【開催報告】「PAY.JP」 による セキュリティガイドライン PCI DSS v4.0 準拠の道のり

2023 年 7 月 19 日に、AWS Startup Loft Tokyo にて 『「PAY.JP」 による セキュリティガイドライン PCI DSS v4.0 準拠の道のり』と題してオンサイトイベントを開催しました。本イベントでは、PCI DSS への準拠をメインテーマに、AWS から決済業界に関する活用状況や新サービス、 PCI DSS 準拠に対する基本的などを紹介しました。加えて、PAY 株式会社様より、メインコンテンツとして、PCI DSS v4.0 準拠における課題の解決アプローチを具体的な事例を交えてご紹介いただきました。

本記事では、これらの内容を振り返るとともに、会場の雰囲気などもお伝えします。

PCI DSS とは

PCI DSS とは、Payment Card Industry Data Security Standard の略で、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。国際カードブランド主要 5 社により設立された、PCI SSC によって運用、管理されており、2023 年 8 月現在、有効なバージョンとして、v3.2.1 と v4.0 があります。2024 年 3 月までは、v3.2.1 から v4.0 までの移行期間とされており、すでに v3.2.1 に準拠している企業も、この期間内に v4.0 の差分に対応し、準拠することが求められます。(v4.0 の新要件 64 のうちの 13 が 2024 年 4 月より直ちに適用、それ以外の 51 要件は 2025 年 3 月 31 日以降に要件化)

アジェンダ

本イベントは、以下のアジェンダで進行しました。

• ペイメントビジネスにおける最新事例・新サービスのご紹介 (AWS 金融事業開発本部 金融事業開発マネージャー 塚田 直樹)
• PCI DSS の準拠を助ける AWS セキュリティ (AWS ソリューションアーキテクト 駒原 雄祐)
• PAY.JP における AWS を活用した PCI DSS 対応事例 (PAY 株式会社 セキュリティエンジニア スミス クリストファー氏

これらのコンテンツのあとには、会場である AWS Startup Loft Tokyo にて懇親会が行われ、登壇者や参加者間で様々な意見交換やネットワーキングが行われました。

金融業界やクレジットカード業界におけるコンプライアンスや規制要件 (AWS 金融事業開発本部 金融事業開発マネージャー 塚田 直樹)

本イベントのトップバッターとして、AWS 金融事業開発マネージャーの塚田より、金融業界における AWS の活用状況、2023 年 6 月に発表された新しいサービスである AWS Payment Cryptography を紹介しました。2011年に東京リージョンが開設されて以降の初期段階では、既存のワークロードやデータはオンプレミスで運用されていて、金融業界における AWS 活用はスタートアップやネット専業の企業が中心でした。しかし、近年は金融領域においても、クラウド活用の安全性やメリットに対する理解が進み、大手決済事業者やメガバンクにおいても、続々と AWS 活用が広がっています。そんな中で、新たに発表された AWS Payment Cryptography は、決済ワークロードにおける HSM (Hardware Security Module) を API を通じてクラウド上でマネージドに利用できるサービスです。これにより、オンプレミスで管理されていた HSM に関連したワークロードのクラウド化が可能となり、セキュリティ要件や必要なスケーラビリティを満たしながら管理・運用の負担も大きく軽減することができます。AWS Payment Cryptography の詳細は、ぜひこちらの記事もご覧ください。

[資料]

PCI DSSの準拠を助けるAWSセキュリティ (AWS ソリューションアーキテクト 駒原 雄祐)

続いて、AWS ソリューションアーキテクトの駒原より、PCI DSS への準拠を目指す際に重要となる考え方と、準拠の助けとなる AWS サービスとして AWS Security Hub を紹介しました。PCI DSS はネットワーク、データ保護、脆弱性管理、アクセス制御など、様々なカテゴリにまたがる 12 の主要要件があり (v.3.2.1, v4.0の場合)、それぞれに詳細な個別要件とそのテスト手順などが規定されています。これらを含めると項目数は数百にも及び、このすべてを自身で満たすのは、多大な時間と労力がかかります。AWS では「責任共有モデル」によって、AWS と AWS を利用するお客様の責任範囲や境界が明確にされており、AWS をうまく活用することで、多くの PCI DSS の対応項目を AWS にオフロードすることができます。マネージドサービスや、AWS の豊富なセキュリティサービスを積極的に活用することで、対応事項 (= 審査範囲) を削減することと、より迅速に要件を満たす環境をデプロイすることが、AWS 上で効率的に PCI DSS への準拠を目指す上で重要な考え方であることを紹介しました。また、PCI DSS の準拠や、その後の運用において、準拠できていないリソースの発見や、準拠後にルールを逸脱してしまったリソースの検知に役立つセキュリティサービスとして、AWS Security Hub を紹介しました。

[資料]

PAY.JP における AWS を活用した PCI DSS 対応事例 (PAY 株式会社 セキュリティエンジニア スミス クリストファー氏)

本イベントのメインコンテンツとして、PAY 株式会社のセキュリティエンジニアのスミス クリストファー氏より、PCI DSS の最新バージョンである、v4.0 に対応した際の課題とどのようにしてそれらを解決したのかを紹介いただきました。具体的に言及された PCI DSS v4.0 要件は、以下のものです。

• 要件3 保存されたアカウントデータを保護します。
  • 3.5.1.2 ディスクレベルまたはパーティションレベルの暗号化（ファイル、列、フィールドレベルのデータベース暗号化ではない）を使用して PAN を読み取り不能にする場合、以下のようにのみ実装される。
    • リムーバブル電子メディア上
      または
    • リムーバブルでない電子メディアに使用する場合は、要件 3.5.1 を満たす別のメカニズムで PAN も読み取り不能にする。
• 要件6 安全性の高いシステムおよびソフトウェアを開発し、保守します。
  • 6.4.2 公開用 Web アプリケーションに対して、Web ベースの攻撃を継続的に検出・防止する自動化された技術的ソリューションを展開する。
• 要件10 システムコンポーネントおよびカード会員データへのすべてのアクセスを記録し、監視します。
  • 10.4.1.1 監査ログレビューが自動化されている。
  • 10.4.2.1 他のすべてのシステムコンポーネントのログレビューの頻度を決定するために、ターゲットリスク分析が実施される。
  • 10.7.2 重要なセキュリティコントロールシステムの障害が迅速に検出され、警告され、対処される。
  • 10.7.3 重要なセキュリティコントロールシステムの障害が迅速に対応される。

それぞれ、Amazon DynamoDB, AWS WAF, Amazon GuardDuty といった AWS のサービスを効果的に適用することで、効率的に対応したことが分かりやすく解説されました。PCI DSS を AWS を活用してうまく準拠するための考え方の実践例として、とても興味深い内容なので、ぜひ資料もご覧ください。

[資料]

PAY.JP における AWS を活用した PCI DSS 対応事例セッションの様子

最後に

「PCI DSS」は決済ビジネス固有のセキュリティ要件であり、多くの方々に関連するような裾野の広いテーマを採り上げたわけではないイベントでしたが、実際に PCI DSS の対応を業務とする方など、この領域に造詣の深い方に多く参加していただきました。講演後の QA や懇親会でも、かなり具体的で詳細な内容に触れられていたことも印象的でした。AWS Startup Loft Tokyo では、今後も様々なイベントを企画しています。多くの皆様のご参加をお待ちしてます。

本ブログは、ソリューションアーキテクトの駒原が担当しました。