実行される。ROCが承認さ れると、その後のROCのレポート日か ら12ヵ月後として新たに再検証が設定 される。 される。

※JCB(JCBデータセキュリティプログラム)では再検証についての定めはない。

Copyright International Certificate Authority of Management System All rights Reserved.

22

国際カードブランドからの要求①

国際カ ドブランドからの要求①

VISA International(以下VISA Inc )による

VISA International(以下VISA Inc.)による

AIS(アカウントインフォメーションセキュリティ)プログラム

-

VISA Inc.に直接賠償責任を負うのは加盟店募集の

S

c に直接賠償責任を負うのは加盟店募集の

クレジットカード会社(アクワイアラ)

-

保管禁止データの削除期限

2009/9/30

-

レベル

1加盟店のPCI DSS完全準拠の期限

2010/9/30

2010/9/30

-

期限を超過した場合は

VISA Inc.は、当該加盟店と契約してい

るクレジットカード会社(アクワイヤラ)に対して罰金を含む何ら

社(

ラ)

を含 何

かのリスクコントロールを課すことを表明している。

(13)

国際カードブランドからの要求②

国際カ ドブランドからの要求②

MasterCard

SDP(サイトデータプロテクション)プログラム

-

MasterCardに直接賠償責任を負うのはアクワイアラ

-

四半期に一度の

四半期に

度の

PCI DSS準拠に関する報告を怠った場合に対する

PCI DSS準拠に関する報告を怠った場合に対する

ペナルティ

→最大$25,000

-

PCI DSSの非順守に対するペナルティ

PCI DSSの非順守に対する ナルティ

→レベル1加盟店/レベル1,2サービスプロバイダ:最大$25,000

→レベル2加盟店:最大$10,000、レベル3加盟店:最大$5,000

-

PCI DSSの非順守のよるクレジットカード情報の漏洩のペナルティ

保管禁止デ タ

$

(最大

$

→保管禁止データの違反 $100,000(最大$500,000)

→当該加盟店が順守を達成するまで最大$25,000/1日につき

→調査費その他関連費用

イシ アに支払われる補償金

-

イシュアに支払われる補償金

→再発行1カードあたり最大$ 25、モニターすべきカード1カードあたり最大$5

Copyright International Certificate Authority of Management System All rights Reserved.

24

カード会員データの保護

クレジットカードの磁気ストライプまたはチップ内のデータを

さす

カ ド会員デ タの保護

さす。

カード会員データ

プライ リアカウ ト番号(

15

16桁) PAN

-

プライマリアカウント番号(

15 ~16桁):PAN

-

カード会員名

-

サービスコード

4000 0012 1111 2222 PAN チップ

サ ビスコ ド

-

有効期限

センシティブ認証データ

12/10 ICMS Taro カード会員名 有効期限 磁気ストライプ

センシティブ認証デ タ

-

全磁気ストライプ/チップ上の

磁気ストライプイメージ

CVV2 磁気ストライプ

-

CVC2/CVV2/CID/CAV2

-

PIN/PINブロック

CVC2

(14)

バージョンアップサイクル

V2.0以降、バージョンアップサイクルが2年間から3年間

に変更とな た

ジョンアップサイクル

に変更となった。

Copyright International Certificate Authority of Management System All rights Reserved.

26

オンサイト監査の概要①

オンサイト監査の概要①

監査基準

-

2011/12/31

PCI DSS Ver1.2(リリース 2008/9月)

(リリ

月)

-

2011/1/1~

PCI DSS Ver2.0(リリース 2010/9月)

対象範囲

-

全てのカード会員データ環境とそれらに接続されるネットワーク

コンポーネント、サーバー、アプリケーション

カ ド会員デ タが取り扱われる全 の拠点(店舗 デ タセ

-

カード会員データが取り扱われる全ての拠点(店舗、データセ

ンター、コールセンターなども含まれる)

監査サイクル

監査サイクル

-

年次

監査手法

監査手法

-

システムコンポーネントや拠点のサンプリングにて実施

(サンプル抽出の明確な根拠を監査報告書に明示する必要があ

(サン

抽出

明確な根拠を監査報告書 明示する必要

る。)

(15)

オンサイト監査の概要②

オンサイト監査の概要②

監査項目数

毎年

付録

を監査

-

毎年

12要件+付録A/約280項目の全項目を監査

(要件のサンプリングは認められていない)

項目毎に適合/不適合を判断する 不適合

の対処は

-

項目毎に適合/不適合を判断する。不適合への対処は、

是正の目標期日を明確にし、必要によってフォローアップ監査

を実施する

を実施する。

代替策による対応

代替策による対応

-

オリジナルの要件に準拠できない場合は、理由と代替策により

目的が達成される手段を文書化し「準拠に関するレポート

目的が達成される手段を文書化し「準拠に関するレポ ト

RoC)」と共に提出する。

Copyright International Certificate Authority of Management System All rights Reserved.

