DMARC PCI DSS: バージョン4.0で必須要件に
2025年3月から完全実施
2024年2月6日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 DMARC PCI DSS: Now a mandatory requirement for version 4.0 の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
2025年3月までに、DMARCの実装がPCIデータセキュリティ基準バージョン4.0で必須となります。
PCI SSCにより将来の要件として推奨されているDMARCは、フィッシングのようなメールベースの攻撃から企業を保護します。
期限後、カードデータを処理する企業は、強力なメール認証のためにDMARCを実装する必要があります。
p=rejectまたはp=quarantineのDMARCポリシーは、スプーフィング攻撃から守るために重要です。
この記事では、DMARC PCI DSSコンプライアンス規制と、データ保護を強化するために組織がそれを実施する重要性について説明します。
PCI SSCとは何ですか?PCI DSS標準とは何ですか?
PCI SSCは、Payment Card Industry Security Standards Council(支払いカード業界セキュリティ標準協議会)の略であり、グローバルな組織で、PCIデータセキュリティ標準(PCI DSS)を確立および維持しています。
この協議会は、Mastercard、Discover、American Express、Visaなどの主要なカードネットワークを結集し、支払いカード取引を保護するために必要なセキュリティ標準を開発し、推進します。
PCI DSSの目的は何ですか?
PCIデータセキュリティ標準は、支払いカード取引中にカード所有者のデータを保護することを目的とした包括的なセキュリティ標準のセットです。
- カード所有者のデータ保護
- PCI DSSの主要な目標は、支払いカード取引中にカード所有者の敏感な情報を保護し、不正アクセスや盗難を防ぐことです。
- 安全な支払いカード環境の確立
- この標準は、商人が安全な支払いカード環境を確立および維持するための要件を示しており、安全なネットワークインフラ、アクセス制御、暗号化を含みます。
- 適切な保護策の実施
- PCI DSSは、ファイアウォール、アンチウイルスソフトウェア、安全なコーディングプラクティスなど、カード所有者データを保護するための特定のセキュリティ対策を義務付けています。
- 継続的なセキュリティ実践の維持
- PCI DSSは、定期的な脆弱性スキャン、ペネトレーションテスト、従業員向けのセキュリティ意識向上トレーニングなど、セキュリティ対策の継続的な監視と維持の重要性を強調しています。
- 支払いカード業界全体でのコンプライアンスの確保
- PCIデータセキュリティ標準は、統一されたコンプライアンスフレームワークを提供し、支払いカード業界全体で一貫したセキュリティ対策を確保し、支払いエコシステムへの信頼を促進します。
PCI DSS v4.0の今後の要件 - 何が新しいのですか?
PCI DSS v4.0は、先進的な技術によって引き起こされるサイバーセキュリティの脅威に対処するために、PCI DSSバージョン3.2.1を置き換えます。
PCI DSS v4.0は、最新のサイバー脅威に対処するためにより適切に装備されています。
変更点の概要は次のとおりです。
- 異なる組織のサイバーセキュリティの懸念に対応するためのカスタマイズされたアプローチ
- 強力なセキュリティを確保するための強化されたテスト手順
- ネットワークセキュリティコントロールへの重点
- カード所有者のデータセキュリティを確保するための強力な暗号化への重点
- 冗長な要件の削除
- DMARCの展開の強制
変更の全リストを読む:PCI DSSの変更概要
PCI DSS v4.0はいつ実施されますか?
