2025年3月までに、DMARCの実装はPCIデータセキュリティ基準バージョン4.0において必須となる。 PCIデータ・セキュリティ基準バージョン4.0において必須となる。DMARC は、PCI SSC が将来の必須要件として推奨しているもので、フィッシングなどの電子メールベースの攻撃から企業を保護します。期限後は、カードデータを処理する企業は、堅牢な電子メール認証のためにDMARCを実装する必要があります。
A DMARCポリシーは、なりすまし攻撃から保護するために非常に重要です。この記事では、DMARC PCI DSS コンプライアンス規制と、データ保護を実施することが組織にとって重要である理由について説明します。
PCI SSCおよびPCI DSS基準とは何ですか?
PCI SSCはPayment Card Industry Security Standards Councilの頭文字をとったもので、PCIデータセキュリティ基準(PCI DSS)を策定・維持する世界的な組織です。
Mastercard、Discover、American Express、Visaを含む主要なカードネットワークを統合し、ペイメントカード取引を保護するために必要なセキュリティ基準を策定、推進している。
PCI DSSの目的は何ですか?
PCIデータセキュリティ基準は、ペイメントカード取引におけるカード会員のデータ保護を保証することを目的とした包括的なセキュリティ基準です。
- カード会員データの保護 PCI DSS の主な目的は、ペイメントカード取引中のカード会員の機密情報を保護し、不正アクセスや盗難を防止することです。
- 安全なペイメントカード環境の構築この基準は、加盟店が安全なネットワークインフラ、アクセスコントロール、暗号化など、安全なペイメントカード環境を確立し、維持するための要件を概説している。
- 適切な保護措置の導入:PCI DSS は、カード会員データを保護するために、ファイアウォール、アンチウイルスソフトウェア、セキュアコーディングプラクティスなどの特定のセキュリティ対策を義務付けています。
- 継続的なセキュリティ対策の維持PCI DSS は、定期的な脆弱性スキャン、侵入テスト、従業員に対するセキュリティ意識向上トレーニングなど、セ キュリティ対策を継続的に監視および維持することの重要性を強調しています。
- ペイメントカード業界全体のコンプライアンスの確保PCI データセキュリティ基準は、ペイメントカード業界全体で一貫したセキュリティ対策を確保し、ペイメントエコシステムの信頼を促進する、コンプライアンスに関する統一されたフレームワークを提供します。
PCI DSS v4.0の今後の要件 - 新機能とは?
PCI DSS v4.0は、PCI DSSバージョン3.2.1に代わるもので、高度な技術によって組織化されたサイバーセキュリティの脅威に対する懸念の高まりに対処するためのものです。PCI DSS v4.0は、サイバー脅威における最新の技術開発に対応し、それらに適切に対処するためのより優れた機能を備えています。
以下は変更点の概要である:
- さまざまな組織のサイバーセキュリティの懸念に対処するためのカスタマイズされたアプローチ
- 堅牢なセキュリティを確保するためのテスト手順の強化
- ネットワーク・セキュリティ管理により重点を置く
- カード会員のデータ・セキュリティを確保するため、強力な暗号技術にさらに注力
- 冗長な要件の削除
- DMARC導入の強制
変更点の全リストを読む: PCI DSS 変更の概要
PCI DSS v4.0が施行されるのはいつですか?
PCI DSS v4.0は、旧バージョンの有効期限が2024年3月であるため、2025年3月から本格的に施行される。組織は最新の変更に準拠するため、新しいポリシーや要件に移行することが求められます。
DMARC PCI DSSのベストプラクティスと推奨事項
PCI SSC は、電子メール認証のベストプラクティスとして DMARC の重要性を認識し、セキュリティ対策を強化するためにその導入を推奨しています。
PCI DSSのDMARCガイドラインによると、企業は電子メールのインフラを強化し、ドメイン・スプーフィング攻撃から保護することができる。
PCI DSS要件としてのDMARC実装
次期PCI DSSバージョン4.0では、PCI DSS DMARCの実装がカードデータの処理、保存、送信を行う事業者に義務付けられます。
2025年3月までに、組織はPCI DSS DMARCをSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)などの補完的な手段とともに確実に実装し、電子メール認証への包括的なアプローチを確立する必要があります。
最新情報を踏まえた補完措置
SPF および DKIM は、電子メール認証においてDMARCを補完する追加プロトコルである。
SPFは、ドメイン所有者がそのドメインに対して承認された送信者を定義することを可能にし、一方DKIMは、電子署名を使用して電子メールメッセージの完全性を検証する。
これらのプロトコルを組み合わせることで、電子メールのセキュリティが強化され、電子メールベースの攻撃から保護される。
DMARCによる包括的な電子メール認証の確保
同一ドメイン・スプーフィング攻撃から効果的に防御するためには、組織はDMARCポリシーを確立する必要がある。 DMARCポリシーを設定する必要がある。
これにより、DMARCチェックに不合格となった不審なメールは拒否されるか、さらなる精査のためにフラグが立てられ、メールベースの攻撃のリスクが低減されます。
関連記事 電子メール認証とは何か?
