クレジットカードやデビットカードの決済を処理している企業のセキュリティ担当者であれば、PCI DSS(Payment Card Industry Data Security Standards)やこれに付随する要件についてはご存知かと思われます。
昨年PCI DSS V4.0が発表されたことをふまえ、2025年3月に義務化される、フィッシング対策メカニズムの要件にどのように対応できるかについて考えてみましょう。
このブログでは、V4.0要件への対応に向けて、知っておくべき事柄を説明します。
PCI DSSが開発された理由
PCI DSSの登場以前、決済カード業界において一貫したセキュリティ対策はなく、セキュリティ侵害、データ窃取、詐欺が横行していました。個人や企業は金銭的被害を被り、カード所有者のプライバシーやセキュリティが侵害されていました。決済カード業界に対する一般的な信用も揺らいでいました。
2004年、Visa、Mastercard、Discover、American Expressなどの主な利害関係者が、この状況を解決すべくPCI セキュリティ スタンダード カウンシル(PCI SSC, Payment Card Industry Security Standards Council)を設立しました。このカウンシルは、業界のセキュリティ基準とベストプラクティスの統合セットの定義に取り組みました。このように焦点を絞った努力により、PCI DSSが誕生しました。
カウンシルの全体的な目的は、カード所有者のデータを保護し、決済カード業界の完全性を維持することです。PCI DSSへの準拠は、事業者、金融機関、サービスプロバイダーなど、決済カード情報を扱うすべての企業にとって必須となっています。これらのガイドラインに対応できない場合は、重大な結果につながるおそれがあります。
PCI DSS V4.0規制のフィッシング対策メカニズムとテスト
PCI DSS V4.0 5条第4項では、自社、サプライヤー、金融パートナーをフィッシング攻撃から保護するためにフィッシング対策メカニズムを導入しなければならないと定められています。第5条第4項第1号の要件では、フィッシング攻撃を検知し、個人を保護するためのプロセスと自動メカニズムの実装が義務付けられています。
ここで注意が必要なのは、この要件はセキュリティ意識向上トレーニングだけでは対応できないということです。この要件は2025年3月に、ベストプラクティスではなく、準拠することが義務となりますので、他の方法が必要となります。
この義務化に伴い、PCI DSS監査人は、SPF (Sender Policy Framework)、DKIM (DomainKeys Identified Mail)、DMARC (Domain-based Message Authentication, Reporting & Conformance)といったスプーフィング対策コントロールの導入を企業に求めると思われます。次のセクションでは、これらのコントロールがどのようなものか、またどのようにセキュリティを向上できるのかについて見ていきましょう。
PCI SSCの要件およびテストの手順とガイダンスの概要
メール認証について知っておくべきこと
メール認証について知っておくべきことをご紹介します。
Sender Policy Framework (SPF)
SPFとはメール認証方法の一種です。 送信メールサーバーIPアドレスが、特定のドメインを代表してメールを送信することが承認されているかどうか、確認することにより、メールのなりすましを防止するものです。 SPFがなければ、攻撃者は、組織に属する者になりすまして、悪意のあるメールを送信することができます。
経験やメールインフラの知識レベルによっては、SPFレコードを正確に構成するのは複雑かもしれません。これはメールサーバーが正確に送信を許可できるよう、DNSレコードを構成しなければならないためです。
SPFレコードを正しく作成できたとしても、攻撃者はインフラやSaaSシステムを調べて、悪用するチャンスを見出す可能性があります。これはSPFレコードが以下の場合に発生することがあります。
- SPFレコードを過度に許可している
- SPFレコードが匿名化されていない
- SPFレコードを積極的に管理されていない
DomainKeys Identified Mail (DKIM)
メールのやり取りのもう一方、受信者のメールサーバーは、DKIMにより送信者が本物であるか確認でき、また、デジタル署名(キー)を送信メールに追加することにより、メールが届くまでの間に改変されることもありません。