28

6つの目標と12要件

安全なネットワークの構築・維持

要件1:カード会員データを保護するためにファイアウォールを導入し、適切な設定を維持すること 要件2:システムパスワードと他のセキュリティパラメータにベンダー提供のデフォルトを使用しないこと 要件2:システムパスワ ドと他のセキュリティパラメ タにベンダ 提供のデフォルトを使用しないこと

カード会員データの保護

要件3:保存されたカード会員データを安全に保護すること 要件4:公衆ネットワーク上でカード会員データを送信する場合 暗号化すること 要件4:公衆ネットワーク上でカード会員データを送信する場合、暗号化すること

脆弱性を管理するプログラムの整備

要件5:アンチウィルスソフトウェアまたはプログラムを利用し、定期的に更新すること 要件6 安全性の高いシステムとアプリケ シ ンを開発し 保守すること 要件6:安全性の高いシステムとアプリケーションを開発し、保守すること

強固なアクセス制御の導入

要件7:カード会員データへのアクセスを業務上の必要範囲内に制限すること ピ 要件8:コンピュータにアクセスする利用者毎に個別のIDを割り当てること 要件9:カード会員データへの物理的アクセスを制限すること

定期的なネットワークの監視およびテスト

要件10:ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること 要件11:セキュリティシステムおよび管理手順を定期的にテストすること

情報セキュリティポリシーの整備

(16)

法律及び各種ガイドラインとの相関

法律及び各種ガイドラインとの相関

Copyright International Certificate Authority of Management System All rights Reserved.

30

30

米国における法整備の状況

米国における法整備の状況

マサチューセッツ州(2007年2月)、ミネソタ州(2007年4月)、テキ

サス州、カルフォルニア州(ともに

2007年5月)、ネバダ州(2009年

6月)にPCI DSSの順守を州法により義務化した。

テキサス州法では、漏洩事故を起こした事業者は金融機関(カー

ド会社)に対して

PCI DSSを順守していたことを証明できれば

(30日以内に書面により提出)損害賠償を免れる

(30日以内に書面により提出)損害賠償を免れる。

(17)

個人情報保護法との相関①

個人情報保護法との相関①

個人情報保護法第20条安全管理措置

経済産業省から発行される個人情報保護ガイドラインに下記の通り解説

経済産業省から発行される個人情報保護ガイドラインに下記の通り解説

-

「なお、クレジットカード情報については、別添の「クレジットカー

ド情報を含む個人情報の取扱いについて」に掲げられた措置を

ド情報を含む個人情報の取扱いについて」に掲げられた措置を

講じることが望ましい。 」

2007年3月改訂の個人情報保護ガイドライン

2007年3月改訂の個人情報保護ガイドライン

-

別添『クレジットカード情報を含む個人情報の取扱い』

① クレジットカード情報等について特に講じることが望ましい安全管理措置

① クレジットカ ド情報等について特に講じることが望ましい安全管理措置

の実施

② クレジットカード情報等の保護に関する規定を含む契約の締結

ド情

等 直

ド情

③ クレジットカード情報等を直接取得する場合のクレジットカード情報等の

提供先名等の通知又は公表

Copyright International Certificate Authority of Management System All rights Reserved.

32

個人情報保護法との相関②

個人情報保護法との相関②

『クレジットカード情報を含む個人情報の取扱い』における各項目を

実践するために講じることが望まれる手法の例示

実践するために講じることが望まれる手法の例示

①クレジットカード情報等について特に講じることが望ましい安全管理措置の実施

クレジットカード情報等について、利用目的の達成に必要最小限の範囲の保存

期間を設定し、保存場所を限定し、保存期間経過後適切かつ速やかに破棄

クレジット売上伝票に記載されるクレジットカード番号を一部非表示化

クレジットカード読取端末からのクレジットカード情報等の漏えい防止措置を実

施(例えば、クレジットカード読取端末にはスキミング防止のためのセキュリティ

機能(漏えい防止措置等)を搭載する等)

機能(漏えい防止措置等)を搭載する等)

