近年、クレジットカードを取り扱う販売業者における、クレジットカード番号等の漏えい事件や不正使用被害が増加しています。
また、カード発行を行う会社と販売業者と契約を締結する会社が別会社となる形態が増加し、これに伴ってクレジットカードを取り扱う販売業者の管理が行き届かないケースも出てきています。
こうした状況を踏まえ、2016年10月18日に「割賦販売法の一部を改正する法律案」が閣議決定されました。これにより、販売業者に対して、クレジットカード情報の適切な管理等が義務付けられることとなります。
クレジットカードを取り扱う販売業者は、安全・安心なクレジットカードの利用環境の整備に向けて、所要の措置を進めていく必要があり、クレジットカード業界のセキュリティ基準である「PCI DSS」の取得を検討される企業も多いかと思います。
操作ログ収集・管理ソフトのMylogStar(マイログスター)で、「PCI DSS」取得による企業価値(信用、ブランド)の向上はもちろんのこと、内部からの重要情報漏洩による企業リスクの低減を検討・実施される企業をサポートします。
PCI DSSとは?
「PCI DSS」は加盟店やサービスプロバイダにおいて、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立した、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。「PCI DSS」はPayment Card Industry Data Security Standardsの頭文字をとったもので、PCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
日本カード情報セキュリティ協議会
ラネクシーは「日本カード情報セキュリティ協議会(JCDSC)」に参画しております。
PCI DSSの概要 及び PCI DSS要件へのMylogStar対応について
「PCI DSS」は、カード会員データのセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するために策定されました。「PCI DSS」 はカード会員データを保護するために規定された技術面および運用面の要件のベースラインとして利用できます。「PCI DSS」 は加盟店、プロセサー、アクワイアラー、発行者、サービスプロバイダのほか、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または送信するその他の事業体などの、ペイメントカードの処理を行うすべての事業体に適用されます。「PCI DSS」には12 の要件があります。
MylogStar はPCI DSS要件の「10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する」において、操作ログ収集・管理により要件を満たすためのサポートを行ないます。
PCI DSS 12の要件
| 安全なネットワークの 構築・維持 |
1. | カード会員データを保護するためにファイアウォールをインストールして維持する |
| 2. | システム・パスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと | |
| カード会員データの保護 | 3. | 保存されたカード会員データを安全に保護すること |
| 4. | オープンなパブリック・ネットワーク経由で転送されるカード名義人データを暗号化する | |
| 脆弱性を管理する プログラムの整備 |
5. | アンチウイルス・ソフトウェアを利用し、定期的に更新すること |
| 6. | 安全性の高いシステムとアプリケーションを開発し、保守すること | |
| 強固なアクセス 管理手法の導入 |
7. | カード会員データへのアクセスを業務上の必要範囲内に制限すること |
| 8. | コンピュータにアクセスする利用者ごとに個別のIDを割り当てること | |
| 9. | カード会員データへの物理的アクセスを制限すること | |
| 定期的なネットワークの 監視およびテスト |
10. | ネットワークリソースおよびカード会員データに対するすべてのアクセスを追跡し、監視すること |
| 11. | セキュリティ・システムおよび管理手順を定期的にテストすること | |
| 情報セキュリティ・ ポリシーの整備 |
12. | 情報セキュリティに関するポリシーを整備すること |
要件10への対応として、MylogStarを活用する
セキュリティを強化するため、詳細なユーザー証跡管理をおこなうにはクライアントの操作ログが必要です。MylogStar は物理環境・シンクライアント環境にかかわらず、精度の高いログ収集力でPC操作ログなどを取得できます。また、取得したPC操作ログは直感的な管理画面で効率的に管理・活用ができるのです。MylogStarを導入していれば、何か不具合が発生した場合に徹底的な追跡、警告、および分析が可能になります。
お問い合わせ
PCI DSS要件へのMylogStar対応の詳細についてはこちらよりお申し込みください。
この記事を書いた人
株式会社ラネクシー MylogStar担当者
20年以上にわたりログと向き合い、活用方法を模索し続けているMylogStarの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!
