News On Japan

DMARC PCI DSS: バージョン4.0の必須要件に

Nov 14, 2024 (News On Japan) - 2023年には、フィッシング対策協議会に報告されたフィッシング事件が約120万件に上り、19,033件のサイバー詐欺が前年から8.3%増加しました。

これらの統計は、過去15年間で最も高い数値を記録しています。これらの事件の増加は、メールベースの攻撃から守るためのDMARCの重要な役割、全体的なメールセキュリティの強化、および日本でのサイバー犯罪から個人や組織を保護する必要性を強調しています。

2025年3月までに、DMARCの導入がPCIデータセキュリティ基準(PCI DSS)バージョン4.0で義務化されます。PCI SSC(セキュリティ基準協議会)が今後の要件として推奨するDMARCは、フィッシングなどのメールベースの攻撃から企業を保護します。期限後、カードデータを処理する企業は、強力なメール認証を確立するためにDMARCを実装する必要があります。

p=rejectまたはp=quarantineのDMARCポリシーは、なりすまし攻撃から守るために不可欠です。本記事では、DMARCのPCI DSSコンプライアンス規制と、組織がデータ保護を強化する重要性について説明します。

PCI SSCとは?PCI DSS標準とは?

PCI SSCは「Payment Card Industry Security Standards Council」の略称であり、グローバルな組織としてPCIデータセキュリティ基準(PCI DSS)を確立・維持しています。

Mastercard、Discover、American Express、Visaを含む主要カードネットワークが結集し、決済カード取引の安全を守るためのセキュリティ基準を策定・促進しています。

PCI DSSの目的は?

PCIデータセキュリティ基準は、決済カード取引中のカード会員データを保護するための包括的なセキュリティ基準です。

  • カード会員データの保護: 主な目的は、決済カード取引中にカード会員の機密情報を保護し、不正アクセスや情報盗難を防ぐことです。
  • 安全な決済カード環境の構築: 安全なネットワークインフラ、アクセス制御、暗号化を含む安全な決済カード環境の構築と維持に必要な要件を示します。
  • 適切な保護措置の実施: PCI DSSは、ファイアウォール、ウイルス対策ソフト、セキュアなコーディングなどの特定のセキュリティ対策を求めています。
  • 継続的なセキュリティ対策の維持: 定期的な脆弱性スキャン、侵入テスト、従業員へのセキュリティ意識トレーニングなど、セキュリティ対策の継続的な監視と維持が重視されています。
  • 決済カード業界全体のコンプライアンスの確保: PCI DSSは、業界全体で一貫したセキュリティ対策を確保し、決済エコシステムへの信頼を高める統一されたフレームワークを提供します。

PCI DSS v4.0の新要件 – 何が変わる?

PCI DSS v4.0は、PCI DSSバージョン3.2.1に代わり、技術の進化により巧妙化するサイバー攻撃に対処します。v4.0は、最新のサイバー脅威に対応するための改良が施されています。

変更点の要約:

  • 各組織のサイバーセキュリティ問題に合わせた柔軟な対応
  • 強化されたテスト手順でセキュリティを確保
  • ネットワークセキュリティ制御の強化
  • 強力な暗号化によりカード会員データのセキュリティを強化
  • 冗長な要件の削除
  • DMARCの導入を義務化

変更点の全リストはこちら:PCI DSSの変更概要

PCI DSS v4.0の施行時期は?

PCI DSS v4.0は2025年3月に完全施行され、旧バージョンは2024年3月に失効します。組織は新たなポリシーと要件に移行し、最新の規定に準拠する必要があります。

DMARC PCI DSSのベストプラクティスと推奨事項

PCI SSCは、メール認証のベストプラクティスとしてDMARCの重要性を認識しており、セキュリティ対策を強化するためにその導入を推奨しています。

PCI DSS DMARCガイドラインに従うことで、企業はメールインフラを強化し、ドメインのなりすまし攻撃から守ることができます。

PCI DSSの要件としてのDMARC導入

PCI DSSバージョン4.0では、カードデータを処理、保存、送信する企業に対してDMARCの導入が義務付けられます。

2025年3月までに、組織はSPF(送信者ポリシーフレームワーク)やDKIM(ドメイン鍵による電子署名)などの補完的な対策と併せてDMARCを導入し、包括的なメール認証を確立する必要があります。

