News On Japan

DMARC PCI DSS: バージョン4.0の必須要件に

Nov 14 (News On Japan) - 2023年には、フィッシング対策協議会に報告されたフィッシング事件が約120万件に上り、19,033件のサイバー詐欺が前年から8.3%増加しました。

これらの統計は、過去15年間で最も高い数値を記録しています。これらの事件の増加は、メールベースの攻撃から守るためのDMARCの重要な役割、全体的なメールセキュリティの強化、および日本でのサイバー犯罪から個人や組織を保護する必要性を強調しています。

2025年3月までに、DMARCの導入がPCIデータセキュリティ基準(PCI DSS)バージョン4.0で義務化されます。PCI SSC(セキュリティ基準協議会)が今後の要件として推奨するDMARCは、フィッシングなどのメールベースの攻撃から企業を保護します。期限後、カードデータを処理する企業は、強力なメール認証を確立するためにDMARCを実装する必要があります。

p=rejectまたはp=quarantineのDMARCポリシーは、なりすまし攻撃から守るために不可欠です。本記事では、DMARCのPCI DSSコンプライアンス規制と、組織がデータ保護を強化する重要性について説明します。

PCI SSCとは?PCI DSS標準とは?

PCI SSCは「Payment Card Industry Security Standards Council」の略称であり、グローバルな組織としてPCIデータセキュリティ基準(PCI DSS)を確立・維持しています。

Mastercard、Discover、American Express、Visaを含む主要カードネットワークが結集し、決済カード取引の安全を守るためのセキュリティ基準を策定・促進しています。

PCI DSSの目的は?

PCIデータセキュリティ基準は、決済カード取引中のカード会員データを保護するための包括的なセキュリティ基準です。

  • カード会員データの保護: 主な目的は、決済カード取引中にカード会員の機密情報を保護し、不正アクセスや情報盗難を防ぐことです。
  • 安全な決済カード環境の構築: 安全なネットワークインフラ、アクセス制御、暗号化を含む安全な決済カード環境の構築と維持に必要な要件を示します。
  • 適切な保護措置の実施: PCI DSSは、ファイアウォール、ウイルス対策ソフト、セキュアなコーディングなどの特定のセキュリティ対策を求めています。
  • 継続的なセキュリティ対策の維持: 定期的な脆弱性スキャン、侵入テスト、従業員へのセキュリティ意識トレーニングなど、セキュリティ対策の継続的な監視と維持が重視されています。
  • 決済カード業界全体のコンプライアンスの確保: PCI DSSは、業界全体で一貫したセキュリティ対策を確保し、決済エコシステムへの信頼を高める統一されたフレームワークを提供します。

PCI DSS v4.0の新要件 – 何が変わる?

PCI DSS v4.0は、PCI DSSバージョン3.2.1に代わり、技術の進化により巧妙化するサイバー攻撃に対処します。v4.0は、最新のサイバー脅威に対応するための改良が施されています。

変更点の要約:

  • 各組織のサイバーセキュリティ問題に合わせた柔軟な対応
  • 強化されたテスト手順でセキュリティを確保
  • ネットワークセキュリティ制御の強化
  • 強力な暗号化によりカード会員データのセキュリティを強化
  • 冗長な要件の削除
  • DMARCの導入を義務化

変更点の全リストはこちら:PCI DSSの変更概要

PCI DSS v4.0の施行時期は?

PCI DSS v4.0は2025年3月に完全施行され、旧バージョンは2024年3月に失効します。組織は新たなポリシーと要件に移行し、最新の規定に準拠する必要があります。

DMARC PCI DSSのベストプラクティスと推奨事項

PCI SSCは、メール認証のベストプラクティスとしてDMARCの重要性を認識しており、セキュリティ対策を強化するためにその導入を推奨しています。

PCI DSS DMARCガイドラインに従うことで、企業はメールインフラを強化し、ドメインのなりすまし攻撃から守ることができます。

PCI DSSの要件としてのDMARC導入

PCI DSSバージョン4.0では、カードデータを処理、保存、送信する企業に対してDMARCの導入が義務付けられます。

2025年3月までに、組織はSPF(送信者ポリシーフレームワーク)やDKIM(ドメイン鍵による電子署名)などの補完的な対策と併せてDMARCを導入し、包括的なメール認証を確立する必要があります。

