第9話B 📋「業界の守り方 ～PCI DSSとISMAPの役割～」

📖 用語まとめ表

今日も頑張っていきましょう！

用語（略語）	読み方	一言説明	身近な例え
PCI DSS	ぴーしーあいでぃーえすえす	Payment Card Industry Data Security Standard（ペイメント カード インダストリー データ セキュリティ スタンダード）。クレジットカード情報を扱う事業者が守るべき国際セキュリティ基準	カード会社が加盟店に求める「金庫の設置基準」。これを満たさないと決済を止められる
ISMAP	いすまっぷ	Information system Security Management and Assessment Program（インフォメーション システム セキュリティ マネジメント アンド アセスメント プログラム）。政府が認定したセキュリティ評価済みクラウドサービスの登録制度	政府の「安全なクラウド認定リスト」。リストに載っていないと官公庁に売れない
ISMS適合性評価制度	あいえすえむすてきごうせいひょうかせいど	ISO/IEC 27001に基づくISMS認証を第三者機関が審査・認定する制度。日本ではJIPDECが運営	「このお店は食品衛生基準をちゃんと守っています」という公認マーク
準拠義務	じゅんきょぎむ	法令や業界基準に従うことが法的・契約的に義務づけられている状態	マンションの管理規約。住人全員が守らなければならないルール
クレジットカード情報保護	くれじっとかーどじょうほうほご	カード番号・有効期限・セキュリティコードなど決済情報を適切に管理・保護すること	財布の中のカードを他人に見せないようにするための、組織的な仕組み
政府情報システム	せいふじょうほうしすてむ	府省庁が運営・利用する情報システムの総称。ISMAPの評価対象となるクラウドサービスが提供基盤となる	役所の業務を支えるITシステム全般
FISC	ふぃすく	The Center for Financial Industry Information Systems（ふぃなんしゃるいんだすとりーじょうほうしすてむず）。金融情報システムセンター。金融機関向けのセキュリティ基準「安全対策基準」を策定する機関	銀行・証券会社専用の「セキュリティ検定機関」

📋 佐藤からのメモ——業界ごとのセキュリティ基準について

これは、メタCのCSIRTに新しく参加したメンバー向けに佐藤が書いた、内部研修資料の一部です。

メタCはISMS認証を取得しています。ただ、「ISMSを持っていれば何でもOK」というわけにはいきません。

業界や取引の種類によっては、ISMSとは別に、独自のセキュリティ基準への準拠が求められます。メタCは今後、決済機能の拡張と官公庁向けサービスの提供を検討しています。その両方に関係する基準が、PCI DSSとISMAPです。

今回はこの2つを中心に、業界標準の考え方を整理しておきましょう。

🏦 PCI DSS——カード情報を扱うなら避けて通れない

PCI DSSとは

PCI DSS——Payment Card Industry Data Security Standard（ペイメント カード インダストリー データ セキュリティ スタンダード）は、Visa・Mastercard・JCBなど主要カードブランド5社が共同で策定した、クレジットカード情報を扱う事業者が守るべき国際セキュリティ基準です。

「カード情報を扱う」というのは、単に決済を受け付けるだけではありません。カード番号・有効期限・セキュリティコードといったクレジットカード情報保護の対象となるデータを、保存・処理・転送するすべての事業者が対象になります。

身近な例えで言うと——

カード会社は加盟店に「金庫の設置基準」を求めています。基準を満たさない店は、決済サービスの利用を停止される可能性があります。PCI DSSは、その「金庫の仕様書」にあたるものです。

PCI DSSの主な要件

PCI DSSは大きく6つのカテゴリ、12の要件で構成されています。

1. ネットワークの保護 ——ファイアウォールの設置、デフォルトパスワードの変更
2. カードデータの保護 ——保存するカードデータの暗号化、不要なデータは保持しない
3. 脆弱性管理 ——マルウェア対策ソフトの導入、安全なシステム開発
4. アクセス制御 ——最小権限の原則、本人確認の徹底
5. 監視とテスト ——ログ監視、定期的なセキュリティテスト
6. 情報セキュリティポリシー ——ポリシーの策定と維持

