• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • カード業界を取り巻く環境とセキュリティーの重要性
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • PCI CSS準拠への参考資料集
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

NEWS

JCDSC 2/18ベンダー部会レポート

日本カード情報セキュリティ協議会(JCDSC)では、QSAメンバーによる部会が先進的に、すでに数回行われていますが、今回は会員企業の中で主力を占める、ITベンダー企業による、第1回目の部会を開催いたしました。
セミナー形式でなくディスカッション主体で情報交換の場とし、互いのビジネスを活性化して、カード情報セキュリティに貢献する部会にすることを趣旨に、40社から57名が参加しました。

日時:2010年2月18日(木) 14時〜17時

会場:日本オフィス・システム梶@セミナールーム(東京都中央区日本橋箱崎町)


【内容】

開会にあたり、日本オフィス・システムのサービス事業統括・柳田様からあいさつ。
会議の進め方と議題について、事務局・森(日本オフィス・システム)から説明し、議事・意見交換に入る。
以下のレポートは、質疑応答で交された要点を含みます。


(1)PCI DSSの国内普及の現状について…武藤 委員長(BSIグループジャパン)より報告

  • PCI DSSの関心は高まっている。
  • 現在、訪問監査には約40社が準拠済みとみられる。
  • 日本クレジット協会(JCA)から当協議会へ要請があり、インフラ整備部会(カードブランド、大手加盟店、アクワイアラで構成し、経済産業省からも同席)へ、12/3にPCIDSSの説明を行った。また、JCAのIT部会からも、同様の説明の要請をいただいている。
  • QSAの訪問審査を受ける企業は、大手アクワイアラのタスクフォースの動きにより、増加すると予想しているが、まだ動きは遅いように思う。加盟店側のコスト負担と経済状況が原因か。
  • 今後の展望としては、まずVISAが期限を公表している2010年9月末が、ひとつ目安になるのではないか。なお、MasterCardが公表している遵守期限は、2011年6月。
  • PCIDSS準拠の保険的効果が、日本でももっと明確になってくるとよいと思う。事故が発生した場合に免責される賠償責任の具体的範囲や額など。
  • PCI DSSの国内普及の現状について報告する武藤委員長(BSIグループジャパン)

    (2)QSAからITベンダーに期待する役割、連携について…西 副委員長(日本IBM)より報告

  • QSA部会の概要説明。
  • ITベンダー様に期待する役割。
  • 事前評価、未遵守要件対策検討、対策実施、オンサイトレビューといったそれぞれのフェーズで、情報交換を進めたい。
  • PCIを形骸化させないためにも、QSAが各製品の機能について保証をすることは難しい。
  • 連携案として、ベンダー部会で情報交換会を実施するなどは、考えられる。

  • (3)PCI DSS要求事項に対応するソリューション一覧表…事務局・森より報告

  • PCIDSS要求事項に対応する、各ベンダー取扱いのソリューションについて、Excelで一覧表に取りまとめ、2009年8月バージョンになっている。その後に入会の会員も増えてきているので、新情報を追加更新のうえ、会員へ配布して、情報共有資料としていきたい。
  • 一覧表には、対応しているPCI要件について、もっと細かく表示できるよう、掲載ベンダーから情報をもらっていく。
  • 一覧表は、協議会のサイトでも公表できるように、Excelでなくhtmlでリンク先も分かりやすい工夫をしていきたい。その方法は広告掲載方式も含めて、サイト制作のユニティップス社に検討いただく。
  • QSAや協議会として、機能や有効性を検証
  • 保証することはむずかしい。したがって、有効性については導入企業の責任において判断いただく参考情報であることを、明記して公表する。
  • 各ソリューションは、どのように利用すればPCIDSSに沿った運用ができるのか、ベンダー側でガイドラインを作り、お客様に提供することも検討してもらいたい。

  • (4)Gumblarへのセキュリティ対策…(S&Jコンサルティング代表 三輪様より)

  • Webサイトを閲覧するだけで感染したり、管理者の権限を奪って改ざんしてさらに広がるという、手法全般をGumblarと総称している。
  • 現在のところ、すべてに有効といえる対策までは、できていない。「Gumblar対策」と称するツールは各種出ているが、それですべて守れるとはいえない。
  • 攻撃者が金銭目的になってきたら、防御はさらに難しい。まずはPhishingのメールに要注意だし、クリックジャッキングで狙われると、現在は対策がない。ソーシャルハッキングに対してもかなり弱い。
  • 重要業務を処理しているPCなら、そもそもInternetへアクセスしないのが有効な安全策。
  • ガンブラー騒ぎにセキュリティ対策の盲点があると解説する(コンサルティング代表・三輪様)

    (5)協議会サイトとの活用と改善について…事務局・森より

  • 協議会の認知度アップのため、各会員企業のサイトからもリンクをお願いします。すでに何社かは実施いただいている。
  • リテールテックジャパン(3/9-12、東京ビッグサイト)の、3/10(水)に JCDSCとして14:10-14:40の講演ワクをいただいた。鍋島事務局長が「PCIDSSへの効果的アプローチとは」の解説を行う。

  • (6)今後のベンダー部会の進め方

  • ベンダー部会は、積極的な情報交換ができる場として、積極的に参加・活用いただきたい。
  • PCIDSS対応を推進するために、要件に対応する製品を紹介するだけでなく、何が必要なのかテンプレート的なものを提供するなど、企業が取り組みやすい環境を作っていきたい。
  • ベンダー部会の今後について、世話役を決めたい。
  • SPPS山口様が世話役に。他に世話役を担当いただける方は、事務局へ後日でも連絡いただき、打合せを行っていく。部会事務局は日本オフィス・システムが担当。
  • 以上
    (記録・事務局長・鍋島、文責・事務局・森)

      
    1. 外部のサイトへリンクします。
    • PマークとPCI DSS
    • ISMSとPCIDSS
    • 参考資料
    • 関連リンク