ブログに戻る

フォロー&ご登録

英語のみで利用可能

このページは現在英語でのみ閲覧可能です。ご不便をおかけして申し訳ございませんが、しばらくしてからこのページに戻ってください。

PCI DSS 4.0 へのコンプライアンスを解決

Lorraine Bellon

Security、Senior Product Marketing Manager

業界インサイト プロダクト セキュリティ

2025年の最初の月がまるで1年のように感じたのは私たちだけでしょうか?

あらゆることに広く関わりすぎると、気を取られやすくなりますが、カード所有者の情報を扱う、または処理する企業が忘れてはならない重要な日が近づいています。

以下では、猶予期間が2025年3月31日に終了する PCI DSS 4.0 について知っておくべき重要なポイントをご紹介します。

PCI DSS 4.0 とは?

簡単にこれまでの経緯をご紹介します。

PCI Security Standards Council は2022年3月31日、Data Security Standard (DSS) のバージョン4.0を発表しました。

2024年3月に公開されたブログ記事では、すでに猶予期間が終了した要件も含め、この新しいセキュリティ基準の詳細についてご説明しました。一部の要件は、2025年3月31日までに対応する必要があります。

簡単に言うと、PCI DSS 4.0 は、決済カードの情報を処理する企業の認証、暗号化、監視などのセキュリティ対策を強化することを目的としています。これには以下が含まれます。

  • カードデータにアクセスする社員に対する多要素認証

  • システムのパスワード要件の厳格化

  • セキュリティチーム向けのセキュリティコントロールとアラートの強化

  • より徹底したリスク評価と管理

これらはすべて、あらゆる組織にとって一般的なセキュリティ対策であるため、PCI DSS へのコンプライアンスは単に監査チームがチェックボックスをチェックする作業と考えられがちです。多くの組織がそれで済ませてしまいますが、 同基準へのコンプライアンスにはいそれ以上の意味があります。

詐欺行為を追跡してブロックする

PCI DSS 4.0 でセキュリティ対策が強化された大きな理由は、決済カードの情報を盗むことを目的とした高度なサイバー攻撃の増加にあります。

決済カード情報の盗難自体は新しい問題ではありません。RFID スキミングを防止する機能を備えた財布にクレジットカードを入れて持ち歩く人もいれば、ガソリンスタンドの給油機に隠れて取り付けられた磁気カードリーダーによってクレジットカード情報が盗まれるのを恐れ、モバイル決済に対応しているガソリンスタンドを選ぶ人もいます。皆さんのWebサイトの場合はどうでしょうか? 

保健所の検査で多くの問題が指摘されたレストランに行きたいと思う人は誰もいません。顧客のクレジットカード情報が詐欺師の手に渡ってしまう事態が自社サイトで発生した場合、ビジネスを永久に失いかねません。

しかし、朗報があります!わずか数分でコンプライアンス目標の達成に向けて大きな一歩を踏み出すことができます。

快適な WAF を積極的に活用する

PCI DSS 4.0 では、組織が2025年3月31日の期限までに Web アプリケーションファイアウォール (WAF) を調達して導入することが義務付けられています。WAF は、あらゆるアプリケーションセキュリティのパズルにおける重要なピースですが、セキュリティチームとエンジニアリングチームの両方にとって大きな摩擦の原因となる可能性があります。

現在市場に出回っている多くの WAF は誤検知を大量に発生し、不要なアラートを排除するために長くて面倒な調整期間を必要とします。さらに困ったことに、多くの WAF が正当なトラフィックをブロックしたり、アプリケーションに不具合をもたらしたりすることが知られており、ユーザーの不満を招き、収益に影響を及ぼしています。

Fastly Next-Gen WAF は、次のように規定されている PCI DSS 4.0 の要件 6.4.2 を満たす理想的なソリューションです。

Web ベースの攻撃を継続的に検出してブロックし、最低限以下の条件を満たす自動化された技術ソリューションを一般公開されている Web アプリケーションにデプロイする必要があります。

  • 一般公開されている Web アプリケーションの前面にインストールされ、Web ベースの攻撃を検出してブロックする。

  • アクティブに動作し、適時アップデートされる。

  • 監査ログを生成する。

  • Web ベースの攻撃をブロックするか、またはアラートを生成して直ちに調査できるように設定されている。

Fastly の Next-Gen WAF は、これらの要件を満たすのに役立ち、アプリケーション、API、マイクロサービスに高度な Web アプリケーション/API 保護 (WAAP) を提供します。しかし、Fastly Next-Gen WAF が優れている理由はそれだけではありません。

Fastly 独自の SmartParse テクノロジーにより、面倒な正規表現パターンの調整が不要になる上、非常に正確な判断が可能になり、他の WAF ソリューションに比べて誤検知が少なくなります。そのため、お客様の90%以上が、正当なトラフィックを妨害するリスクなしに悪意のあるアクターから保護できるという安心感を持って、WAF を完全なブロックモードで実行しています。

開発者からの評価も高い Fastly Next-Gen WAF は、コンテナ、オンプレミス、クラウド、エッジなど、あらゆる環境にデプロイ可能な柔軟性を備え、場所を問わずアプリケーションと API を保護します。イノベーションの妨げとなる可能性がある他の WAF とは異なり、優れた柔軟性と精度を誇る Fastly Next-Gen WAF は、あらゆる DevSecOps スタックにシームレスに統合し、誰にとってもシンプルなセキュリティ対策を実現します。

わずか10分でデプロイでき、平均60分で完全なブロックを開始できるので、非常に便利です。新しい PCI DSS 基準に準拠する期限が迫っていることを考えると、たとえわずかな時間でも貴重です。

期限を守るようにくれぐれも気を付けてください。

Fastly が PCI コンプライアンスに役立つ理由について、詳しくはホワイトペーパーをご覧ください。

2025年3月31日の期限を必ずリマインダーに設定してください。また、クライアント側への攻撃に対する防御を強化する方法について、Fastly の最新情報に引き続きご注目ください。

Fastly
© Fastly 2025