PCI DSS向けDMARC:バージョン4.0の要件と推奨事項

ブログ

DMARCは、メールセキュリティを強化するためにPCI DSS 4.0で推奨されているグッドプラクティスです。今すぐコンプライアンス戦略を強化し、メール詐欺に対抗しましょう。

byアホナ・ルドラ

読書時間 6
PCI DSS向けDMARC:バージョン4.0の要件と推奨事項
目次-

DMARCの実装は、PCI DSS バージョン 4.0 の「グッドプラクティス」として推奨されています。 PCI DSS バージョン 4.0DMARCの実装は、電子メール保護および詐欺防止に対する包括的なアプローチの一環として、他のセキュリティ対策を補完する「グッドプラクティス」として推奨されています。Payment Card Industry(ペイメントカード業界)によるこのイニシアチブは、カード会員デー タを取り扱い、保管、処理するすべての事業体の決済セキュリティを強化することを目的としています。DMARCは、企業がフィッシングやなりすましなどの電子メールベースの攻撃を防止し、電子メールでやり取りされる機密情報を保護する上で極めて重要な役割を果たしています。

DMARC は、他の予防策と組み合わせて、PCI DSS の現行バージョンにおける優れたプラクティスの一例とし て説明されていますが、PCI DSS によって義務付けられているわけではありません。ただし、電子メールセキュリティ戦略の一環として DMARC を採用することで、ドメイン保護を大幅に強化し、フィッシング攻撃を防止し、電子メールの配信性を向上させることができます。

主なポイント

  • PCI DSS v4.0は、カード決済を扱う、または処理する組織に対してDMARCの実装を推奨しています。
  • DMARCは、フィッシングやなりすましメール攻撃から組織を守るのに役立ちます。
  • PCI DSSでは、DMARC、SPF、DKIMを他のフィッシング対策と並行して導入することで、強固なメールセキュリティを実現すると言及しています。
  • PCI DSS v4.0への準拠を達成することは、カード会員データを保護し、安全な決済取引を確保するために不可欠です。
  • 早期にDMARCを実施することで、信頼を築き、メール配信性を高め、メールベースのセキュリティリスクを低減することができます。

PCI DSS 4.0準拠の主な要件(2025年発効)

PCI DSS v4.0は、PCI DSSバージョン3.2.1に代わるもので、高度な技術によって組織化されたサイバーセキュリティの脅威に対する懸念の高まりに対処するためのものです。PCI DSS v4.0は、サイバー脅威における最新の技術開発に対応し、それらに適切に対処するためのより優れた機能を備えています。 

主な変更点は以下の通り:

  1. メールセキュリティの強化:PCI DSS v4.0では、カード決済を扱う組織に対して、電子メールのセキュリティを強化し、電子メールのなりすましやデータ漏洩のリスクを低減するためにDMARCを実装することを奨励しています。
  2. アクセス制御の強化:すべてのアクセスに多要素認証(MFA)が要求され、パスワードポリシーの強化(最低文字数が7文字から12文字に増加)、アカウントのロックアウトルールの更新(ログイン試行回数が6回から10回に失敗した場合)が行われる。
  3. テクノロジー・レビュー:ハードウェアとソフトウェアは、脆弱性の先を行くために、少なくとも年に1回は見直さなければならない。
  4. プロアクティブ・リスクマネジメント:組織は、セキュリティ・コントロールの不具合に迅速に対処し、サイバーセキュリティ上の独自の課題に合わせたアプローチを採用しなければならない。
  5. データとネットワークのセキュリティ強化:カード会員データを保護するために、強固な暗号化、アクセス許可の厳格化、ネッ トワークセキュリティ対策の改善に重点を置く。
  6. 合理化されたコンプライアンス:包括的なセキュリティを確保するため、時代遅れの要件を削除し、テスト手順を強化することで簡素化。

変更点の全リストを読む PCI DSS 変更の概要

誰が影響を受けるのか?