最新アップデートに関する補完的対策

SPFとDKIMは、DMARCを補完するメール認証プロトコルです。

  • SPF: ドメイン所有者が送信者を指定することで不正送信を防ぎます。
  • DKIM: デジタル署名を使用してメールメッセージの完全性を検証します。

これらのプロトコルを組み合わせることで、メールセキュリティを強化し、メールベースの攻撃を防ぎます。

DMARCによる包括的なメール認証の確保

同一ドメインのなりすまし攻撃を防ぐため、最低でも「p=reject」または「p=quarantine」のDMARCポリシーを確立する必要があります。

これにより、DMARCチェックに失敗した疑わしいメールが拒否されるか、さらなる精査のためにフラグが立てられ、メールベースの攻撃のリスクが軽減されます。

PCI DSS DMARCの影響を受ける業界

医療

医療業界では、支払いカードデータを含む患者情報の取り扱いが求められています。

クレジットカードやデビットカードの決済を処理する医療機関は、PCI DSSに準拠する必要があり、メールセキュリティを強化するためにDMARCを実装する必要があります。

小売

小売業ではカード決済の処理が頻繁に行われ、データ侵害の標的となりやすい業界です。

PCI DSSへの準拠は、顧客の支払い情報を保護するために不可欠であり、DMARCの導入はセキュアなメール通信を確保し、ドメインなりすまし攻撃のリスクを軽減します。

ホスピタリティ

ホスピタリティ業界では、ホテル、リゾート、レストランなどがクレジットカードやデビットカードの決済を大量に取り扱います。

これらの施設はPCI DSSに準拠して顧客の支払いデータを保護する必要があり、DMARCを導入することでブランドの信頼性を守り、フィッシング攻撃やなりすましからのメールセキュリティを強化できます。

ビジネス要件と顧客保護への対応

カードデータ処理業者の義務的コンプライアンス

カードデータを処理、保存、送信する企業は、PCI DSSに準拠することが必要です。DMARCの導入は、包括的なメール認証を確保し、なりすましやフィッシング攻撃から保護するために重要です。

DMARC施行の遅れと顧客安全のギャップ

DMARCを完全に導入していない、または施行レベルに達していない企業が多く、このギャップが顧客にリスクをもたらしています。このギャップを埋めることが顧客保護とセキュリティ強化のために重要です。

**ブランド保護と顧客信頼のためのDMARC

News On Japan
POPULAR NEWS

Japan’s World Cup campaign ended in the cruelest possible fashion on June 29, as Gabriel Martinelli scored in the fifth minute of stoppage time to give Brazil a 2-1 victory over the Samurai Blue in their knockout match in Houston. Japan had led in the first half and were still level at 1-1 in the final moments, but Martinelli’s late strike sent Brazil into the Round of 16 and eliminated Japan from the tournament.

Strong earthquakes have continued to shake parts of Japan in recent weeks, with 11 temblors measuring lower 5 or above on the Japanese seismic intensity scale recorded across the country since April 2026.

A Kintetsu Railway train derailed inside Kyoto Station on the morning of June 29, forcing partial suspensions on the Kintetsu Kyoto Line for the rest of the day and causing long delays that hit commuters, students and tourists.

A section of stone wall at Hikone Castle, one of Japan’s few surviving original Edo-period castles and a National Treasure whose main keep remains intact more than 400 years after its construction, collapsed after heavy rain caused by Typhoons No. 7 and No. 8, Hikone city officials said.

Japan advanced to the knockout stage of the World Cup after a 1-1 draw with Sweden on June 25, finishing second in Group F and setting up a Round of 32 clash with Brazil in Houston.

MEDIA CHANNELS
         

MORE Web3 NEWS

BitradeXは、2010年FIFAワールドカップ優勝メンバーであり、スペインを代表する伝説的ストライカーであるDavid Villa(ダビド・ビジャ)氏が、BitradeXのグローバル・ブランドアンバサダーに就任したことを正式に発表しました。

The idea that Japanese conglomerates are pulling IT operations back from India and the Philippines sounds plausible.

SoftBank Group Chairman and CEO Masayoshi Son said the company aims to become the world’s leading AI company, outlining a strategy centered on four key fields including physical AI, such as robots equipped with artificial intelligence, and data centers.

An international supply chain exhibition in Beijing has put artificial intelligence at the center of its program this year, with manufacturers and semiconductor companies from around the world showcasing products aimed at practical use, including AI-equipped smart glasses that could reduce the need to look at a smartphone.

Osaka General Medical Center in Osaka's Sumiyoshi Ward has begun introducing artificial intelligence to strengthen its system for accepting patients during disasters, using electronic medical records to visualize in real time each patient's risk of deterioration and other key information so hospital beds can be coordinated more quickly.

Online entertainment holds attention because it blends speed, choice, and emotion in one screen.

A Tokyo exhibition is offering a look at 50 possible professions that could emerge in the AI age, from skin bacteria pharmacists who analyze microbes on the skin to ad walkers who use electronic textiles to deliver advertising while moving through the city.

IVS2026, one of Japan's largest startup events, will open in Kyoto on July 1, bringing together entrepreneurs and investors from Japan and abroad, with OpenAI, the U.S. developer of ChatGPT, taking part for the first time.