Step by Step Procesure for Creating Security Policies Across All Industries in JAPAN (Japanese Version)
- 1. 1 全ての業界にて自社セキュリティ規程を作成するための参考資料 ~PCI DSS Version 4.0 の理解、Version3.2.1 からの変更点の理解度テストと解説~ 2025 年 3 月 28 日更新 作成者 A.K はじめに PCI DSS v4.0 は、クレジットカード業界に限定してとらえられがちですが、そうではありません。PCI DSS v4.0 は、ISO/IEC 27001:2022、NIST SP 800 ファミリー、CISM (Certified Information Security Manager)、COBIT と いったグローバルのセキュリティガバナンス・フレームワークと整合しています。それに加え、具体的な数値要件がある ことから、クレジットカード決済業界に無関係の業界においても、リスクベース・アプローチ、及びビジネスプロセス・ ベース・アプローチでの強力な参照基準です。 具体的にどのように参照するかといいますと、こちらの資料の「クレジットカード会員データ(PAN)」を「個人 情報と企業秘密」 に置き換え、 「PCI DSS v4.0」 は 「株式会社 XYZ セキュリティポリシー」 等自社の規程名に置き換えて、 必要に応じて修正します。 また、本資料は、当然のことながら、 「PCI DSS Version 4.0」に準拠する情報セキュリティの審査・運用に関 わる実務者、内部監査人、PCI コンサルタント、ISMS 関係者、P マーク関係者の皆様が、PCI DSSv4.0 各要件に関する 理解を深め、実践的な知識を定着させることも目的としています。 PCI DSS v4.0 では、前バージョン 3.2.1 から以下のような重要な変更が加えられており、これらはクレジット カード業界以外の組織にも有効に活用できます。 1. 組織による柔軟性の向上 「カスタマイズド・アプローチ (Customized Approach) 」 や 「ターゲットリスク分析 (Targeted Risk Analysis) 」 の導入により、組織ごとのリスク評価に基づく柔軟な対応が一部の要件で可能となりました。これらのことによ り、NIST SP800-171 Revision 3 や、ISO27001:2022 により近くなりました。 2. 数値要件についての見直し 「デイリー(daily) 」や運用実施頻度のカウント方法、パスワード/パスフレーズ/パスフレーズの文字数、クレ ジットカード番号など、いくつかの数値的・定義的な要件が見直され、より明確な定義が導入され、わかりやす くなったり、強化されたり、逆に軟化されました。 3. 最新のテクノロジーへの整合 PCI DSS において、レガシー機器となりつつある、物理ファイアウォール、ルータが NSC(Network Security Controls)に置き換わる、ガイダンスに「機械学習」が登場するなど、それ以外にも多数の変更があり、現代のテ クノロジーに合うようになりました。 それでは、まずは PCI DSS に特徴的な、 「数値要件」から見ていき、PCI DSS v4.0 の基本を理解することから始めましょ う! 数値要件は、クレジットカード業界以外のどの業界の組織の規程にもあることが推奨されます。 数値要件リスト J
- 2. 2 v4.0 要件番号 数値要件内容 数値 PCI DSS Ver.3.2.1 からの変更点と備考 要件 1.2.7 NSC(Network Security Controls) ルールセットの見直し 少なくとも 6 カ月に 1 回 変更なし(v.3.2.1 でも半年に 1 回)。しかしな がら、内容としましては、クラウド等、多様なテ クノロジーを包含するために、「ファイアウォー ル」および「ルータ」という用語を「ネットワー クセキュリティ制御(NSC)」に置き換えていま す。 要件 3.2.1 アカウントデータの保 存期間超過の検証 少なくとも 3 カ月ごと 数値に変更なし(v.3.2.1 でも四半期ごと)。しか しながら、v.3.2.1 では、カード会員データのみ対 象であり、機密認証データは対象ではありません でした。「アカウントデータ」という用語は新規 ではありませんが、v.3.2.1 では、その定義が明確 となっていませんでした。 