クレジットカード業界のセキュリティ規格改定案--暗号化の義務は緩和の方向

　サンフランシスコ発--クレジットカードに加盟している販売業者を対象とするセキュリティ規格の改定が提案されている。この提案では、ソフトウェアに関してはセキュリティ強化を求める一方、データの暗号化に関しては要求が緩和されている。

　業界標準ガイドライン「Payment Card Industry（PCI） Data Security Standard」の改定案では、巧妙になる一方の各種攻撃への対応を図ると同時に、顧客データの暗号化という業者によっては大きな難題となっている問題にも対処していると、MasterCard InternationalのEビジネスおよび先端技術担当ディレクタ−Tom Maxwell氏は、米国時間5月15日、当地で語った。PCI Data Security Standardの改定は2006年夏に予定されている。

　提案された改定案では、カード決済のソフトウェアの脆弱性について2008年半ばまでに精査することが義務づけられると、脆弱性対策の専門企業Qualysが開催したセキュリティ会議で、Maxwell氏は発表した。現在販売業者に求められているのは、自社のネットワークにセキュリティホールがないかを確認することだけだ。しかし、「アプリケーションレベルの攻撃が増加している」とMaxwell氏は指摘する。

　大規模な脆弱性の調査を行うことはセキュリティの強化に役立つのは確かだが、この規格に提案されているもう1つの変更案のほうには、顧客データに対するセキュリティを損ないかねないとの批判の声が上がっている。今回のPCI Data Security Standardの改定版では、顧客データの保護策として、暗号化に代わる方法も提示するものとなるからだ。

　「現在の規格では、あらゆる情報を、その保存場所にかかわらず読み取れないようにすることを義務づけている」とMaxwell氏は言う。しかし、暗号化は販売業者にとっては非常な困難を伴うものであり、暗号化以外の方法を認めてほしいという要望にどう対応すべきか、クレジットカード会社側も苦慮していると、Maxwell氏は語った。

　この問題に対処するため、PCI Data Security Standardの改定案では、暗号化の代わりに、さらなるファイアウォールやアクセス制御機能を追加するといった、別種のセキュリティ技術の使用を認めるものになるとMaxwell氏は言う。「暗号化よりも受け入れやすく、負担の少ない代替技術が容認されることになる」（Maxwell氏）