DMARC に関する PCI DSS 勧告は、カード会員データ/ペイメントカード情報/機密認証データを保存、処 理、または送信するすべてのエンティティに有益です。これには、組織、個人、システムコンポーネント、およびサービスプロバイダが含まれます。

影響を受ける組織は以下の通り:

  • 大小を問わず、カード決済を扱う、または処理するあらゆる組織。 
  • カード会員データを処理、取得、発行、または受け入れるすべての企業またはサービスプロバイダ。
  • カード会員データ(CHD)および/または機密認証データ(SAD)を保存、処理、または伝送するシス テムコンポーネント、人、およびプロセス。
  • CHD/SADを扱うシステム・コンポーネントは、たとえそれ自身がCHD/SADを保存、処理、送信しないとしても、無制限の接続性を持つ。

影響を受ける業界は以下の通り:

  • Eコマース事業 
  • 金融機関 
  • 小売業者 
  • ヘルスケア 
  • ホスピタリティ 
  • 第三者サービス・プロバイダーおよびベンダー 
  • カード決済を処理する会社、企業、企業

PowerDMARC による PCI DSS 準拠のための DMARC の実装

DMARC は、唯一の要件ではありませんが、PCI DSS コンプライアンスの取り組みを補完するものです。DMARCの実装は、PowerDMARCの一連のホスト型メール認証ソリューションで効率化することができます。その方法は以下の通りです:

  1. ホスト型 DMARCサービス:PowerDMARC のホスティングサービスは、簡単で自動化された DMARC、SPF、DKIM の実装により、PCI DSS バージョン 4 コンプライアンスを満たします。
  2. 包括的なDMARC レポートとモニタリング:PowerDMARC は、詳細で簡素化された DMARC 集計およびフォレンジックレポートを提供します。これにより、電子メールチャネルを監査し、コンプライアンスに対するエビデンスベースのアプローチを維持することができます。
  3. コンプライアンス管理の簡素化:自動化されたプロセスと操作しやすいダッシュボードにより、PowerDMARC は PCI DSS コンプライアンスへの取り組みを効率的に管理および文書化し、時間とリソースを節約します。

DMARCを実装しない場合の影響

PCI DSSはDMARCを実装していないことに直接的な罰則を課していませんが、組織は重大なサイバーセキュリティリスクに直面する可能性があります。

DMARCの実装に失敗すると、以下のような結果を招く可能性がある: 

  1. サイバー攻撃のリスク増大:DMARCの実装に失敗すると、ドメイン名がなりすまし、フィッシング、なりすましに遭いやすくなります。
  2. メール配信性の低下: 認証がない場合、メール到達率が低下し、バウンス率が上昇する可能性があります。
  3. レピュテーションの低下:フィッシング攻撃のリスクが高まると、ブランドの評判が下がり、顧客の信頼が低下する可能性がある。

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

PCI DSSとPCI SSCの理解 

PCI SSCはPayment Card Industry Security Standards Councilの頭文字をとったもので、PCIを確立し維持する世界的な組織である。 データ・セキュリティ基準基準(PCI DSS)を制定・維持する世界的な組織である。

Mastercard、Discover、American Express、Visaを含む主要なカードネットワークを統合し、ペイメントカード取引を保護するために必要なセキュリティ基準を策定、推進している。

PCI DSS準拠が企業に不可欠な理由

PCIデータセキュリティ基準は、ペイメントカード取引におけるカード会員のデータ保護を保証することを目的とした包括的なセキュリティ基準です。

  • カード会員データの保護PCI DSS の主な目的は、ペイメントカード取引中のカード会員の機密情報を保護し、不正アクセスや盗難を防止することです。
  • 安全なペイメントカード環境の構築この規格は、加盟店が安全なネットワークインフラ、アクセスコントロール、暗号化など、安全なペイメントカード環境を確立し、維持するための要件を概説している。
  • 適切な保護措置の導入:PCI DSS は、カード会員データを保護するために、ファイアウォール、アンチウイルスソフトウェア、セキュアコーディングプラクティスなどの特定のセキュリティ対策を義務付けています。
  • 継続的なセキュリティ対策の維持PCI DSS は、定期的な脆弱性スキャン、侵入テスト、従業員に対するセキュリティ意識向上トレーニングなど、セ キュリティ対策を継続的に監視および維持することの重要性を強調しています。
  • ペイメントカード業界全体のコンプライアンスの確保PCI データセキュリティ基準は、ペイメントカード業界全体で一貫したセキュリティ対策を確保し、ペイメントエコシステムの信頼を促進する、コンプライアンスに関する統一されたフレームワークを提供します。

