TEDIA会員に登録したメールアドレスとパスワードを入力してください

メールアドレス:

     パスワード:


パスワードを忘れた方はパスワードの確認を行ってください。

TEDIA会員へのご登録がお済みで無い方はこちらで登録ができます


>> テクノロジーポータル TEDIA トップページへ戻る <<

mark Software Developer's Think IT mark 失敗しないソフト選び Find-IT mark テクノロジーポータル TEDIA

会員登録 登録情報管理

TEDIA SponsorsInformation Technology Planning, Implementation and IT Solutions for Business - Baseline

TOP

PCI DSSのアップデートのためにPCIセキュリティー基準委員会が開催
(2008/10/14公開)

 PCIコンプライアンスの動向に注目している方は、重要な改訂版がリリースされることをご存じでしょう。この改訂版には、定義の暗号化や、ワイヤレスネットワークのセキュリティー要件の強化、Webアプリケーションの脆弱(ぜいじゃく)性評価およびWebアプリケーションファイアーウォールの使用要件の強化などが含まれます。また、ワイヤレスセキュリティーとクレジットカードの事前認証をより明確化するための分科会(SIG)の参加についてもご存じのはずです。

 先週、PCIセキュリティー基準委員会(PCI Security Standards Council)は、委員会加盟組織に対して、10月1日リリース予定のPCIデータセキュリティー基準(PCI Data Security Standards)のアップデートバージョン1.2における変更の詳細を発表しました。また、同委員会はPCIデータセキュリティー基準を順守するのに必要なプラクティスを明確化するのに役立つ、新たな独立したガイダンスセットの作成にあたり、コミュニティの参加を募る予定であると報告しています。

 この声明は、同基準の恩恵を受けている加盟店組織や、コンプライアンスを確保する査定人のために開催された、同委員会の第2回年次コミュニティミーティングで発表されました。主要クレジットカード会社5社の標準作成部隊として活動しているPCIセキュリティー基準委員会は、加盟メンバーの公的組織を通じて、標準に影響を受ける組織のコミュニティからのフィードバックを歓迎しています。

 PCIセキュリティー基準委員会のゼネラルマネージャ、ボブ・ルッソ氏は、先週の大騒動に対して、新しく更新される基準は、前のルールセットから大きくは変わっていないと説明しました。

 「この基準は見聞に基づいているので、実に堅固です。1.1と1.2の間で必要な変更は多くありません。この事実は、基準が安定した優れたものであることの証しです。」とルッソ氏は語っています。ミーティングについては、「本当に良い意見交換の場となっています。私たちの構成メンバーの求めるものは何か、何が必要なのかについて聞くことができました。メンバーたちもまた、そのフィードバックに基づいて基準がどのように変えられるかを聞けるようになりました」

 年次ミーティングの参加者は70%増加しており、このような草の根政治的なやり方の人気が上がっていることを裏付けています。ルッソによると、数百もの組織から625名以上の出席者がこの集会に出席しました。基準の確立過程において意見を提供した委員会の監査コミュニティメンバーの数は最近増えており、昨年度の240人から、この秋には記念すべき500人に到達しました。

 これらのメンバーの多くは数ヶ月前からすでにPCI DSSバージョン 1.2に関する変更の多くをかぎつけています。このバージョンには、定義の暗号化やワイヤレスネットワークセキュリティーの要件の強化、Webアプリケーションの脆弱性評価およびファイアーウォールの使用に関する要件の強化などの重要な改訂が含まれています。その結果、今後のPCI委員会の活動に関するニュースは、1.2の変更よりもはるかに多くの興味をひくことでしょうと、ルッソは述べています。

 これらの詳細の中で最も取り上げられている話題には、特定の技術プロセスに関する基準要件の明確化を提供するための新しい分科会(SIG)への参加を募るという委員会の仕事も含まれています。今年のミーティングでは、ワイヤレスセキュリティーとペイメントカードの事前認証セキュリティーの2つのSIGが立ち上げられました。委員会のリーダーシップは完成までにさらに多くのSIGが必要になるだろうと説明しました。

 「ネットワークセグメンテーションは、大きな注目を集める分野であり、非常に定義の難しい分野です。最大の分野は何をインストールすべきかをどのようにして策定するかです。確実に何かの漏れがないようにするためには、どのニーズに対処すべきかをどうしたらわかるでしょうか。」とルッソ氏は述べながら、同時に、組織は基準の範囲を外れた余分な作業を望まないと説明しています。「そのために、スコーピングが必要になります。すでに、分科会を招集する過程に入っています。このグループは今後、基準そのものをあまり変更せずに、ガイダンス文書の形で推奨を作成するでしょう。」

 ルッソ氏は、3~6ヶ月以内に成果を期待できると語っています。

 ルッソ氏によれば、このミーティングで検討されたそのほかの詳細には、ベンダーの支持がなくても、コンプライアンス活動を改善するための特定のタイプの技術に関して、ガイダンスを提供するための今後の活動も含まれます。また、1年以内に完成するであろうPIN入力装置のセキュリティーを強化するための、新しい要件の今後のリリースについても討議されました。


原文へのリンク


1   

Copyright © 2008 Ziff Davis Enterprise, Inc.
Originally appearing in the U.S. Edition of Baseline. All Rights Reserved.