今すぐ試す  営業にお問い合わせ 
今すぐ試す  お問い合わせ 

企業向け PCI DSS チェックリスト: コンプライアンス基準を満たす方法

Payments
Payments

成長中のスタートアップからグローバル企業まで、あらゆるビジネスに対応できる決済ソリューションを利用して、オンライン決済、対面支払いなど、世界中のあらゆる場所で決済を受け付けます。

もっと知る 
  1. はじめに
  2. PCI DSS 準拠とは
  3. PCI DSS コンプライアンスチェックリストの内容
    1. 1. ファイアウォールの設置とメンテナンス
    2. 2. デフォルトのパスワードや設定を避ける
    3. 3. 保存されているカード会員データを保護する
    4. 4. 送信データを暗号化する
    5. 5. マルウェア対策
    6. 6. パッチシステムとアプリケーション
    7. 7. 役割によるデータアクセスの制限
    8. 8. ユーザーを一意に認証する
    9. 9. 物理的なアクセスの制御
    10. 10. アクセスのトラックと監視
    11. 11. セキュリティを定期的にテストする
    12. 12. セキュリティポリシーの維持とスタッフへの研修
  4. ネットワークの PCI 準拠の監視とテストの方法
    1. ログと監視
    2. 脆弱性スキャン
    3. 侵入テスト
    4. 継続的な検証
  5. カード会員データ環境を安全に維持する方法
    1. 範囲の定義と最小化
    2. 不要なものは保管しない
    3. トークン化と暗号化
    4. ネットワークのセグメント化
    5. アクセスの制限と監視
  6. PCI DSS 準拠に向けて実行すべき手順
    1. 適用範囲
    2. 資産インベントリ
    3. ギャップ分析
    4. 検証パス
    5. タイムラインと役割
  7. PCI DSS 準拠を長期にわたって維持する方法
    1. 定期的なチェックのスケジュールを設定
    2. 反復研修の開催
    3. ベンダーを監督する
    4. 対応の準備
  8. Stripe Payments の活用方法
  9. Stripe を始める 

顧客の決済データを保護することは、信頼を築き、ビジネスを円滑に運営するために不可欠です。2024 年の世界平均の情報漏えいコストは 488 万ドルに達しており、高水準のセキュリティを維持することが重要です。

PCI DSS (決済カード業界データセキュリティ基準) のチェックリストは、複雑で難解に見える基準を、どの企業でもカード保有者情報を保護するために従える明確な手順に変えます。以下では、チェックリストの要求事項と、継続的に遵守を維持する方法についてご説明します。

目次

  • PCI DSS 準拠とは
  • PCI DSS コンプライアンスチェックリストの内容
  • ネットワークの PCI 準拠の監視とテストの方法
  • カード会員データ環境を安全に維持する方法
  • PCI DSS 準拠に向けて実行すべき手順
  • PCI DSS 準拠を長期にわたって維持する方法
  • Stripe Payments の活用方法

PCI DSS 準拠とは

PCI DSSは、クレジットカードとデビットカードの情報を保護するためのルールブックです。2004 年に American Express、Discover、JCB、Mastercard、Visaによって、不正利用や情報漏えいを最小化する目的で作成されました。現在では、カード情報を保存、処理、送信するすべての事業者にとっての基本的なセキュリティ標準となっています。

PCI DSS の遵守は必須です。貴社がクレジットカードやデビットカードを受け付ける場合、PCI DSS の対象となります。対象は、単一店舗の小売店、急成長中の SaaS 企業、あるいはグローバル企業に至るまで広範囲です。他者に代わってカード情報を移動・保管するサービスプロバイダーも遵守が必要です。具体的な報告手順は取引量によって異なりますが、セキュリティ要件はすべての事業者に適用されます。

PCI DSS 自体は法律ではありませんが、銀行や決済代行業者との契約を通じて遵守が求められます。遵守しない場合、罰金、高額な監査費用、訴訟、あるいはカード決済の処理能力を失う可能性があります。