PCI DSSのためのDMARC:重要な理由 

DMARC、SPF、DKIMは、なりすまし、フィッシング、なりすまし攻撃からお客様のドメインとメールを保護するためのメール認証プロトコルです。これらのプロトコルは、お客様のドメインから送信される正当なメールと偽のメールを区別し、不正な送信元がお客様のドメイン名を偽造できないようにします。同一ドメインのなりすまし攻撃から効果的に保護するために、組織は DMARCポリシーを設定する必要があります。

PCI SSCは、DMARCの実装をアンチスパムおよびアンチフィッシングの一環としています。DMARCを導入する組織には、以下のようなメリットがあります: 

  • メールの配信能力の向上 
  • 電子メール詐欺とドメイン名のなりすましを最小化 
  • スパムメールの苦情やバウンスの減少 
  • ブランドの評判、信用、信頼の向上 
  • 世界および現地の政府規制の遵守  

PCI DSSの要件と推奨事項に準拠する方法 

PCI DSSの勧告に準拠し続けるために、企業は以下のことを行うことができます: 

  1. DMARC、SPF、DKIMを関連するフィッシング対策技術とともに導入する。 
  2. DMARCポリシー(p=rejectなど)を導入し、メールによるサイバー攻撃を防止しましょう。 
  3. マルウェア対策とURL保護ソリューションを導入して、従業員へのマルスパムキャンペーンを阻止しましょう。 
  4. 最新のフィッシング・テクニックを常に把握するために、チーム全員に少なくとも月に1回はセキュリティ意識向上トレーニングを受けさせましょう。

まとめ

PCI DSSは、決済取引を保護するための重要なフレームワークとして機能しています。近々リリースされるPCI DSSバージョン4.0では、機密性の高いペイメントカードデータを保護するための電子メールセキュリティの重要性が強調されています。各業界の組織は、DMARC、SPFやDKIMのような補完的プロトコル、または同様のフィッシング対策を積極的に採用し、データ漏洩に対する防御を強化することをお勧めします。 

DMARCを早期に導入することで、企業はブランドの評判を高め、顧客の信頼を築き、電子メールの配信性を向上させることもできます。決済セキュリティとDMARCの実施を優先することで、世界中でより安全なデジタル決済環境が促進されます。

サインアップPowerDMARCでメールセキュリティを強化し、PCI DSSのベストプラクティスでコンプライアンスを強化しましょう!

PCI DSS V4.0 FAQ

銀行の顧客データの物理的保護に関する PCI セキュリティ要件は?

銀行の顧客データの物理的保護に関連する重要な PCI セキュリティ要件の 1 つが、この基準で取り上げられています。この要件は、顧客データが保存または処理されるエリアへの物理的なアクセスを確保するための適切な措置の実施に重点を置いています。銀行はこの要件を遵守することで、不正な物理的アクセスから顧客情報を効果的に保護することができます。

v4.0の要求事項がfuture-datedとされているのはなぜですか?

PCI SSC は、v4.0 の新要件は、旧 DSS バージョンが廃止されてからさらに 1 年後(2024 年以降)の準拠要件を組織に提供するため、将来の日付に対応したものであると発表した。

PCI DSS 準拠のその他の将来的な要件は何ですか?

v4.0に準拠するためのその他の将来的な要件は以下の通り:

  • 暗号化の優先順位、セキュリティ・キーの更新、有効期限が切れていない証明書の確保
  • データ・ストレージ・デバイスやペン・ドライブなどのリムーバブル・メディアの監視
  • ウェブとアプリケーションのセキュリティを優先する
  • パスワード・セキュリティの優先順位
  • 定期的なユーザー・アクセス・レビュー

最新記事 by Ahona Rudra(全て見る)
554 5.7.5 DMARCポリシーの評価で恒久的なエラーが発生する [解決済み]。554 5.7.5 DMARCポリシーの評価に関する恒久的なエラーDMARCポリシーで拒否されたメールのトラブルシューティングDMARCポリシーによりメールが拒否される」トラブルシューティング【解決済み