要件 3.3 PAN(クレジットカ ード番号)の最大表示 桁数 BIN と末尾 4 桁が最 大表示桁数 v3.2.1 では、「上 6 桁、下 4 桁が最大表示桁数」 としていましたが、先頭にある BIN の桁数がブ ランドによって異なるため、v4.0 では BIN と言 い換えました。 要件 5.3.2 マルウェアツールでの スキャン頻度 マルウェア対策ソリュ ーションの自動更新、 リスク分析に基づいた スキャン頻度にての定 期的なスキャンとアク ティブスキャン(リア ルタイム)またはシス テムやプロセスの継続 的な振る舞い分析の実 施 一部変更なし(v3.2.1 でもマルウェア対策ソリュ ーションの自動更新とリアルタイムスキャン)。 しかしながら、v3.2.1 にはなかった、「定期的な スキャンとリアルタイムスキャンを導入しないシ ステムへのシステムやプロセスの継続的な振る舞 い分析の実施」を v4.0 に新たに追加しました。 要件 6.2.2 特注ソフトウェアおよ びカスタムソフトウェ アに従事するソフトウ ェア開発担当者の訓練 の頻度 少なくと も 12 カ月 に 1 回 変更なし(v3.2.1 でも毎年)。しかしながら、実 施時期が明確ではなかったものを、明確にしまし た。また、開発者とは、特注ソフトウェアおよび カスタムソフトウェ アに従事するソフトウェア 開発担当者のことであると明確化されました。 要件 6.3.3 重要、高セキュリティ なパッチやアップデー ト期限 リリース後 1 カ月以内 変更なし(v3.2.1 でも 1 カ月以内)。 J
- 3. 3 要件 6.3.3 重要、高セキュリティ 以外のその他のパッチ やアップデート 事業者のリスクに対応 した期間内 変更なし。しかしながら、v3.2.1 のガイダンスに ある、CVSS ベーススコア、ベンダによる分類を もとに危険度の低いパッチは 例えば 3 カ月等、2 ~ 3 カ月内にインストールするよう、パッチの インストールに優先順位を付ける、から、v4.0 の 要件では、自組織のリスク分析に基づくとし、リ スク分析実施を要件とし、ISO27001:2022 に近 くなりました。 要件 6.4.1 手動または自動のアプ リケーション脆弱性セ キュリティ評価ツール または手動による、公 開用ウェブアプリケー ションのレビュー 少なくと も 12 カ月 に 1 回 変更なし(v3.2.1 でも毎年)。しかしながら、実 施時期が明確ではなかったものを、実施時期を明 確にしました。 要件 7.2.4 サードパーティ/ベン ダ、第三者のクラウド サービスにアクセスす るためのアカウントの アカウントを含む、す べてのユーザアカウン トと関連するアクセス 権のレビュー 少なくとも半年に 1 回 v4.0 からの新規要件。 「要件 7.2.4 のカスタマイズアプローチの目的」 により、アカウント権限の割り当てが正しいこと を管理責任者が定期的に確認し、不適合は是正さ れるとし、ISO27001:2022 に近づきました。ま た、データへのアクセスを管理・監視 する責任 を負う「データオーナー」を任命するとし、 ISACA 提供の CISM 資格と同じことを言ってい ます。 要件 8.2.6 非アクティブユーザア カウントの削除または 無効化実施時期 非アクティブ化された 日から 90 日以内 数値に変化なし(90 日以内)。 要件 8.2.8 ユーザセッションのア イドル状態からの再認 証時間 15 分以上 数値に変化なし(15 分以上)。 要件 8.3.4 ユーザ ID をロックア ウトするログオン失敗 回数/ ロックアウト時間 10 回以下の試行失敗/ ロックアウトの時間は 最低 30 分間、または 本人確認ができるまで ロックアウト 30 分間は、v3.2.1 から変化なしで すが、v3.2.1 では、失敗 6 回以下でしたので、 v4.0 では緩和されたことになります。v3.2.1 で は、管理者がユーザ ID を有効にするまででした が、v4.0 では、管理者が有効にせずとも、本人確 認ができるまでとし、自動化の許可と本人確認義 務を明確化しました。 J
