PCI DSSへの準拠に関して質問を受けることが多いため、この記事ではKinstaのPCI DSS準拠に関してご紹介します。クレジットカード情報を処理、保存、または送信するECサイトは、年間売上高に関係なくPCI DSSに準拠しなければなりません。ECサイトを運営している場合は、十分に時間を取り、PCI DSSのコンプライアンスおよびビジネスに与える影響について理解することが重要です。
PCI DSSとは
PCI DSSとは、Payment Card Industry Data Security Standard(日本語では「ペイメントカード業界データセキュリティ基準」とも)の略であり、クレジットカード情報の受け取り、保存、送信を行うすべての企業が準拠すべき一連のセキュリティ基準です。消費者のデータを保護し、クレジットカード情報が安全な環境で処理されることを保証するために設計されました。
アメリカン・エクスプレス、Discover、JCB、MasterCard、Visaなどの企業は、独自のコンプライアンスプログラムを所持していますが、PCI SSC(PCI Security Standards Council)によって制定されたセキュリティ基準によって管理されています。
2022年3月、PCI DSSバージョン4.0が公開され、従来の3.2.1に代わる新しい基準となりました。新バージョンでは、セキュリティの強化と、企業がコンプライアンス要件を満たす方法における柔軟性の向上が重視されています。主な変更点は次のとおりです。
-
従来のチェックリスト型モデルに加え、新たに「カスタマイズドアプローチ(customized approach)」が導入
-
カード会員データ環境へのすべてのアクセスに対して多要素認証(MFA)が必須に
-
セキュリティを一度きりの対策ではなく、継続的な取り組みとして捉えることへの重視
-
ECプラットフォームやウェブアプリケーションの保護に関する要件の強化(WordPressやWooCommerceサイトに特に関連)
WordPressサイトで決済処理や顧客データを扱っている場合、これらの変更がPCI DSSにおける責任にどのような影響を与えるのかを理解しておくことが重要です。
KinstaのPCI DSS準拠に関して
重要な点として、サーバー事業者がPCI準拠であっても、ウェブサイトが自動的にPCI準拠になるわけではありません。これは、PCI DSSのコンプライアンスが「責任共有モデル(shared responsibility model)」に基づいているためです。
WordPress専用のマネージドサーバーを提供する企業として、Kinstaはサーバーインフラの保護、オペレーティングシステムのパッチの最新化、厳格なネットワークレベルのセキュリティ対策の実施、そして安全なTLS(HTTPS)接続のサポートを担当しています。一方で、インフラ層より上の部分(WordPressのインストールの保護、プラグインやテーマの管理、決済情報の取り扱い、サイトの適切な設定など)は、サイト運営者側の責任となります。
実際には、多くの責任はサイト所有者に帰属します。たとえばWooCommerceストアを運営している場合、顧客データの管理、クレジットカード決済の処理、ユーザーアカウントの保護、そしてサイトのコードベースの維持管理などは、すべてサイト運営者の責任となります。
KinstaはPCI準拠を保証するものではなく、お客様のサイトが要件を満たしているかどうかを監査することもできません。ただし、Kinstaでサイトをホスティングしている場合でも、PCI準拠を達成することは可能です。
実際に、多くのお客様が第三者監査機関と連携し、PCIコンプライアンススキャンに合格しています。場合によっては、お客様の要望に応じてインフラ側で小規模な調整を行ったこともありますが、多くはクライアント側の設定と第三者のサポートを組み合わせることで監査を通過しています。
Kinstaが監査プロセスに直接関与することはありませんが、必要に応じて具体的な変更のサポートを行うことは可能です。
コンプライアンスを遵守する方法
Kinstaを利用しながら、PCI DSSのコンプライアンスに遵守するためのベストプラクティスをご紹介します。
1. PCI DSS準拠の自己問診
支払い処理の設定がPCI DSSに準拠しているかどうかを判断するため、毎年自己問診(Self-Assessment Questionnaire)に記入してください。
2. TLSとHTTPS
決済ページは、TLS 1.3(推奨)またはTLS 1.2を使用してHTTPS(暗号化された接続)で安全に配信する必要があります。PCI DSS 4.0では、強力な暗号スイートの使用や定期的なセキュリティ評価を含む、安全なTLS設定が求められています。Kinstaでは、サーバー上のTLSバージョンを常に最新の状態に保っており、MyKinstaから簡単にSSL証明書をインストールすることができます。
WooCommerceストアにSSL証明書をインストールする方法はこちらをご覧ください。
PCI DSS 4.0では、強力な暗号アルゴリズム(SHA-256など)を使用し、適切に管理されている場合に限り、ドメイン認証(DV)証明書の利用が認められています。Kinstaでは、標準提供のCloudflare統合を通じてSSL証明書(ワイルドカード証明書を含む)が自動的に発行され、デフォルトで安全かつPCI要件に配慮したHTTPS接続が提供されます。さらに高い信頼性が求められる場合や、組織の要件に応じて、EV(Extended Validation)証明書やOV(Organization Validation)証明書といったカスタムSSL証明書をインストールすることも可能です。
