今回はあなたのシステムでPCI DSSに準拠すると決めた時、まず最初にやるべきことについてお話しします。
これはPCI DSSに準拠するために非常に大切なことです。
それは下記の3つのステップで行なっていきます。
- カード会員情報の流れを特定する。
- 監査対象範囲を特定する。
- 監査対象をできるだけ狭くする。
それでは一つ一つのステップについてご説明します。
カード会員情報の流れを特定する
PCI DSSに準拠するということは、そのサービスはクレジットカード情報を扱うということかと思います。まずは、あなたのシステムがどこでどのようにカード情報を受け取るかということを全て洗い出し特定し、リストアップしていきます。具体的には、実店舗の場合には対面で受け取る、Webサービスの場合には、Web画面からブラウザで入力されるなど、サービスによって様々な方法があるかと思います。それらを全て洗い出します。
次に、そのカード情報がどのようにどこに保存、処理、送信され、破棄されるか、それらに関わる人間やプロセス、技術を特定します。
その関わるシステムは全てカード会員データ環境(CDE)と呼ばれ、PCI DSSの監査対象の中で最も重要な範囲になります。
監査対象範囲を特定する
最初のステップでカード情報の流れを洗い出すことができました。次のステップとしてはPCI DSSの監査対象の範囲を分類していきます。
PCI DSSの監査対象は下記の3つに分類できます。
- カード会員データ環境 (CDE)
- 監査対象内 (in scope)
- 監査対象外 (out of scope)
図にすると下記のようになります。
サービスを構成する要素を下記の条件にしたがってそれぞれ分類していきます。
| 分類 | 条件 |
| カード会員データ環境(CDE) |
|
| 監査対象内 |
|
| 監査対象外 | CDEでも監査対象内でもないもの |
この3つの分類のうち、CDEと監査対象内の2つに分類されたものがPCI DSSの監査対象となり、 PCI DSSの12要件を適用していく必要があります。
監査対象範囲をできるだけ狭くする
2つめのステップでどのシステムを構成する要素が監査対象になるかがわかりました。
次に行うことは、この2つの監査対象をできる限り狭くすることです。監査対象が狭くなるということは、監査の対象を減らすことができるということです。
どうしてこのようなことをする必要があるのでしょうか。
それは下記のようなメリットがあるからです。
- 監査対応にかかる時間を減らすことができる
- 監査対応にかかる費用を減らすことができる
- PCI DSS準拠の維持が容易になる
- 情報漏洩等のリスクを減らすことができる
監査対象を減らすための施策としては、下記のような方法が考えられます。
- CDEのネットワークセグメントには最低限の必要なサーバしか置かない
- ファイアウォールの設定を見直しCDEと通信可能なサーバを最低限にする。
上記の流れで最終的にどのシステムの構成要素が監査対象となるかが決まったと思います。
それらの対象に対してPCI DSSの12要件を適用していきます。