PCI DSS コンプライアンスチェックリストの内容

PCI DSS は次の 12 の要件に基づいて構築されています。

1. ファイアウォールの設置とメンテナンス

最初の防御ラインは、不要な通信を遮断する適切に設定されたファイアウォールです。ルールは定期的に確認し、不要なものは削除しましょう。また、独自設定のカスタムルールも重要です。

2. デフォルトのパスワードや設定を避ける

デバイスやソフトウェアは、多くの場合、広く知られた初期設定のまま出荷されます。すぐに初期設定を変更し、使っていないアカウントを無効化し、不要なサービスは停止しましょう。

3. 保存されているカード会員データを保護する

カード情報を保存する必要がなければ、保存しないでください。どうしても保存する場合は、強力なアルゴリズムで暗号化し、可能な場合はマスクや切り捨てを行い、暗号鍵を安全に管理してください。不要になったデータは速やかに削除しましょう。

4. 送信データを暗号化する

カード情報がオープンネットワーク上を移動する場合は、必ず暗号化する必要があります。Transport Layer Security (TLS) 1.2以上など、最新のプロトコルを使用してください。Secure Sockets Layer (SSL) などの旧プロトコルは効果が低くなります。カード番号をメールや暗号化されていないチャネルで送信してはいけません。

5. マルウェア対策

マルウェアに感染する可能性のあるすべてのシステムには、最新状態に保たれ、自動実行されるアンチマルウェア保護が必要です。PCI DSS v4.0 では、従来型のアンチウイルス保護だけでなく、高度な検知ツールの活用も推奨されています。

6. パッチシステムとアプリケーション

脆弱性はハッカーの侵入経路となります。資産の最新インベントリを維持し、セキュリティ情報を購読し、パッチは迅速に適用してください。自社でアプリケーションを開発する場合は、安全なコーディング手法を遵守しましょう。

7. 役割によるデータアクセスの制限

最小権限の原則を適用してください。カード情報へのアクセスは、実際に必要な従業員のみに限定します。役割ベースのアクセス制御を使用し、役割変更時には速やかにアクセス権を取り消し、機密性の高い業務には必要に応じた一時的アクセスの導入も検討しましょう。

8. ユーザーを一意に認証する

すべての個人に一意の ID を付与してください。共有ログインを許可しないでください。カード会員データ環境 (CDE) のシステムへのすべてのアクセスには、強力なパスワードと多要素認証を必須とします。これは PCI DSS v4.0 で明確に定められた必須要件です。

9. 物理的なアクセスの制御

カード情報が物理的に存在する場所を保護してください。対象には、サーバールーム、決済端末、紙の記録、バックアップが含まれます。ID バッジ、施錠、監視カメラを活用しましょう。不要になった記録は確実に破棄してください。

10. アクセスのトラックと監視

カード会員データに関わるシステムでは、詳細なログ記録を有効にしてください。誰が何をいつ行ったかを記録します。ログは少なくとも 1 年間保存し、直近 3 カ月分は容易に参照できる状態にしてください。定期的に確認し、異常がないかチェックしましょう。

11. セキュリティを定期的にテストする

四半期ごとに脆弱性スキャンを実施してください。オンラインビジネスを運営している場合は、PCI セキュリティ基準審議会 (PCI SSC) に認定された承認スキャンベンダーを利用しましょう。侵入テストは少なくとも年 1 回実施してください。システムに大きな変更を加えた場合は、内部スキャンも実施してください。テストを行うことで、攻撃者が侵入に悪用する前に問題を発見できます。

12. セキュリティポリシーの維持とスタッフへの研修

コンプライアンスは、システムと同じくらい人にも依存します。正式なセキュリティポリシーを策定し、毎年更新するとともに、スタッフを定期的に教育して、全員が決済データの保護方法を理解するようにしましょう。

PCI DSS コンプライアンスチェックリストは、作戦マニュアルのように考えてください。設定し、暗号化し、アクセスを制限し、監視し、テストし、教育し、事業の成長に合わせてこれを繰り返しましょう。

