カード関連のセキュリティ標準「PCI DSS」が国内で普及の兆しを見せ始めている。国内では、プロセッサ(決済代行事業者)を中心に、楽天など大手ECサイト、また実店舗では首都圏のガソリンスタンドや百貨店などがすでに準拠しているという。1~2年前から国内で認知度が高まり、準拠する企業や、PCI DSSに準拠しているかどうかを審査するQSA(認定監査機関)も増え始め、訴求活動による成果が出始めた。こうした動きにより、PCI DSSの各要件の準拠を支援する製品に商機が生まれることが期待できる。

各要件に対応した製品に需要あり

 米国でSOX法に次ぐセキュリティ市場のドライバとして、特需をもたらしているという「PCI DSS(Payment Card Industry Data Security Standard )」。

 カードでの取引や情報保護について、VISA、MasterCard、American Express、Discover、JCBの国際カードブランド5社で発足した業界団体「PCI SSC(PCI Security Standards Council)」が策定したクレジット業界のグローバルなセキュリティ標準として作成されたものだ。

 国内でここ1~2年、PCI DSSに準拠しているかどうかを監査する「QSA」が増えていることから、プロセッサ(決済代行事業者)をはじめとし、準拠した、もしくは準拠を準備している企業が増え始めた。

 PCI DSSでガードしなければならないのは、「クレジットカード情報」であり、その準拠の対象は、クレジットカード情報を取り扱っている企業のすべてが該当する。

 その一方で、PCI DSSは、クレジットカード情報の取り扱いとは縁のない企業にとっても、企業システムでどのようなセキュリティを実装すればいいかといった「教科書」に使うことができる。あるQSAでは、「PCI DSS」を教育関連、自治体など幅広い分野にも広げげていこうと、積極的に広報・啓発活動を行っている。

 PCI DSSをビジネスの観点からみると、各要件に準拠するに際してその一助となる製品の需要が高まることが期待される。

 とくに、カード番号が万一盗難されても、その証跡をたどったり損害金額を抑えるなど、被害を最小限にするにもつながる「ログ管理」は厳しく求められている。現状、企業の大半はログを溜めるだけになっている。今後、監査で改善を指摘されれば導入を考えるとしている企業も多いとのことで、その必要性が喚起できればおのずと伸びていきそうだ。

 関連の製品についていえば、PCI DSSの最初のバージョンで製品名が明記されていた唯一の製品がある。それが「Tripwire」だ。「Tripwire」はファイルの整合性を管理する製品PCI DSSの要件11.5に対応した全般の変更監査ソリューションである。新バージョンでは、仮想化プラットフォームに対応したほか、多様なポリシーに対するシステム構成評価を追加し、ISO27001(ISMS)やJ−SOXといった180の業界スタンダードにおけるコンプライアンスを担保できるようになるなど、多機能化が進んでいる。

 さらに、自社だけで対応できない要件として、ASV(PCI SSC認定スキャニングベンダー)による四半期に1度以上、企業内部、外部の検査をしなければならないなど、第三者によるサービスが絡んでくるのも特徴だ。京セラコミュニケーションシステム(KCCS)では、「Tripwire」の販売と「内部・外部ネットワークのぜい弱性スキャン」に対応したASVスキャン代行サービス「PCIスキャンサービス」など、さまざまな製品とサービスを提供し、業界を盛り上げている。