PCI DSS DMARCの影響を受ける業界
ヘルスケア
ヘルスケア業界では、医療サービスの支払いカードデータなど、患者の機密情報を扱っている。
クレジットカードまたはデビットカードによる支払いを処理する医療機関は、PCIデータセキュリティ基準の対象となります。
DMARCの要件は、電子メールのセキュリティを強化し、電子メールベースの攻撃から保護するためにDMARCを実装する必要があります。
小売
小売企業はカード決済を多用するため、データ漏洩の格好の標的となっている。
PCIデータセキュリティ基準の遵守は、小売業者にとって顧客の決済情報を保護するために極めて重要です。DMARCを導入することで、セキュリティのレイヤーが追加され、安全な電子メール通信が保証され、ドメイン偽装攻撃のリスクが軽減されます。
ホスピタリティ
ホテル、リゾート、レストランなど、ホスピタリティ業界ではクレジットカードやデビットカードの取引が大量に行われている。
PCIデータ・セキュリティ基準への準拠は、これらの事業所にとって、顧客の支払データを保護するために不可欠である。
DMARCを導入することで、ホスピタリティビジネスはブランドの評判を守り、フィッシングやなりすましに対するメールセキュリティを強化することができます。
ビジネス要件と顧客保護への対応
カード・データ処理業者に対するコンプライアンスの義務化
PCI DSS 基準への準拠は、あらゆる形態のカードデータを処理、保管、または送信する事業者にとって必要です。
DMARCの導入は、包括的な電子メール認証を確保し、電子メールのなりすましやフィッシング攻撃から保護するために不可欠となる。
DMARCの施行と顧客の安全性のギャップ
DMARCの施行には大きな隔たりがあり、多くの組織はDMARCを完全に導入するか、施行レベルに達する必要がある。
これは顧客にリスクをもたらし、顧客の保護とセキュリティを強化するためにこのギャップを埋めることの重要性を浮き彫りにしている。
ブランド保護と消費者の信頼のためのDMARCの重要性
効果的なDMARCの導入は、ブランドをなりすましや悪質業者から守り、ブランドの評判を保ち、顧客の信頼を築くのに役立ちます。
DMARCの実施を優先することで、企業は顧客情報を保護し、安全な決済体験を促進するというコミットメントを示すことができます。
結論
PCI DSSは決済取引を保護するための重要なフレームワークとして機能しており、PCI DSSバージョン4.0ではDMARCの実装が必須であることが強調されています。
DMARCとSPFやDKIMのような補完的プロトコルを積極的に採用し、メール認証を強化し、同一ドメインのなりすまし攻撃から保護する必要があります。
DMARCを早期に導入することで、企業はブランドレピュテーションを高め、顧客の信頼を築き、Eメールベースの攻撃リスクを軽減することができます。決済セキュリティとDMARCの実施を優先することで、より安全でセキュアなデジタル決済環境が実現します。
PCI DSS V4.0 FAQ
銀行の顧客データの物理的保護に関する PCI セキュリティ要件は?
銀行の顧客データの物理的保護に関連する重要な PCI セキュリティ要件の 1 つが、この基準で取り上げられています。 この要件は、顧客データが保存または処理されるエリアへの物理的なアクセスを確保するための適切な措置の実施に重点を置いています。 銀行はこの要件を遵守することで、不正な物理的アクセスから顧客情報を効果的に保護することができます。
v4.0の要求事項がfuture-datedとされているのはなぜですか?
PCI SSC は、v4.0 の新要件は、旧 DSS バージョンが廃止されてからさらに 1 年後(2024 年以降)の準拠要件を組織に提供するため、将来の日付に対応したものであると発表した。
PCI DSS 準拠のその他の将来的な要件は何ですか?
v4.0に準拠するためのその他の将来的な要件は以下の通り:
- 暗号化の優先順位、セキュリティ・キーの更新、有効期限が切れていない証明書の確保
- データ・ストレージ・デバイスやペン・ドライブなどのリムーバブル・メディアの監視
- ウェブとアプリケーションのセキュリティを優先する
- パスワード・セキュリティの優先順位
- 定期的なユーザー・アクセス・レビュー
- データセンター・プロキシプロキシ界の主力マシンを公開- 2024年5月7日
- Kimsuky、DMARCの「なし」ポリシーを悪用した最近のフィッシング攻撃について- 2024年5月6日
- 納税シーズンに増加する税金詐欺と国税庁の電子メールによるなりすまし攻撃- 2024年5月2日