【参考訳】 2015/3/25 昨今、SSL の脆弱性が明らかとなり、代替の暗号化アプローチが必要となりました。 先月お知らせ致しましたとおり、この問題に対応するために PCI DSS と PA-DSS v3.0 の 改訂を発行する予定です。皆様の準備を支援するためにいくつかの FAQ を用意いたしました。 PCI SSC の WEB サイトにもこれらを補遺として掲載の予定です。 (1) 何故、SSL を「強力な暗号化」の例から外すのか? アメリカ国立標準技術研究所(NIST)は SSL v3.0 をその内在する脆弱性の故にデータを 保護するプロトコルとしては受容できないと確認いたしました。これらの脆弱性のために、 SSL プロトコルはどのバージョンであれ、PCI SSC の「強力な暗号化」基準に合致せず、 PCI DSS と PA-DSS の改訂が必要になりました。後継プロトコルは TLS であり、 その本状の公表段階における最新のバージョンは TLS v1.2 です。TLS v1.2 は PCI SSC の「強力な暗号化」に適合しています。 (2) どのようなリスクがクレジットカードデータに対して引き起こされるか? SSL プロトコルの脆弱性は WEB サーバやブラウザに影響を及ぼし、悪用された場合は クレジットカード処理の受領や処理に危険を生じせしめる可能性があります。 後継プロトコルである TLS への切替のみが POODLE や BEAST 等を含む攻撃への対応策です。 (3) 決済端末(クレジットカードリーダや暗証番号入力端末)へはどのようなセキュリティ インパクトがあるか? 消費者が決済時に使用するクレジットカードリーダ等の端末機器はそれらが SSL プロトコルを 使用して通信を行う場合に影響される可能性があります。これまでに知られた SSL プロトコル の脆弱性は決済端末機器に対して悪用する事は難しく、WEB サーバやブラウザに比べれば、 低リスクと考えられます。各社は引き続き脆弱性動向を注視し、既知の攻撃に影響を受けるか どうかの確認をお願いいたします。新しい脅威やリスクは引き続き PCI DSS 要件 6.1、6.2、 11.2 等に従って管理される必要があります。 (4) 影響を受けうる PCI 要件は何か? 以下の要件を含め、SSL を「強力な暗号化」の例として引用している要件は全て影響されま す。 ・PCI DSS 要件 2.2.3、2.3 及び 4.1 ・PA-DSS 要件 6.2、8.2、11.1 及び 12.1~12.2 (5) 影響を受ける文書は何か? 本件は標準に対する変更であり、SAQ、AOC、ROC、AOV(PA-DSS)、ROV(PA-DSS)を含む 全ての文書が対象となります。 (6) PCI DSS 及び PA-DSS v3.1 への改訂はいつ公布されるか? 現在作業継続中ですが、PCI DSS 改訂は 4 月、PA-DSS はそれに引き続く時期を目標とし ています。 変更の要旨については事前に関連団体、QSA と共有していく予定です。 改訂版は公布後、即時有効となりますが、影響を受ける要件については切替のための 猶予期間を設ける予定です。 PCI SSC は移行期間中のリスク軽減の為のガイダンスを発行いたします。PA-DSS v3.1 については PCI SSC は現在のアプリケーションリストと新要件対応版をどのように 整えるべきかを検討しています。規定の改訂版は改訂の影響の明確化を支援する為に、 改訂要約や支援ガイダンスを伴い、当面のリスク軽減アプローチや推奨される軽減措置、 強力な暗号化の為の代替オプションを含む予定です。 (7) 本件に対応するにあたり、PCI SSC が協議を推奨する組織は? PCI SSC は貴社が貴社 IT 部門、パートナーとの協議を早急に実施し、貴社のシステム がどのように SSL を使用し、最低でも TLS1.1、もしくはそれ以上、に切り替えて行くための 取り得る方策について決定される事をお勧めいたします。 改訂公布に際しては、PCI SSC はガイダンスと WEB を通じた教育により、当面のリスク 軽減アプローチ、推奨される軽減措置、強力な暗号化の為の代替オプションを提供し ていく予定です。 以上 ※この参考訳はあくまでもご参考として用意させて頂いたものであり、万一、原文と和文参考 訳との間に齟齬がある場合には、英語の原文が優先することをご了承ください。
© Copyright 2024 ExpyDoc