TLSとSSLの違いはこちらでご紹介しています。
3. サードパーティサービス経由の支払い処理
PCI DSSへの準拠を簡素化する簡単な方法として、サードパーティサービス経由でクレジットカード取引を処理することができます。WooCommerceストア、またはEasy Digital Downloadsストアであれば、StripeやPayPalなどの決済サービスを簡単に接続できます。ただし、単にクレジットカードを外部で処理するだけでは、コンプライアントが保証されるとは限らないため、PCI DSSのガイドラインを確認しましょう。追加のステップが必要になるかもしれません。
4. ファイアウォールの導入
PCI DSSでは、カード保有者データを取り扱うシステムを、トラフィックを制御して不正アクセスを防ぐために適切に設定されたファイアウォールで保護することが求められています。
Kinstaでは、複数層のファイアウォール保護をすべてのサイトに提供しています。すべてのウェブトラフィックはCloudflareとの統合を通じてルーティングされ、カスタムルールセット、スマートなトラフィックフィルタリング、ネットワークエッジでのDDoS対策を備えたフルマネージドのウェブアプリケーションファイアウォール(WAF)が含まれています。
この仕組みにより、不正アクセスの試行、悪意のあるボット、アプリケーションレイヤー攻撃などの一般的な脅威に対して、強力なデフォルトの保護が提供されます。
PCI監査担当者やセキュリティチームから追加のカスタマイズが求められる場合には、Sucuriやカスタムルールを利用できるCloudflareの単体プランなど、サードパーティのWeb Application Firewall(WAF)を統合することも可能です。
5. 定期的なセキュリティテストの実施
PCI DSS 4.0では、継続的なセキュリティテストに関する具体的な要件が定められています。これには、脆弱性スキャン、ペネトレーションテスト、ファイル整合性監視などが含まれ、潜在的なセキュリティ脅威を問題化する前に検出・対処することが求められます。
Kinstaでは、DDoS対策、マルウェアスキャン、ハードウェアファイアウォールなどのインフラレベルの保護機能により、お客様の環境を守っています。ただし、WordPressサイト、プラグイン、テーマ、カスタムコードなどを含むアプリケーションレイヤーのテストは、お客様の責任となります。
ASVスキャンに加えて、リスクを低減しコンプライアンスチェックに備えるため、定期的な内部テストも推奨されます。
-
脆弱性スキャナーを使用して、古いまたは安全でないプラグインやテーマを検出する
-
特に決済データを直接扱う場合は、定期的にペネトレーションテストを実施する
-
WordPressのセキュリティプラグインを利用してファイル変更監視を有効にする
また、一部の決済プロセッサーやサードパーティのセキュリティ企業では、PCIコンプライアンス対応の一環として、これらのテスト要件を満たすためのツールを提供している場合があります。
6. 多要素認証
多要素認証(MFA)は、アクセス権を得る前にユーザーが2つ以上の種類の認証情報を提供することを求めるセキュリティ手法です。一般的には、「知っているもの」(パスワードなど)と「持っているもの」(スマートフォンの認証アプリで生成されるコードなど)を組み合わせて使用します。
これは一般に二要素認証と呼ばれます。二要素認証は、多要素認証の一種で、文字通り2つの要素を使用する認証方式です。これら2つの用語は同じ意味で使われることがよくありますが、PCI DSS 4.0ではより広い概念である「多要素認証」という用語が使用されており、必要とされる場面も拡大されています。
PCI DSS 4.0では、次のような場合にMFAが必須とされています。
-
カード保有者データ環境(CDE)へのすべてのアクセス
-
決済データを扱うシステムへのすべてのリモートアクセス
-
決済処理システムに対するすべての管理者アクセス
MyKinstaでは、二要素認証が義務化されています。不正アクセスのリスクを軽減するため、WordPressサイト側でも多要素認証を実装することを強くおすすめします。
7. データセンターのセキュリティ
Kinstaのクラウドインフラストラクチャは、PCI DSS準拠の取り組みを支える環境を含め、機密性の高いシステムをホスティングするための厳格なセキュリティおよびコンプライアンス要件を満たすよう設計されています。
Kinstaのデータセンターでは、施設へのアクセス制御、継続的な監視、侵入検知システム、常駐のセキュリティ担当者など、複数層の物理的セキュリティ対策を実装しています。すべてのアクセスおよびアクティビティはログに記録され、インシデント調査やコンプライアンス要件への対応のために監査されています。
データは転送中および保存時の両方で強力な暗号化標準により保護されており、保存データにはAES-256ビット暗号化が使用されています。暗号鍵は包括的なセキュリティ管理の一環として管理され、定期的にローテーションされています。
また、KinstaはSOC 2報告書を受領しています。詳細は関連ドキュメントか、こちらのページをご覧ください。
Brianの最大の情熱の一つは10年以上使用してきたWordPressです。複数のプレミアムプラグインさえ開発しています。Brianの趣味はブログや映画やハイキングなどです。TwitterでBrianとつながりましょう。