最新アップデートに関する補完的対策

SPFとDKIMは、DMARCを補完するメール認証プロトコルです。

  • SPF: ドメイン所有者が送信者を指定することで不正送信を防ぎます。
  • DKIM: デジタル署名を使用してメールメッセージの完全性を検証します。

これらのプロトコルを組み合わせることで、メールセキュリティを強化し、メールベースの攻撃を防ぎます。

DMARCによる包括的なメール認証の確保

同一ドメインのなりすまし攻撃を防ぐため、最低でも「p=reject」または「p=quarantine」のDMARCポリシーを確立する必要があります。

これにより、DMARCチェックに失敗した疑わしいメールが拒否されるか、さらなる精査のためにフラグが立てられ、メールベースの攻撃のリスクが軽減されます。

PCI DSS DMARCの影響を受ける業界

医療

医療業界では、支払いカードデータを含む患者情報の取り扱いが求められています。

クレジットカードやデビットカードの決済を処理する医療機関は、PCI DSSに準拠する必要があり、メールセキュリティを強化するためにDMARCを実装する必要があります。

小売

小売業ではカード決済の処理が頻繁に行われ、データ侵害の標的となりやすい業界です。

PCI DSSへの準拠は、顧客の支払い情報を保護するために不可欠であり、DMARCの導入はセキュアなメール通信を確保し、ドメインなりすまし攻撃のリスクを軽減します。

ホスピタリティ

ホスピタリティ業界では、ホテル、リゾート、レストランなどがクレジットカードやデビットカードの決済を大量に取り扱います。

これらの施設はPCI DSSに準拠して顧客の支払いデータを保護する必要があり、DMARCを導入することでブランドの信頼性を守り、フィッシング攻撃やなりすましからのメールセキュリティを強化できます。

ビジネス要件と顧客保護への対応

カードデータ処理業者の義務的コンプライアンス

カードデータを処理、保存、送信する企業は、PCI DSSに準拠することが必要です。DMARCの導入は、包括的なメール認証を確保し、なりすましやフィッシング攻撃から保護するために重要です。

DMARC施行の遅れと顧客安全のギャップ

DMARCを完全に導入していない、または施行レベルに達していない企業が多く、このギャップが顧客にリスクをもたらしています。このギャップを埋めることが顧客保護とセキュリティ強化のために重要です。

**ブランド保護と顧客信頼のためのDMARC

News On Japan
POPULAR NEWS

From April 1st, a new regulation took effect across Osaka Prefecture requiring all restaurants with a customer seating area larger than 30 square meters to become entirely smoke-free indoors—unless they install a designated smoking room. Establishments violating the rule face fines of up to 50,000 yen, while customers may be fined up to 30,000 yen.

The Imperial Household Agency launched an official YouTube channel on April 1st to introduce the activities of Emperor Naruhito and Empress Masako.

Japan's new fiscal year began on April 1st, with companies across the country holding entrance ceremonies to welcome new employees.

The Japanese government has released an updated damage forecast for a potential Nankai Trough megaquake, estimating that up to 298,000 people could die in the worst-case scenario. This projection reflects a slight reduction from the previous estimate of 332,000 deaths made 13 years ago.

The Japan Meteorological Agency announced on March 30th that cherry blossoms (Somei-Yoshino) in central Tokyo have reached full bloom, one day earlier than the historical average and five days earlier than last year.

MEDIA CHANNELS
         

MORE Web3 NEWS

SoftBank Group has announced plans to make an additional investment of up to 40 billion dollars, or approximately 6 trillion yen, in OpenAI, the U.S.-based developer of ChatGPT.

As part of the Tenjin Big Bang redevelopment project, a wave of new commercial spaces is transforming the Tenjin area in Fukuoka. In response, Solaria Plaza is undergoing its first major renovation in about a decade to attract more visitors.

A vibrant new line of craft beer has been created through an unusual collaboration: generative AI working hand-in-hand with seasoned brewmasters.

ChatGPT's new image generation feature, released by U.S.-based OpenAI, is fueling a trend on social media where users are creating illustrations in the style of Studio Ghibli, raising concerns over copyright infringement.

A project using artificial intelligence to produce branded wagyu beef is set to begin at Hokkaido University, aiming for a more sustainable and labor-efficient livestock industry.

In a special NewsPicks program, experts from Laboro.AI, including CEO Tetsuo Shiibashi and senior solution designer Tatsuru Shiratori, explored how artificial intelligence can go beyond efficiency to generate real business value—what they call "value-up AI."

At Asia's largest consumer electronics expo held this month in Shanghai, the letters 'AI' were everywhere — from robots to TVs to refrigerators. This year's event felt entirely dominated by artificial intelligence, and that influence is now reaching into the media world.

Solana上でAIを活用した次世代のDEXであるSolanexは、$SOLDEXのプレセールで既に420万ドル以上を達成しました。SolanaのDEX取引高は全チェーンの中で35%を記録し、週間ベースで最も高い優位性を示しています。