Nov 14 (News On Japan) - 2023年には、フィッシング対策協議会に報告されたフィッシング事件が約120万件に上り、19,033件のサイバー詐欺が前年から8.3%増加しました。
これらの統計は、過去15年間で最も高い数値を記録しています。これらの事件の増加は、メールベースの攻撃から守るためのDMARCの重要な役割、全体的なメールセキュリティの強化、および日本でのサイバー犯罪から個人や組織を保護する必要性を強調しています。
2025年3月までに、DMARCの導入がPCIデータセキュリティ基準(PCI DSS)バージョン4.0で義務化されます。PCI SSC(セキュリティ基準協議会)が今後の要件として推奨するDMARCは、フィッシングなどのメールベースの攻撃から企業を保護します。期限後、カードデータを処理する企業は、強力なメール認証を確立するためにDMARCを実装する必要があります。
p=rejectまたはp=quarantineのDMARCポリシーは、なりすまし攻撃から守るために不可欠です。本記事では、DMARCのPCI DSSコンプライアンス規制と、組織がデータ保護を強化する重要性について説明します。
PCI SSCとは?PCI DSS標準とは?
PCI SSCは「Payment Card Industry Security Standards Council」の略称であり、グローバルな組織としてPCIデータセキュリティ基準(PCI DSS)を確立・維持しています。
Mastercard、Discover、American Express、Visaを含む主要カードネットワークが結集し、決済カード取引の安全を守るためのセキュリティ基準を策定・促進しています。
PCI DSSの目的は?
PCIデータセキュリティ基準は、決済カード取引中のカード会員データを保護するための包括的なセキュリティ基準です。
- カード会員データの保護: 主な目的は、決済カード取引中にカード会員の機密情報を保護し、不正アクセスや情報盗難を防ぐことです。
- 安全な決済カード環境の構築: 安全なネットワークインフラ、アクセス制御、暗号化を含む安全な決済カード環境の構築と維持に必要な要件を示します。
- 適切な保護措置の実施: PCI DSSは、ファイアウォール、ウイルス対策ソフト、セキュアなコーディングなどの特定のセキュリティ対策を求めています。
- 継続的なセキュリティ対策の維持: 定期的な脆弱性スキャン、侵入テスト、従業員へのセキュリティ意識トレーニングなど、セキュリティ対策の継続的な監視と維持が重視されています。
- 決済カード業界全体のコンプライアンスの確保: PCI DSSは、業界全体で一貫したセキュリティ対策を確保し、決済エコシステムへの信頼を高める統一されたフレームワークを提供します。
PCI DSS v4.0の新要件 – 何が変わる?
PCI DSS v4.0は、PCI DSSバージョン3.2.1に代わり、技術の進化により巧妙化するサイバー攻撃に対処します。v4.0は、最新のサイバー脅威に対応するための改良が施されています。
変更点の要約:
- 各組織のサイバーセキュリティ問題に合わせた柔軟な対応
- 強化されたテスト手順でセキュリティを確保
- ネットワークセキュリティ制御の強化
- 強力な暗号化によりカード会員データのセキュリティを強化
- 冗長な要件の削除
- DMARCの導入を義務化
変更点の全リストはこちら:PCI DSSの変更概要
PCI DSS v4.0の施行時期は?
PCI DSS v4.0は2025年3月に完全施行され、旧バージョンは2024年3月に失効します。組織は新たなポリシーと要件に移行し、最新の規定に準拠する必要があります。
DMARC PCI DSSのベストプラクティスと推奨事項
PCI SSCは、メール認証のベストプラクティスとしてDMARCの重要性を認識しており、セキュリティ対策を強化するためにその導入を推奨しています。
PCI DSS DMARCガイドラインに従うことで、企業はメールインフラを強化し、ドメインのなりすまし攻撃から守ることができます。
PCI DSSの要件としてのDMARC導入
PCI DSSバージョン4.0では、カードデータを処理、保存、送信する企業に対してDMARCの導入が義務付けられます。
2025年3月までに、組織はSPF(送信者ポリシーフレームワーク)やDKIM(ドメイン鍵による電子署名)などの補完的な対策と併せてDMARCを導入し、包括的なメール認証を確立する必要があります。
最新アップデートに関する補完的対策
SPFとDKIMは、DMARCを補完するメール認証プロトコルです。
- SPF: ドメイン所有者が送信者を指定することで不正送信を防ぎます。
- DKIM: デジタル署名を使用してメールメッセージの完全性を検証します。
これらのプロトコルを組み合わせることで、メールセキュリティを強化し、メールベースの攻撃を防ぎます。
DMARCによる包括的なメール認証の確保
同一ドメインのなりすまし攻撃を防ぐため、最低でも「p=reject」または「p=quarantine」のDMARCポリシーを確立する必要があります。
これにより、DMARCチェックに失敗した疑わしいメールが拒否されるか、さらなる精査のためにフラグが立てられ、メールベースの攻撃のリスクが軽減されます。
PCI DSS DMARCの影響を受ける業界
医療
医療業界では、支払いカードデータを含む患者情報の取り扱いが求められています。
クレジットカードやデビットカードの決済を処理する医療機関は、PCI DSSに準拠する必要があり、メールセキュリティを強化するためにDMARCを実装する必要があります。
小売
小売業ではカード決済の処理が頻繁に行われ、データ侵害の標的となりやすい業界です。
PCI DSSへの準拠は、顧客の支払い情報を保護するために不可欠であり、DMARCの導入はセキュアなメール通信を確保し、ドメインなりすまし攻撃のリスクを軽減します。
ホスピタリティ
ホスピタリティ業界では、ホテル、リゾート、レストランなどがクレジットカードやデビットカードの決済を大量に取り扱います。
これらの施設はPCI DSSに準拠して顧客の支払いデータを保護する必要があり、DMARCを導入することでブランドの信頼性を守り、フィッシング攻撃やなりすましからのメールセキュリティを強化できます。
ビジネス要件と顧客保護への対応
カードデータ処理業者の義務的コンプライアンス
カードデータを処理、保存、送信する企業は、PCI DSSに準拠することが必要です。DMARCの導入は、包括的なメール認証を確保し、なりすましやフィッシング攻撃から保護するために重要です。
DMARC施行の遅れと顧客安全のギャップ
DMARCを完全に導入していない、または施行レベルに達していない企業が多く、このギャップが顧客にリスクをもたらしています。このギャップを埋めることが顧客保護とセキュリティ強化のために重要です。
**ブランド保護と顧客信頼のためのDMARC