クレジットカード情報等を移送・送信する際に最良の技術的方法を採用

他のクレジットカード販売関係事業者等に対してクレジットカード情報等が含ま

れる個人情報データベース等へのアクセスを許容している場合においてアクセ

れる個人情報データベース等へのアクセスを許容している場合においてアクセ

ス監視等のモニタリングを実施

(18)

改正割賦販売法の施行①

改正割賦販売法の施行①

平成20年6月 国会にて改正法案が決議

-

支払可能見込額調査義務及び過剰与信防止義務

-

個別クレジット業者(個別信用購入あっせん業者)に対しても

登録制を導

登録を受 た法

外 営業を規制 た

登録制を導入して、登録を受けた法人以外の営業を規制した。

-

クレジットカード番号等の保護

35条の16(クレジットカ ド番号等の適切な管理等)

35条の16(クレジットカード番号等の適切な管理等)

-

クレジットカード番号等の不正提供・不正利用を防止するため、そうした行為をした者

などは刑事罰の対象になる。また、クレジット会社だけでなく、加盟店やその委託先な

どにおいてクレジットカード番号などの情報を利用している事業者に対して、安全管理

どにお てクレジットカ ド番号などの情報を利用して る事業者に対して、安全管理

措置が義務付けられた。法定刑は3年以下の懲役または50万円以下の罰金となる。

35条の17(改善命令)

-

経済産業大臣は違反業者に対して当該措置に係る業務の方法の変更その他必要な

措置をとるべきことを命ずることができる。

Copyright International Certificate Authority of Management System All rights Reserved.

34

改正割賦販売法の施行②

平成

20年12月26日 政令案

割賦販売法

施行②

平成

20年12月26日 政令案

-

具体的な管理基準は認定割賦販売協会が制定

平成

平成

21年4月4日 パブリックコメント公開

年 月

リック

ン 公開

平成

21年12月1日 改正割賦販売法の施行。同時に

(社)日本クレジット協会(日本クレジット産業協会が改称)が

35条18に基づく認定割賦販売協会として

経済産業大臣より認定を受けた。

認定割賦販売協会の役割

-

認定割賦販売協会の役割

業界の自主規制ルールを定める。

自主規制ルールが実効されるよう、会員に遵守状況の調査・指導する。

利用者の利益保護のために、加盟店に関する情報を登録し、共同して利用す

る制度(加盟店情報交換制度)の運営をする。

利用者の相談・苦情の対応を行い、広報・啓発活動を強化する。

(19)

PCI DSSとISMSの相関①

PCI DSSとISMSの相関①

財団法人 日本情報処理開発協会(以下

財団法人 日本情報処理開発協会(以下

JIPDEC)より「クレジッ

J

C)より クレジッ

ト産業向け

ISMSユーザーズガイド」が2006年3月に発行されて

いる。(

2009年3月改訂)

要点

-

ISMSとPCI DSSは共に情報セキュリティ基準である

ISMSとPCI DSSは共に情報セキュリティ基準である。

-

PCI DSSの目的は、カード関連情報の保護に対しISMSは

業種を問わない広範な領域への適用を目的として設計され

業種を問わない広範な領域への適用を目的として設計され

た基準である。

-

PCI DSSは実装レベルの詳細な規定である。

実装

規定

Copyright International Certificate Authority of Management System All rights Reserved.

36

PCI DSSとISMSの相関②

PCI DSSとISMSの相関②

ISMSの管理策133項目との親和性が高く PCI DSS監査項目の

ISMSの管理策133項目との親和性が高く、PCI DSS監査項目の

順守状況を確認することにより

ISMSの管理策を80%程度確認す

ることができる。(詳細は「クレジット産業向け

ISMSユーザーズガ

イド」の

2 3 PCI DSSとISMSのマッピング参照)

イド」の

2.3 PCI DSSとISMSのマッピング参照)

ISMSの4項に要求されるPDCAサイクルの運用と差分の適用した

評価

をす

統合す

管理策の評価/確認をすることによりISMSの運用と統合すること

が可能である。

ISMS認証の要求する審査サイクルとPCI DSSの要求する

監査サイクルが同じであるため同時に審査(監査)することも可能

である

である。

(20)

ペイメントカードに関する

フォレンジック調査の国際標準化の動き

フォレンジック調査の国際標準化の動き

Copyright International Certificate Authority of Management System All rights Reserved.

