【 ここから本文 】
- TOP
- > News : セキュリティ
- >
セキュリティ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
ビザとマスターカード、新しいデータ・セキュリティ基準を近く発表へ
(2006年07月11日)
ビザUSAとマスターカード・インターナショナルの両社は、クレジットカード・データを取り扱うあらゆる組織向けの新しいセキュリティ規則を1〜2カ月以内に発表する計画だ。これは1年前から運用されている業界データ・セキュリティ基準「Payment Card Industry(PCI)Data Security Standard」(以下、PCI基準)に対する初の大規模な改正となる。ビザ幹部が先週明らかにしたもの。
PCI基準では、小売業者、オンライン販売業者、データ処理会社などのクレジットカード・データを取り扱う会社がカード所有者のデータを保護するために実装しなければならない12分野の統制手段が定められている。それには、データ暗号化、エンドユーザーのアクセス制御および活動監視などの技術上の統制事項と、手続き上の義務事項が含まれている。
ビザのコーポレート・リスク&コンプライアンス担当バイスプレジデント、エドゥアルド・ペレス氏によると、新しい規則には、Webアプリケーション上でクレジットカード・データを保護するための規則が加えられているほか、カード・データ取り扱い企業に対し、カード・データの安全を確保するための管理体制を持つよう義務づける新規則も含まれるという。
マネージド・セキュリティ・サービス・プロバイダーである米国クアリスのCEO、フィリップ・クールトー氏は、「既存のPCI基準の要件のほとんどがネットワーク・レベルのものだったが、最近はアプリケーション・サイドで多くの危険が発生している。具体的には、SQLインジェクション攻撃、クロス・サイト・スクリプティングの脆弱性、エラー処理上の問題、バリデーション・エラーといったものだが、そうしたWebアプリケーションの危険に対処すべく、PCI基準をアップデートすることは理にかなっている」と語る。
今後数年のうちに、PCI基準はさらに厳格なものになる可能性がある。現段階では、企業は一連のPCI基準に適合した決済アプリケーションを使用することを“推奨”されているだけで、“義務づけ”はされていない。しかし、ペレス氏は、「2年後には義務づけされるだろう」と予想している。
複数の業界アナリストも、PCI基準への準拠は当初なかなか進まなかったが、ここにきてようやく増え始めているようだと指摘している。ビザの調べによると、月間カード決済処理件数が600万件を超える販売業者のうち、約22%がすでにPCI基準に準拠しており、さらにその72%が完全準拠の途上にあるという。
「こうした数字は、準拠の動きがゆっくりではあるが進んでいることを示している」と米国ガートナーのアナリスト、アビバ・リタン氏は指摘する。同氏によると、PCIの暗号化要件が技術上の難関の1つとなっており、自社がデータを暗号化しなければならないのか、あるいは他の代償的手段を実装してもいいのかがわからずに困惑している企業も少なくないという。
監査法人米国ペイメント・ソフトウェアのPCI監査員、ナイジェル・トランター氏は、PCI基準への準拠が進まないもう1つの理由として、「PCI基準は、政府機関からの命令と違って、強制力を持たない民間基準である」という認識が高いことを挙げている。
(ジャイクマール・ビジャヤン/Computerworld オンライン米国版)
- ビザUSA
- http://usa.visa.com/
- マスターカード・インターナショナル
- http://www.mastercardintl.com/
- 「Payment Card Industry Data Security Standard」初版(PDF)
- ■ 新サービス ■ うっかり誤送信を防ぐ、メール専用ホスティングとは!?
- グローバル・ビジネスを成功に導くストレージ活用術とは?
- ★レガシーマイグレーションの真実★注目され、効果的である理由はこちら
- ■大阪/東京発「旧Office製品やWindows資産をどう移行するか?」無料セミナー
