PCI DSS 4.0コンプライアンスのためのDMARC – 2025年から必須に

PCI DSS v4.0で必須に！広がるDMARCの適用範囲

2025年1月12日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 DMARC for PCI DSS 4.0 Compliance – Mandatory from 2025 の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

2025年3月31日までに、PCI DSSバージョン4.0のコンプライアンスにおいてDMARCの実装が必須となります。
この要件は、カード決済を取り扱う、処理する、またはカード会員データを保存するすべての組織に適用されます。
この取り組みは、DMARCがフィッシングやなりすましなどのメールを利用した攻撃から企業を保護することで、決済セキュリティを強化することを目的としています。

本記事では、DMARCのPCI DSSコンプライアンス規制と、なぜ組織がデータ保護を強化する必要があるのかについて解説します。

重要なポイント

1. 2025年3月31日までに、カード決済を取り扱う組織はPCI DSSコンプライアンスのためにDMARCの実装が必須となります。
2. DMARCを実装することで、組織はフィッシングやメールのなりすまし攻撃から身を守ることができます。
3. PCI DSSのガイドラインに従い、SPFおよびDKIMとともにDMARCを実装することは、強固なメール認証のために不可欠です。
4. PCI DSS v4.0への準拠は、カード会員データの保護と決済取引の安全性確保にとって重要です。
5. DMARCを積極的に適用することで、メールの信頼性が向上し、メール通信に関連するセキュリティリスクを軽減できます。

PCI DSS 4.0コンプライアンスの主要要件（2025年施行）

PCI DSS v4.0は、巧妙化するサイバーセキュリティの脅威に対処するために、PCI DSSバージョン3.2.1に代わるものとして導入されました。
この新バージョンは、最新のサイバー脅威技術に対応し、適切に対処できるように設計されています。

主要な変更点

1. 強化されたメールセキュリティ

メールのなりすましやデータ漏洩を防ぐため、カード決済を取り扱うすべての組織に対してDMARCの実装が必須となります。

2. アクセス制御の強化

すべてのアクセスに対して多要素認証（MFA）が必須となり、パスワードポリシーも強化（最小文字数が7文字から12文字に増加）され、アカウントのロックアウトルールも更新（ログイン失敗回数6回から10回に変更）されます。

3. 年間テクノロジーレビュー

ハードウェアおよびソフトウェアは、脆弱性への対応を強化するために、少なくとも年に1回見直しを行う必要があります。

4. プロアクティブなリスク管理

セキュリティ管理の失敗を迅速に修正し、各組織の独自のサイバーセキュリティ課題に適したアプローチを採用することが求められます。

5. データおよびネットワークセキュリティの強化

カード会員データを保護するため、強力な暗号化、厳格なアクセス権限管理、ネットワークセキュリティ対策の向上が求められます。

6. コンプライアンスの簡素化

時代遅れの要件を削除し、テスト手順を強化することで、包括的なセキュリティを確保しながら遵守しやすくなります。

変更点の詳細を読む: PCI DSS変更点の概要

PCI DSS DMARC要件の影響を受ける対象

PCI DSSのDMARC要件は、カード会員データ（CHD）や決済カード情報、機密認証データ（SAD）の保存・処理・送信を行うあらゆる事業体に影響を及ぼします。
これには、組織、個人、システムコンポーネント、サービスプロバイダーが含まれます。

影響を受ける対象

• カード決済を取り扱う、または処理するすべての組織（規模の大小を問わず）
• カード会員データを処理・取得・発行・受け入れる企業やサービスプロバイダー
• カード会員データ（CHD）および機密認証データ（SAD）を保存・処理・送信するシステムコンポーネント、担当者、業務プロセス
• CHD/SADを取り扱うシステムと制限なく接続されているシステムコンポーネント（自身がCHD/SADを保存・処理・送信しない場合でも影響を受ける）

PCI DSS v4.0の要件が影響を及ぼす業界

• Eコマース事業者
• 金融機関
• 小売業者
• 医療業界
• ホスピタリティ業界（ホテル・旅行業など）
• サードパーティのサービスプロバイダーおよびベンダー
• カード決済を処理するすべての企業、事業体、法人

PowerDMARCによるPCI DSSコンプライアンスの達成

PowerDMARCのホスティング型メール認証ソリューションを活用することで、PCI DSSコンプライアンスの達成を効率化できます。

1. ホスティング型DMARCサービス

PowerDMARCのホスティングサービスを利用することで、DMARC、SPF、DKIMの実装を簡単かつ自動化し、PCI DSSバージョン4の要件を満たすことができます。

2. 包括的なDMARCレポート＆モニタリング

PowerDMARCは、詳細でわかりやすいDMARC集約レポートおよびフォレンジックレポートを提供します。
これにより、メールチャネルの監査を行い、証拠に基づいたコンプライアンス管理が可能になります。