38

38

認定フォレンジック制度の概要①

認定フォレンジック制度の概要①

カ ド会社との加盟店契約において 加盟店やサ ビスプロバイ

カード会社との加盟店契約において、加盟店やサービスプロバイ

ダはカード情報の漏えい事故が起きた際のフォレンジック調査が

義務付けられている。

義務付けられて る。

今まではペイメントカード情報漏えい事故の際のフォレンジック調

今までは イメントカ ド情報漏えい事故の際のフォレンジック調

査機関は国際ペイメントブランド毎に個別に認定されていた。

例:

VISA→QIRA /MasterCard→QFI

(21)

認定フォレンジック制度の概要②

認定 ォ ンジック制度の概要②

2010年11月にフォレンジック調査機関の認定が各ブランドから

PCI SSCに移管され、カード情報の漏えい事故発生の際にフォレ

ンジック調査が必要な場合は認定フォレンジック機関(

PCI

F

i

I

ti t

PFI )が実施する とになる

Forensics Investigators :PFIs)が実施することになる。

本制度

施行

ジ ク調査後

報告書など

本制度の施行によりフォレンジック調査後の報告書など5つの

ペイメントブランド(VISA/Master/JCB/American

Express/Discover)共通の対応が可能となる

Express/Discover)共通の対応が可能となる。

フォレンジック調査の際には 事故発生時における

PCI DSSの

フォレンジック調査の際には、事故発生時における

PCI DSSの

適合状況を同時に明らかにする必要がある。

Copyright International Certificate Authority of Management System All rights Reserved.

40

事故発生後の対応フロー

事故発生後の対応フロ

ペイメント

ブランド

カード会社

ブランド

調査 要請 一次 報告 報告 最終 報告

カ ド会社

(アクワイヤラ) 要請 報告 報告

加盟店

調査依頼 <事故状況の ヒアリング> ・発生経緯 対象 特定 <一次報告> 漏えいした カ ド会員デ タ <最終報告> ・被害範囲 ・原因 ・発生日時と頻度 PCI DSS適合状況 事故発生 ・対象の特定 ・ログの有無 等 カード会員データ の特定 ・PCI DSS適合状況 ・再発防止策の評価 等 約款 合意

弊社

調査 調査 詳細 PCI DSSの

(22)

弊社の取り組み①

PCIセキュリティ基準

弊社の取り組み①

フォレンジック調査とPCI DSSアセスメントの依頼

PCIセキュリティ基準

審議会

(米国:

PCI SSC)

クレジットカード情報の

漏えいの可能性がある

Payment Card

PFIsとして承認(予定)

漏えいの可能性がある

加盟店やサービスプロバイダ

Forensics(株)

サービス提供

フォレンジックの調査要請

• フォレンジック調査のプロシージャ提供 • フォレンジック調査用のラボ提供

レポート提出

• PCI DSSオンサイトアセスメント のプロシージャ提供 オ サイ 評価 受託

クレジットカード会社

(アクワイヤラ)

• フォレンジック調査員の派遣 • PCI DSSオンサイト評価の受託

国際ペイメント

ブランド

ICMS

UBIC

レポート提出

Copyright International Certificate Authority of Management System All rights Reserved.

ブランド

42

弊社の取り組み②

UBIC

-

会社名

(株)UBIC 東京証券取引所マザーズ:2158

-

事業内容 情報漏洩や内部不正等の原因調査を行うフォレンジック調査サービス

-

国際訴訟におけるDiscovery(証拠開示)支援サービス

実績

不正調査支援 約500件

国際訴訟支援 約150件

※2010年8月末現在

-

実績

不正調査支援 約500件、 国際訴訟支援 約150件

※2010年8月末現在

-

警察・官公庁及び民間向けトレーニング 累計500名以上

-

警察等の各種法執行機関へフォレンジックシール販売実績多数

ICMS

-

会社名

会社名

国際マネジメントシステム認証機構(株)

国際マネジメントシステム認証機構(株)

-

事業内容 情報セキュリティに関する審査/監査、第三者認証サービスの提供

-

認定

PCI SSCより認定セキュリティ評価機関(QSA)として承認

財団法人日本情報処理開発協会(JIPDEC)よりISMS/ISO27001

財団法人日本情報処理開発協会(JIPDEC)よりISMS/ISO27001

認証機関として認定

-

実績

ISMS認証組織数

約70社

PCI DSS定期オ サイト監査

約20社

PCI DSS定期オンサイト監査

約20社

(23)