ネットワークの PCI 準拠の監視とテストの方法

PCI DSS では、管理策が日々適切に機能していることを証明することも求められます。そのためには、監視とテストが必要です。

ログと監視

カード会員データに関わるシステムは、詳細なログを生成する必要があります。ログには「誰が何にアクセスしたか」「いつアクセスしたか」「どのような操作を行ったか」を記録してください。ログは少なくとも1年間保存し、直近 3 カ月分は即時参照可能にしてください。また、ログを定期的に確認することも必要です。多くの企業では、自動アラートを活用して不審な活動を検知しています。例として、管理者アカウントが深夜や早朝など通常とは異なる時間帯にログインする場合などがあります。

脆弱性スキャン

PCI DSS では、インターネットに接続されているシステムに対して、四半期ごとに承認スキャンベンダーが実施する脆弱性スキャンを義務付けています。内部スキャンも計画的に実施する必要があります。特に、システムに大きな変更を加えた場合は必須です。スキャンでは、攻撃者が悪用する可能性のある既知の脆弱性を確認します。例として、古いソフトウェアや設定ミスのあるファイアウォールなどが含まれます。

侵入テスト

侵入テストは、少なくとも年 1 回実施してください。侵入テストとは、ハッカーの視点で考える専門家が実施する模擬攻撃です。自動スキャンとは異なり、さまざまな脆弱性がどのように実際のリスクにつながるかを検証します。これにより、攻撃者の視点で自社環境を把握することができます。

継続的な検証

PCI 準拠とは、継続的なサイクルを回すことを意味します。具体的には、システムの設定、スキャン、問題の修正、再テストの順に行われます。その目的は、問題がセキュリティ侵害に発展する前に発見すること、そして自社の管理策が検証に耐えうることを示すことです。

カード会員データ環境を安全に維持する方法

カード保有者データの保護とは、あらゆる層でリスクを低減した環境を構築することです。PCI DSS ではこれを「カード会員データ環境 (CDE)」と呼びます。CDE を安全に保つには、範囲、保存方法、アクセス管理、システム構成に注意を払う必要があります。

CDE を保護する方法は次のとおりです。

範囲の定義と最小化

まず、カードデータが自社システム内でどこを通るのかを正確に把握してください。カードデータに関わる、または送信するアプリケーション、データベース、端末、ネットワークを一覧化します。次に、対象範囲を縮小します。カードデータを扱う必要がないシステムは、スコープから除外してください。

不要なものは保管しない

保存されているカードデータはすべてリスクとなります。必要なデータだけを保持し、古いデータは自動で削除される仕組みを設定してください。可能な場合はマスキングや切り捨てを用いて、データが外部に漏れたとしても攻撃者にとって無意味となるようにします。

トークン化と暗号化

カード番号を扱う必要がある場合は、システム外では利用価値のないトークンに置き換えてください。カード会員データは、保存時および送信時の両方で暗号化してください。また、暗号鍵の管理もデータ保護と同等の厳格さで行います。具体的には、アクセスを制限し、定期的に鍵を更新し、使用状況をログに記録してください。

ネットワークのセグメント化

CDE を他のシステムから隔離してください。ネットワークの分割 (セグメント化) により、万が一、一部が侵害されても、攻撃者が直接カードデータに到達することを防げます。

アクセスの制限と監視

厳格なアクセス制御を適用してください。具体的には、役割に基づく権限付与、マルチファクター認証、すべてのアクセス試行のログ記録です。権限は定期的に見直し、不要になったアクセス権は速やかに削除してください。

安全に保たれた CDE には、定期的なレビュー、更新、テストが必要です。対象範囲を絞り、適切に暗号化し、データへの曝露を最小化することで、ヒューマンエラーや攻撃に対して耐性のある環境を構築できます。

PCI DSS 準拠に向けて実行すべき手順

アンケートに回答したり、監査をスケジュールしたりする前に、自社がカードデータをどのように扱い、どこにリスクがあるかを明確に把握する必要があります。これにより、PCI DSS 準拠は抽象的な規格ではなく、最初からスコープ、証跡、責任範囲が定義された具体的なプロジェクト計画となります。

ここでは、準備方法について説明します。

適用範囲

カード保有者データに関わるすべてのシステム、アプリケーション、ネットワークを特定してください。データフロー図を作成し、カード情報が環境内でどのように流れるかを正確に示します。入口 (例: ウェブサイト、端末、アプリ) から処理または保存される場所までを含めます。カードデータに関わるものはすべてスコープに含まれます。