3. 簡素化されたコンプライアンス管理

自動化されたプロセスと使いやすいダッシュボードにより、PowerDMARCはPCI DSSコンプライアンス管理の効率化を支援し、時間とリソースを節約できます。

非準拠による影響

DMARCの実装を怠り、PCI DSS 4.0の要件を満たさない場合、以下のリスクが発生します。

1. サイバー攻撃のリスク増大

DMARCを導入しないと、ドメイン名がなりすまし、フィッシング、詐欺の標的となる可能性が高まります。

2. メール配信率の低下

認証がないとメールの配信成功率が下がり、メールの不達（バウンス）率が増加する恐れがあります。

3. ブランドの信用低下

フィッシング攻撃のリスクが高まることで、ブランドの評判が損なわれ、顧客の信頼が低下する可能性があります。

4. 多額の罰金

PCI DSSの要件に準拠しない企業は、$5,000～$100,000の高額な罰金を科される可能性があります。

PCI DSSとPCI SSCの理解

PCI SSC（Payment Card Industry Security Standards Council）は、PCIデータセキュリティ基準（PCI DSS）を策定・維持するグローバル組織です。
この組織は、Mastercard、Discover、American Express、Visaなどの主要なカードネットワークを統合し、決済カード取引を保護するために必要なセキュリティ基準の開発と推進を行っています。

なぜPCI DSSコンプライアンスが企業にとって重要なのか

PCIデータセキュリティ基準（PCI DSS）は、決済カード取引におけるカード会員データの保護を目的とした包括的なセキュリティ基準です。

カード会員データの保護

PCI DSSの主な目的は、決済カード取引時にカード会員の機密情報を保護し、不正アクセスや情報盗難を防ぐことです。

安全な決済環境の構築

この基準は、安全なネットワークインフラ、アクセス制御、暗号化を含む、加盟店が安全な決済環境を確立・維持するための要件を定めています。

適切なセキュリティ対策の実施

PCI DSSは、ファイアウォール、アンチウイルスソフトウェア、安全なコーディング手法など、カード会員データを保護するための具体的なセキュリティ対策を義務付けています。

継続的なセキュリティ対策の維持

定期的な脆弱性スキャン、ペネトレーションテスト、従業員向けセキュリティ教育など、セキュリティ対策の継続的な監視と維持の重要性が強調されています。

決済業界全体でのコンプライアンス確保

PCIデータセキュリティ基準は、決済業界全体で一貫したセキュリティ対策を確保し、決済エコシステムへの信頼性を向上させるための統一フレームワークを提供します。

PCI DSSにおけるDMARCの重要性

DMARC、SPF、DKIMは、ドメインとメールをなりすまし、フィッシング、詐欺攻撃から保護するためのメール認証プロトコルです。
これらのプロトコルは、ドメインから送信される正規のメールと偽のメールを識別し、不正な送信元がドメイン名を偽装できないようにします。
同一ドメインのなりすまし攻撃を効果的に防ぐために、組織は最低でも**「p=reject」または「p=quarantine」**のDMARCポリシーを設定する必要があります。

PCI SSCは、スパムやフィッシング対策の一環としてDMARCの導入を推奨しています。
DMARCを実装することで、組織は以下のようなメリットを得られます。

• メールの配信成功率の向上
• メール詐欺やドメイン名のなりすましリスクの最小化
• スパム苦情やメールの不達（バウンス）の削減
• ブランドの評判・信頼性の向上
• 国内外の法規制への準拠

新しいPCI DSS要件への対応方法

コンプライアンスを維持するために、企業は以下の対策を講じる必要があります。

1. DMARCをSPFおよびDKIMと併せて実装する
2. DMARCポリシーを「p=reject」に設定し、メールを悪用したサイバー攻撃を防ぐ
3. マルウェア対策およびURL保護ソリューションを導入し、悪意のあるスパム（マルスパム）攻撃を阻止する
4. 従業員向けのセキュリティ意識向上トレーニングを少なくとも月1回実施し、最新のフィッシング手法に対応できるようにする

まとめ

PCI DSSは、決済取引の保護に不可欠なフレームワークです。
新たに導入されるPCI DSSバージョン4.0では、機密性の高い決済カードデータを保護するためのメールセキュリティの重要性が強調されています。
各業界の組織は、データ漏洩対策を強化するために、DMARCをはじめ、SPFやDKIMなどの認証プロトコルを積極的に導入する必要があります。

DMARCを早期に導入することで、以下のメリットも得られます。

• ブランドの評判向上
• 顧客の信頼獲得
• メール配信率の改善

決済セキュリティとDMARCの適用を優先することで、より安全なデジタル決済環境を世界中で実現できます。

PowerDMARCに登録し、PCI DSS DMARC要件を満たしましょう。
2025年3月までに対応し、コンプライアンスを確保してください！

PCI DSS V4.0 よくある質問（FAQs）

Q. 銀行の顧客データの物理的保護に関連するPCIセキュリティ要件は？

銀行の顧客データの物理的保護に関する主要なPCIセキュリティ要件の1つは、顧客データを保存・処理するエリアへの物理的アクセスを適切に管理することに重点を置いています。
この要件に準拠することで、不正な物理的アクセスから顧客情報を確実に保護できます。

Q. なぜv4.0の要件は「将来適用要件（Future-Dated）」とされているのか？

PCI SSCは、v4.0の新要件を「将来適用要件（Future-Dated）」として発表しました。
これは、旧バージョンのDSSが廃止された後も、企業がコンプライアンス要件を満たすために2024年以降さらに1年間の移行期間を得られるようにするためです。

Q. PCI DSS v4.0のその他の将来適用要件は？

以下の要件が将来適用要件（Future-Dated Requirements）として含まれています。

• 暗号化の優先強化、セキュリティキーの更新、有効期限切れでない証明書の確保
• USBメモリや外部ストレージデバイスなどのリムーバブルメディアの監視
• Webおよびアプリケーションセキュリティの優先強化
• パスワードセキュリティの強化
• 定期的なユーザーアクセスの見直し