事故発生時の注意点

事故発生時には、事実確認や被害範囲の特定などを行うため直ちに証

拠保全の必要があります 下記の点にご注意ください

事故発生時の注意点

拠保全の必要があります。下記の点にご注意ください。

対象のハードウェアを特定し、事故対策責任者の管理下に置いて下さい。

対象の

ドウ アを特定し、事故対策責任者の管理下に置いて下さい。

但し、不用意にデータにはアクセスしないで下さい。

対象機器がネットワークに接続されているのであれば、ネットワークケーブルを抜く

など接続を遮断下さい

など接続を遮断下さい。

対象機器の再起動はしないでください。

データ消去やソフトウエア(パッチを含む)のインストールをしないでください。

デ タ消去やソフトウ ア(

ッチを含む)のインスト ルをしないでください。

ハードウェア、その付属品、及び周辺環境を保全しておいてください。

関係者からヒアリングを行い、状況の詳細を把握してください。

自社情報システム及びセキュリティ担当者とのチャンネルを確保しておいて下さい。

但し、具体的な作業の指示はしないようご注意ください。

証拠保全の為に まずは専門家である弊社にご相談ください

Copyright International Certificate Authority of Management System All rights Reserved.

証拠保全の為に、まずは専門家である弊社にご相談ください。

44

Payment Card Forensics(株)の特長

Payment Card Forensics(株)の特長

PCI SSCの承認する認定フォレンジック機関

PFIs)である。(予定)

24時間365日事故受付

標準サービスとして英語/日本語にて対応

標準サ ビスとして英語/日本語にて対応

※全ての工程を日本人の専門スタッフが対応致します。

事故対応のコンサルティングやシステム強化なども

事故対

ティ グ

シ テ 強

な も

オプションサービスとして対応可能

(24)

最後に

最後に

重要なのはクレジットカード情報を守ることであり、

基準に準拠することではない。

但しセキュリティの施策をどれだけ講じても完璧には

キ リティ

施策を

け講

も完

ならない。

投資対効果の観点上 基準が設定されている

投資対効果の観点上、基準が設定されている

(=ものさしがある)ことは望ましい状態

”ものさし”が国際的に共通であることが望ましいと考える

ものさし が国際的に共通であることが望ましいと考える。

完全準拠企業からの情報漏えい事件が、

QSAの確認

不足や要件の解釈の幅に起因するものであ ては決して

不足や要件の解釈の幅に起因するものであっては決して

ならない。

Copyright International Certificate Authority of Management System All rights Reserved.

46

46

付録:参考文献

付録:参考文献

(25)

PCI DSSの関連文書

PCI DSSの関連文書

PCI基準用語集

https://www pcisecuritystandards org/documents/pci glossary v20 pdf

https://www.pcisecuritystandards.org/documents/pci_glossary_v20.pdf

PCI DSS v1.2 要件とセキュリティ評価手順

https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

PCI DSSナビゲート

https://www pcisecuritystandards org/documents/navigating dss

https://www.pcisecuritystandards.org/documents/navigating_dss

_v20.pdf

自己問診

https://www.pcisecuritystandards.org/documents/pci_dss_saq_instr_guide_v2

.0.pdf

Prioritized Approach for PCI DSS 1.2

https://www.pcisecuritystandards.org/documents/Prioritized_Approach_PCI_

DSS_1_2.pdf

Copyright International Certificate Authority of Management System All rights Reserved.

48

_ _ p

書籍のご案内

内容一部紹介

-

PCI DSSの概要

-

PCI DSS準拠のための初段階

PCI DSS準拠のための初段階

-

要件1~12の詳細解説

-

PCI DSS文書化要求、システム要求の例

代替 ント

ル策定の要件とテスト手順

-

代替コントロール策定の要件とテスト手順

-

自己問診の概要

-

PCI DSS準拠未完了時の対応

-

PCI DSS今後の動向

発行 国際マネジメントシステム認証機構/

株式会社TIプランニング

株式会社TIプランニング

著者 瀬田陽介

価格

9万4,500円(税込)

現在

Ver2.0発行のキャンペーン価格で販売させていただいております。

詳細は下記

URLをご参照ください。

(26)

ご清聴ありがとうございました

ご清聴ありがとうございました

PCI DSS準拠に関するお問い合わせや書籍のご購入、

セミナー内容に関するご質問などお気軽にご連絡ください。

お問い合わせ先

gyoumu@icms co jp

gyoumu@icms.co.jp

0120-796-115

Twitter:iCMS JP

Twitter:iCMS_JP

書籍のご購入

http://www.paymentnavi.com/book/5594.html

Updating...

参照

Updating...

関連した話題 :