- 4. 4 要件 8.3.9 パスワード/パスフレ ーズ変更の頻度 MFA 導入の場合は、 無期限。MFA 未導入 の場合は、少なくとも 90 日毎。変更しない ならば、動的リスク分 析実施 v3.2.1 では、MFA 導入していてもいなくても、 90 日毎に変更が必要でしたが、v4.0 では、MFA 導入無の場合、90 日毎に変更しないのであれ ば、動的リスク分析による対応に更新されまし た。 要件 8.3.6 パスワード/パスフレ ーズの最小長 少なくとも 12 文字/シ ステムが対応していな い場合は 8 文字以上 v3.2.1 では少なくとも 7 文字以上でしたが、v4.0 では、システム制限有にて英数字混合 8 文字、無 にて 12 文字と数を増加し、パスワード/パスフレ ーズを強化しました。15 文字以上、特殊文字と 大文字小文字の利用は推奨されますが、要件への 追加はありませんでした。 要件 8.3.7 パスワード/パスフレ ーズの再利用禁止の回 数、及び期間 MFA 導入の場合は、 N/A。MFA 未導入の 場合、少なくとも直近 4 回/少なくとも 12 カ 月間 数値に変更なし(v3.2.1 でも直近 4 回)。従いま して、v3.2.1 に記載はありませんでしたが、少な くとも直近 4 回分、12 カ月間、以前に使用した パスワード/パスフレーズでアクセスすることはで きないということになります。 要件 8.3.10.1 パスワード/パスフレ ーズの変更間隔 (SP 要件) MFA 導入の場合は、 無期限。MFA 未導入 の場合は、少なくとも 90 日毎。 v3.2.1 では、MFA 導入していてもいなくても、 90 日毎に変更が必要でしたが、v4.0 では、MFA 導入無の場合、90 日毎に変更しないのであれ ば、動的リスク分析による対応に変更になりまし た。 要件 9.2.2 カード会員データ環境 (CDE)内の機密エ リアへの個々の物理的 アクセス記録の保持 少なくとも 3 カ月以上 数値に変更なし(v3.2.1 でも四半期以上)。ID システムの記録、または監視カメラの映像のどち らか、または両方を法的制約がない限り、3 カ月 以上保存する必要がある旨も変更ありません。 要件 10.5.1 監査ログの保持 少なくとも 12 カ月間 (少なくとも直近 3 カ 月は即時利用可能な状 態におく) 数値に変更なし(v3.2.1 でも 1 年間分。直近 3 カ 月は即時即時利用可能な状態におく)。 要件 10.6.1 監査ログレビュー 少なくとも日次 数値に変更なし(v3.2.1 でも日次)。内容の変更 としましては、日次とは営業日以外も含めて毎日 であることが明確になりました。 要件 11.2.1 未許可の無線アクセス ポイントの検出テスト の実施間隔 少なくとも 3 カ月ごと 数値に変更なし(v3.2.1 でも四半期)。しかしな がら、実施時期が明確ではなかったものを、明確 にしました。 J
- 5. 5 要件 11.3.1.2/ 11.3.1.3 内部脆弱性スキャン 少なくとも 3 カ月ご と、及び CDE に影響 を与えるサーバ更新の 後など必要に応じて 数値に変更なし(v3.2.1 でも四半期毎)。しかし ながら、実施時期が明確ではなかったものを、明 確にしました。 要件 11.3.2 / 11.3.2.1 外部脆弱性スキャン 少なくとも 3 カ月ご と、及び CDE に影響 を与えるサーバ更新の 後など必要に応じて 変更なし(v3.2.1 でも四半期毎。ASV によって 実施が必須なのも同じ。)しかしながら、実施時 期が明確ではなかったものを、明確にしました。 要件 11.4.2 内部ペネトレーション テスト 少なくとも 12 カ月ご と 変更なし(v3.2.1 でも年次)。しかしながら、実 施時期が明確ではなかったものを、明確にしまし た。 要件 11.4.3 外部ペネトレーション テスト 少なくとも 12 カ月ご と 変更なし(v3.2.1 でも年次)。しかしながら、内 容については、要件 11.4.7 により、MTSP は、 顧客の当該テストをサポートしなければならない ことが追加されました。 要件 11.4.5 ペネトレーションテス トによる論理的セグメ ンテーションの有効性 確認 少なくとも 12 カ月ご と 変更なし(v3.2.1 でも年次)。しかしながら、実 施時期が明確ではなかったものを、明確にしまし た。 要件 11.4.6 ペネトレーションテス トによる論理的セグメ ンテーションの有効性 確認(SP 要件) 少なくとも半年に 1 回 変更なし(v3.2.1 でも年に 2 回)。しかしなが ら、実施時期が明確ではなかったものを、明確に しました。 