「なんだか見たことある内容だな」と感じた人は正しい。第1〜8話で学んできたISMS・リスク管理・ログ管理の内容と多くが重なります。ただし、PCI DSSはカード情報という特定のデータに対して、より具体的・義務的な要件を課している点が特徴です。

準拠義務という考え方

ISMSは「このレベルのセキュリティ管理を実施していることを第三者が認める」認証制度です。取得すれば信頼の証になりますが、取得しなくても法的な問題はありません。

一方、PCI DSSへの準拠は契約上の義務です。カードブランドとの加盟店契約に「PCI DSSに準拠すること」が含まれており、違反すれば契約を解除される、つまり決済サービスを使えなくなるリスクがあります。

これを準拠義務と呼びます。法律ではなく業界ルールによって課される義務ですが、実質的な強制力を持っています。

メタCが決済機能を拡張するなら、この準拠義務への対応を事前に計画しておく必要があります。

🏛️ ISMAP——政府のクラウドに入るための「認定証」

ISMAPとは

ISMAP——Information system Security Management and Assessment Program（インフォメーション システム セキュリティ マネジメント アンド アセスメント プログラム）は、日本政府が2020年に開始した、政府が利用するクラウドサービスのセキュリティを評価・登録する制度です。

政府・府省庁が新しいクラウドサービスを導入する際、原則としてISMAPの登録リストから選ぶことが求められています。裏を返せば、政府情報システムの基盤として自社のサービスを提供したいなら、ISMAPへの登録が事実上の前提条件になります。

身近な例えで言うと——

「政府公認の安全なクラウド認定リスト」です。リストに載っていない事業者は、どれだけ優れたサービスを持っていても、官公庁の調達対象にはなれません。

ISMAPとISMSの関係

ISMAPの審査基準は、ISO/IEC 27001（ISMS）を中核としつつ、政府調達に必要な追加要件を上乗せしたものです。つまり、ISMS認証を取得済みであることが、ISMAPへの登録審査でも有利に働きます。

メタCはすでにISMS認証を保有しています。今後、ISMS適合性評価制度、JIPDECが運営するISMS認証制度の認証を維持・更新しながら、ISMAPの登録審査に必要な追加要件を順次整備していく、という順序が現実的です。

ISMAPとPCI DSSの位置づけ整理

少し立ち止まって、整理しておきましょう。

基準	対象	性質	運営
ISMS（ISO 27001）	すべての組織	自主認証（推奨）	国際標準化機構（ISO）
PCI DSS	カード情報を扱う事業者	契約義務（業界ルール）	カードブランド5社共同
ISMAP	政府向けクラウド提供事業者	調達要件（政府ルール）	日本政府（デジタル庁等）
FISC安全対策基準	金融機関	業界自主基準（実質義務）	金融情報システムセンター（FISC）

ここでFISCについても補足しておきます。FISC——The Center for Financial Industry Information Systems（金融情報システムセンター）は、銀行・証券会社・保険会社など金融機関向けのセキュリティ基準「安全対策基準」を策定している機関です。金融業界でシステムを提供する場合、FISC基準への対応が求められることがあります。メタCは現時点では直接の対象外ですが、将来的に金融系サービスと連携する場面があれば知識として必要になります。

🔑 まとめ——ISMSの先にあるもの

今回の内容を一言でまとめると、「ISMSは土台、その上に業界基準を積み上げる」という構造です。

ISMS（ISO 27001）は組織全体のセキュリティ管理の枠組みを提供します。しかし、扱うデータや取引先・業界によっては、ISMSだけでは不十分で、追加の基準への準拠が求められます。

• カード決済を扱うなら → PCI DSS
• 政府向けクラウドを提供するなら → ISMAP
• 金融機関と連携するなら → FISC安全対策基準

セキュリティ担当者として、自分の組織がどのビジネス領域に踏み込もうとしているかを把握し、必要な基準を先回りして確認しておくことが重要です。

「ログはすべてを語る」というのが私の信条ですが、「基準はすべてを語る」という言葉も付け加えておきたいと思います。インシデントが起きてから「その基準を知らなかった」では遅いのです。

——佐藤 隆

※筆者は現在セキュリティを学習中です。内容に誤りがある場合はコメントでお知らせいただけると助かります。