PCI DSS v4.0のデータ保護要件にどう対応するか、暗号化の実践ポイント

　クレジットカード業界のセキュリティ基準である「PCI DSS v4.0」では、アカウントデータの保護に関する要件が強化されている。具体的には、「保存されたアカウントデータの保護」や「オープンな公共ネットワークでのデータ伝送時に、強力な暗号化技術でカード会員データを保護すること」が求められている。さらに、保護方法についても具体的な指針が示されており、従来よりも厳格な保管方式、メディアの種別、暗号化方式などが明記された。

　例えば、リムーバブルでないメディアに対するディスクレベルの暗号化は、実質的に使用が認められなくなり、代わりにカラム／ファイルレベルでの暗号化が必要となる。また、鍵管理については、鍵のライフサイクル全体にわたる手順の定義が求められており、従来の方法では要件を満たせない場面が増えている。

　本資料では、PCI DSS v4.0におけるデータ保護の要点を詳しく解説する。その上で、カラム／ファイルレベルの暗号化、ユーザーアクセスの制御、厳格な鍵管理など、強固なデータ保護と暗号化を可能にする製品を紹介しているので、ぜひ確認してほしい。