PCI DSS v4.0は2025年3月から完全に実施されます。古いバージョンは2024年3月に終了します。
組織は、最新の変更に準拠するために、新しいポリシーと要件に移行することが期待されます。
DMARC PCI DSSのベストプラクティスと推奨事項
PCI SSCは、メール認証のベストプラクティスとしてDMARCの重要性を認識しており、セキュリティ対策を強化するためにその実装を推奨しています。
PCI DSS DMARCガイドラインによれば、企業はメールインフラを強化し、ドメインスプーフィング攻撃から保護することができます。
PCI DSS要件としてのDMARC実装
今後のPCI DSSバージョン4.0では、カードデータを処理、保存、または送信する企業にとって、PCI DSS DMARCの実装が義務付けられます。
2025年3月までに、組織はDMARCに加えてSPF(Sender Policy Framework)およびDKIM(DomainKeys Identified Mail)などの補完的な対策を実装し、包括的なメール認証アプローチを確立する必要があります。
最新のアップデートに関する補完的な対策
SPFとDKIMは、メール認証においてDMARCを補完する追加のプロトコルです。
SPFはドメイン所有者が自分のドメインに対する承認された送信者を定義できるようにし、DKIMはデジタル署名を使用してメールメッセージの整合性を検証します。
これらのプロトコルは共にメールセキュリティを強化し、メールベースの攻撃から保護します。
DMARCによる包括的なメール認証の確保
同一ドメインのスプーフィング攻撃から効果的に保護するために、組織は最低でも「p=reject」または「p=quarantine」のDMARCポリシーを確立する必要があります。
これにより、DMARCチェックに失敗した疑わしいメールが拒否されるか、さらに精査のためにフラグが立てられ、メールベースの攻撃のリスクが軽減されます。
PCI DSS DMARCによって影響を受ける業界
- 医療
-
医療業界は、医療サービスの支払いカードデータを含む患者の機密情報を扱います。
医療機関は、クレジットカードやデビットカードの支払いを処理する際にPCIデータセキュリティ標準の対象となります。
DMARC要件により、メールセキュリティを強化し、メールベースの攻撃から保護するためにDMARCを実装する必要があります。 - 小売
-
小売業者は広範囲にわたるカード決済を処理するため、データ侵害の主要なターゲットとなります。
顧客の支払い情報を保護するためには、PCIデータセキュリティ標準に準拠することが重要です。DMARCの実装により、追加のセキュリティ層が追加され、安全なメール通信が確保され、ドメインスプーフィング攻撃のリスクが軽減されます。 - ホスピタリティ
-
ホスピタリティ業界は、ホテル、リゾート、レストランを含むクレジットカードやデビットカードの取引量が多いです。
これらの施設にとって、顧客の支払いデータを保護するためにPCIデータセキュリティ標準に準拠することが不可欠です。
DMARCを実装することで、ホスピタリティビジネスはブランドの評判を保護し、フィッシングやスプーフィングの試みからメールセキュリティを強化できます。
ビジネス要件と顧客保護への対応
- カードデータ処理業者の必須コンプライアンス
-
カードデータを処理、保存、または送信する企業にとって、PCI DSS標準への準拠が必要です。
DMARCの実装は、包括的なメール認証を確保し、メールスプーフィングやフィッシング攻撃から保護するために重要です。 - DMARC実施のギャップと顧客安全の確保
-
多くの組織がDMARCを完全に実装していないか、施行レベルに達していないため、DMARC施行には大きなギャップがあります。
これは顧客にリスクをもたらし、このギャップを埋めて顧客保護とセキュリティを強化することの重要性を強調しています。 - ブランド保護と消費者信頼のためのDMARCの重要性
-
効果的なDMARCの実装は、ブランドをスプーフィングや悪意ある行為者から保護し、ブランドの評判を維持し、顧客の信頼を築くのに役立ちます。
DMARC施行を優先することで、企業は顧客情報を保護し、安全な支払い体験を促進することに対するコミットメントを示します。
結論
PCI DSSは支払い取引を保護するための重要なフレームワークとして機能しており、今後のPCI DSSバージョン4.0はDMARCの実装を必須としています。
各業界の組織は、DMARCおよびSPFやDKIMなどの補完的なプロトコルを積極的に採用し、メール認証を強化し、同一ドメインのスプーフィング攻撃から保護する必要があります。
DMARCを早期に実装することで、企業はブランドの評判を高め、顧客の信頼を築き、メールベースの攻撃のリスクを軽減することができます。
支払いセキュリティとDMARC施行を優先することで、より安全で安心なデジタル支払い環境を創造します。
PCI DSS V4.0 FAQ
銀行の顧客データの物理的な保護に関連するPCIセキュリティ要件はどれですか?
銀行の顧客データの物理的な保護に関連する重要なPCIセキュリティ要件は、標準内で対処されています。
この要件は、顧客データが保存または処理される場所への物理的なアクセスを保護するための適切な対策の実装を確保することに焦点を当てています。
銀行はこの要件を遵守することで、不正な物理アクセスから顧客情報を効果的に保護できます。
v4.0の要件が将来日付とされる理由は何ですか?
PCI SSCは、新しいv4.0の要件を将来日付とすることを発表しました。
これは、古いDSSバージョンの引退後(2024年以降)に組織がコンプライアンス要件に従うための追加の1年を提供するためです。
PCI DSSコンプライアンスの他の将来日付の要件は何ですか?
v4.0コンプライアンスの他の将来日付の要件は以下の通りです。
- 暗号化の優先化、セキュリティキーの更新、有効期限が切れていない有効な証明書の確保
- データストレージデバイスやペンドライブなどのリムーバブルメディアの監視
- Webおよびアプリケーションセキュリティの優先化
- パスワードセキュリティの優先化
- 定期的なユーザアクセスレビュー