資産インベントリ

決済に関わるすべてのハードウェア、ソフトウェア、サービスプロバイダーを一覧化してください。これにより、保護すべき対象と、第三者の責任が関わる箇所を把握できます。

ギャップ分析

現在のセキュリティ対策を PCI DSS の12要件と照らし合わせて確認してください。ギャップ分析により、欠落している方針、古くなった設定、未修正のシステムを特定し、優先順位付きの改善のためのロードマップを作成できます。

検証パス

一般的に、事業者は自己評価アンケート (SAQ) で準拠状況を確認します。しかし、大規模事業者は認定セキュリティ評価者 (QSA) による正式なコンプライアンス報告書が必要なことが多いです。どの方法を選ぶかは、取引量や決済処理の方法によって決まります。

タイムラインと役割

改善策、文書化、テスト、社員教育の時間をあらかじめ確保してください。責任範囲を明確に割り当て、タスクが漏れないようにします。

PCI DSS 準拠を長期にわたって維持する方法

コンプライアンスは繰り返し行うサイクルです。長期的な PCI 準拠とは、セキュリティを日々の業務に組み込むことを意味します。

そのために必要なものは次の通りです。

定期的なチェックのスケジュールを設定

四半期ごとの脆弱性スキャン、年 1 回の侵入テスト、方針レビュー、定期的なリスク評価をスケジュールしてください。各活動を記録し、監査人向けおよび自社の責任追跡のための証跡を残してください。

反復研修の開催

人はシステムの一部です。定期的にセキュリティ意識向上セッションを開催し、従業員がカードスキマー、不正なフィッシング行為、改ざんの兆候を見分けられるようにします。基準や自社プロセスが変更された場合は、研修内容を更新してください。

ベンダーを監督する

サードパーティの提供者は、多くの場合、決済フローの一部です。彼らのコンプライアンス状況を定期的に確認し、契約書にセキュリティ義務が反映されていることを確認してください。

対応の準備

インシデント対応計画を整備してください。誰に連絡すべきか、システムをどのように隔離するか、利害関係者にどのように通知するかを把握しておきます。問題が発生した場合に迅速に対応できる体制を整えておくことが必要です。

Stripe Payments の活用方法

Stripe Payments は統合型のグローバル決済ソリューションです。成長中のスタートアップから大企業まで、あらゆるビジネスがオンライン、対面、世界各地で決済を受け付けられます。

Stripe Payments は、以下のような場面でご活用いただけます。

  • 決済体験の最適化: 構築済みの決済 UI、125 種類以上の決済手段へのアクセス、Stripe が構築したウォレットである Link により、スムーズな顧客体験を実現し、エンジニアリングの工数を何千時間単位で節約できます。

  • 新市場への迅速な展開: 195 か国、135 以上の通貨で利用可能な国際決済オプションにより、世界中の顧客にリーチし、多通貨管理の複雑性とコストを軽減できます。

  • 対面とオンライン決済の統合: オンラインと対面チャネルにまたがるユニファイドコマース体験を構築し、インタラクションをパーソナライズし、ロイヤルティに報い、収益を伸ばします。

  • 決済パフォーマンスの向上: ノーコードの不正利用防止機能や承認率向上のための高度な機能を含む、カスタマイズ可能で設定が簡単な各種決済ツールにより、収益を増加させます。

  • 柔軟で信頼性の高いプラットフォームによる迅速な成長: 99.999% の稼働率と業界トップクラスの信頼性を備え、スケールに合わせて拡張可能なプラットフォーム上で構築できます。

Stripe Payments のオンラインおよび対面決済がビジネスにどのように役立つかについて、詳しくはこちらをご覧ください。または、今すぐ始めることもできます。

この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。

その他の記事

  • Something went wrong. Please try again or contact support.

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Payments

Payments

あらゆるビジネスに対応できる決済ソリューションを利用して、世界中のあらゆる場所でオンライン決済と対面決済を受け付けましょう。

Payments のドキュメント

Stripe の支払い API の導入方法について、ガイドをご覧ください。