PCI DSS 4.0 の猶予期間が終了する2025年3月31日が間近に迫っています。これにより、2022年3月のバージョン 4.0 で発表されたすべての内容が決定されます。ここでは、この差し迫った期限に備えるために知っておくべきすべてを解説します。
PCI DSS 4.0 とは?
簡単に言うと、PCI DSS 4.0 は、決済カードの情報を処理する企業の認証、暗号化、監視などのセキュリティ対策を強化することを目的としています。これには以下が含まれます。
カードデータにアクセスする社員に対する多要素認証
システムのパスワード要件の厳格化
セキュリティチーム向けのセキュリティコントロールとアラートの強化
より徹底したリスク評価と管理
これらはすべて、あらゆる組織にとって一般的なセキュリティ対策であるため、PCI DSS へのコンプライアンスは単に監査チームがチェックボックスをチェックする作業と考えられがちです。多くの組織がそれで済ませてしまいますが、同基準へのコンプライアンスにはそれ以上の意味があります。
PCI DSS 4.0 でセキュリティを強化する必要がある理由
PCI DSS 4.0 でセキュリティ対策が強化された大きな理由は、決済カードの情報を盗むことを目的とした高度なサイバー攻撃の増加にあります。
決済カード情報の盗難自体は新しい問題ではありません。RFID スキミングを防止する機能を備えた財布にクレジットカードを入れて持ち歩く人もいれば、ガソリンスタンドの給油機に隠れて取り付けられた磁気カードリーダーによってクレジットカード情報が盗まれるのを恐れ、モバイル決済に対応しているガソリンスタンドを選ぶ人もいます。皆さんの Web サイトの場合はどうでしょうか?
保健所の検査で多くの問題が指摘されたレストランに行きたいと思う人は誰もいません。顧客のクレジットカード情報が詐欺師の手に渡ってしまう事態が自社サイトで発生した場合、ビジネスを永久に失いかねません。
しかし、朗報があります!わずか数分でコンプライアンス目標の達成に向けて大きな一歩を踏み出すことができます。
組織に WAF が必要である理由
PCI DSS 4.0 では、組織が2025年3月31日の期限までに Web アプリケーションファイアウォール (WAF) を調達して導入することが義務付けられています。WAF は、あらゆるアプリケーションセキュリティのパズルにおける重要なピースですが、セキュリティチームとエンジニアリングチームの両方にとって大きな摩擦の原因となる可能性があります。
現在市場に出回っている多くの WAF は誤検知を大量に発生し、不要なアラートを排除するために長くて面倒な調整期間を必要とします。さらに困ったことに、多くの WAF が正当なトラフィックをブロックしたり、アプリケーションに不具合をもたらしたりすることが知られており、ユーザーの不満を招き、収益に影響を及ぼしています。
Fastly Next-Gen WAF は、次のように規定されている PCI DSS 4.0 の要件 6.4.2 を満たす理想的なソリューションです。
Web ベースの攻撃を継続的に検出してブロックし、最低限以下の条件を満たす自動化された技術ソリューションを一般公開されている Web アプリケーションにデプロイする必要があります。
一般公開されている Web アプリケーションの前面にインストールされ、Web ベースの攻撃を検出してブロックするように設定されている。
アクティブに実行され、該当する場合は最新の状態に更新されている。
監査ログを生成する。
Web ベースの攻撃をブロックするか、アラートを生成して直ちに調査するように設定されている。
Fastly の Next-Gen WAF は、これらの要件を満たすのに役立ち、アプリケーション、API、マイクロサービスに高度な Web アプリケーション/API 保護 (WAAP) を提供します。しかし、Fastly Next-Gen WAF が優れている理由はそれだけではありません。
Fastly 独自の SmartParse テクノロジーにより、面倒な正規表現パターンの調整が不要になる上、非常に正確な判断が可能になり、他の WAF ソリューションに比べて誤検知が少なくなります。そのため、お客様の90%以上が、正当なトラフィックを妨害するリスクなしに悪意のあるアクターから保護できるという安心感を持って、WAF を完全なブロックモードで実行しています。
開発者からの評価も高い Fastly Next-Gen WAF は、コンテナ、オンプレミス、クラウド、エッジなど、あらゆる環境にデプロイ可能な柔軟性を備え、場所を問わずアプリケーションと API を保護します。イノベーションの妨げとなる可能性がある他の WAF とは異なり、優れた柔軟性と精度を誇る Fastly Next-Gen WAF は、あらゆる DevSecOps スタックにシームレスに統合し、誰にとってもシンプルなセキュリティ対策を実現します。
わずか10分でデプロイでき、平均60分で完全なブロックを開始できるので、非常に便利です。新しい PCI DSS 基準に準拠する期限が迫っていることを考えると、たとえわずかな時間でも貴重です。
Fastly による PCI コンプライアンスの支援
Fastly の次世代 WAF は、組織が最新の PCI データセキュリティ基準への準拠を支援し、セキュリティを危険にさらすことなくコンプライアンスを簡素化します。
2025年3月31日の期限を必ずリマインダーに設定してください。また、クライアント側への攻撃に対する防御を強化する方法について、Fastly の最新情報に引き続きご注目ください。