以下によりDKIMを適切に設定することができます。
- パブリックキーおよびプライベートキーの生成
- プライベートキーでメールサーバーを構成
- 該当のパブリックキーでDKIMレコードを発行
DKIMのセットアップはしばしば、SPF レコードの作成よりも複雑です。また、キーはほぼ定期的に変更が必要なため、DKIMの維持はいくらか厄介な場合があります。
DMARC 接続
DMARCを実装し、メッセージが認証に失敗した場合にどのようなアクションを取るか判断するためには、SPFとDKIMは必須条件となります。メールの配信に重大な影響を及ぼしうることから、DMARCポリシーの影響を理解しておくことが重要です。
DMARCポリシーには以下のものが含まれます。
- “none” (メッセージがSPFおよびDKIM確認に失敗した場合は「監視のみで何もしない」 )
- “quarantine” (メッセージがSPFおよびDKIM確認に失敗した場合は「メッセージを隔離」 )
- “reject” (メッセージがSPFおよびDKIM確認に失敗した場合は「メッセージを拒否」)
DMARCはまた、自社のドメインからであると主張するメールの処理の成功や失敗について詳細なレポートを提供します。これらのレポートには、(合格または失敗の)メール認証結果に関する情報も含まれます。また、レポートを使用してメール環境全体の状態を監視することもできます。
これらのレポートは、自社のドメインの許可されていない使用を特定する上で役立ちます。そのため、DMARCのアグリゲーションレポートやフォレンジックレポートを受け取り、処理し、分析できるテクノロジーを導入することが企業にとって重要です。
たとえPCI DSS要件の対象外であったとしても、強力な「拒否」ポリシーを設定したDMARCを実装することは、どの企業も採用すべきベストプラクティスです。しかし、非常に多くの場合、実装の複雑さに対する懸念、リソース不足、または単純にどこから始めたらいいかわからないといった理由により、多くの企業はDMARCの導入に躊躇しています。
対応する準備は整っていますか?
PCI DSS v4.0への準拠期限は2025年3月はまだまだ先のことかと思われるかもしれませんが、すでに日本においては2023年2月1日に経済産業省、警察庁及び総務省は、クレジットカード会社に対してDMARCを導入し、フィッシング対策の強化をおこなうよう要請をしています。また日本政府も2023年7月に改訂された政府統一基準において、DMARCおよびBIMIをセキュリティ基本対策事項としておこなうよう推奨をしています。もし、貴社がまだSPF、DKIM、「拒否」ポリシーを設定したDMARCがなければ、計画プロセスを今から始める必要があります。
組織環境の複雑さによっては、実装が大変な場合もあります。DMARCに精通していなければ、正しいメールをブロックしたり、有効なメールを見逃したりと、問題を解決するのに多くの時間がかかるでしょう。
技術的な計画以上の要素が関わってくるので注意が必要です。必要になった場合に資金を確保できるかといった予算の問題もあります。
幸いなことに、専門的なサポートが利用できます
プルーフポイントはメールセキュリティにおける業界リーダーであり、あらゆる規模や業界の企業と提携して、p=reject DMARC実装といった目的を達成できるようサポートしています。
プルーフポイントのワールドクラスのコンサルタントが、DMARC導入の各段階においてガイドします。 プロジェクト計画のカスタイマイズから始め、すべての正規の送信者を識別し、適切に認証できるようサポートします。 また、タスクの推奨や優先順位付けを行うことも可能で、有効なメールをブロックすることのないDMARC拒否ポリシーを作成することができます。
プルーフポイントは、メール認証と業界をリードするセキュア メール ゲートウェイを完全に統合できる唯一のセキュリティベンダーであるため、インバウンドトラフィックにDMARCを適用することにより、なりすまし脅威のリスクを軽減することができます。この統合により、企業は、PCI DSS V4.0フィッシング対策要件に対応することができます。
手遅れになる前にDMARCの導入を始めましょう。どのような問題を克服すべきかわからず、かといって締切に遅れることは避けたいでしょう。
今すぐプルーフポイントまでお問い合わせください。PCI DSS要件に対応し、全体的なセキュリティ体制を向上させ、攻撃チェーンを断ち切るために、プルーフポイントがどうお役に立てるか、ご説明いたします