要件 11.5.1 重要ファイルの比較に よるファイル変更検知 少なくとも日次 数値に変更なし(v3.2.1 でも日次)。内容の変更 としましては、日次とは営業日以外も含めて毎日 であることが明確になりました。 要件 12.4.2 ポリシーと運用手順に 従って PCI DSS 業務 を実施しているかのレ ビュー(SP 要件) 少なくとも 3 カ月に 1 回 変更なし(v3.2.1 でも四半期ごと)。しかしなが ら、実施時期が明確ではなかったものを、明確に しました。 要件 12.5.1 CDE にあるシステム コンポーネントのイン ベントリの確認 少なくとも 12 カ月に 1 回 数値に変更なし(v3.2.1 でも年次)。しかしなが ら、実施時期が明確ではなかったものを、明確に しました。 要件 12.6.2 セキュリティ意識向上 プログラムの実施 少なくとも 12 カ月に 1 回 数値に変更なし(v3.2.1 でも年次)。実施時期が 明確ではなかったものを、明確にしました。内容 については、対象は全従業員ではなく、担当者の みとなりました。また、フィッシング等のソーシ J
- 6. 6 ャル・エンジニアリングを含むことになりました が、これは 2025 年 3 月 31 日までのベストプラ クティスとなります。 要件 12.6.3 情報セキュリティ方針 および手順に同意 少なくとも 12 カ月に 1 回 数値に変更なし(v3.2.1 でも年次)。実施時期が 明確ではなかったものを、明確にしました。内容 においては、次の変更がありました。v3.2.1 要件 12.6.2 では、CDE に関係しない者も含む全従業 員(all personnel)が少なくとも年に一度、セキ ュリティポリシーおよび手順を読み、理解したこ とを書面または電子的な形式での確認が求められ ていましたが、v4.0 では対象範囲が「担当者 (applicable personnel)」のみに狭められ、明 示的な書面・電子的な同意の義務が削除されまし た。一方で、トレーニング記録の保持が求められ ます。 要件 12.8.4 本事業体の利用する TPSP が PCI DSS 準拠していることの確 認 少なくとも 12 カ月に 1 回 数値に変更なし(v3.2.1 でも年次)しかしなが ら、実施時期が明確ではなかったものを、明確に しました。 要件 12.8.4 各 TPSP が単独、ま たは共同で責任を負う PCI DSS 要件および 関連するシステムコン ポーネントのレビュー 事業者のリスクに対応 した頻度にて定期的 v4.0 の新規要件であり、12.8.4 のカスタマイズア プローチであり、ISO27001:2022 と同様、自組 織のリスク分析にて決定します。 要件 12.10.4 担当者へのセキュリテ ィ・インシデント対応 訓練 事業者のリスクに対応 した頻度にて定期的 v3.2.1 では、年次での実施でしたが、v4.0 にて導 入された、「カスタマイズアプローチ」により、 頻度は、ISO27001:2022 と同様、自組織のリス ク分析にて決定します。 付録 A1 の 1.4 論理的セグメンテーシ ョンの有効性確認 (MTSP 要件) 少なくとも半年に 1 度 新規要件です。ペネトレーションテスト(ペンテ スト)によって実施することが求められていま す。 以下余白 PCI DSS v4.0 では、以下の理解度テストの通り、v3.2.1 以前の従来からの 12 個の要件を、更に 6 つのカテゴ リーに大分類して、各分野をよりわかりやすく整理しました。 PCI DSS v4.0 は、NIST SP800 シリーズをベースにしているため、ISO27001:2022 の「技術的管理策」を中心 に ISMS 全管理策カテゴリーを網羅しています。また、PCI DSSv4.0 は、セキュリティマネジャーのタスクについての J
- 7. 7 ISACA の提供する CISM の内容とも整合性があり、PCI DSS に基づいた問題も公式問題集には多数あります。 それでは、以下の PCI DSSv4.0 に関する約 60 問を解いて、その解説、v3.2.1 との違いを読んで理解した後、 ISO27001:2022、CISM も参考にし、自組織のセキュリティ規程類作成に応用してみましょう。 (カテゴリー1/6)安全なネットワークとシステムの構築と維持 PCI DSS v4.0 要件 1:ネットワークセキュリティコントロールの導入と維持 この要件では、信頼できないネットワークからカード会員データ環境(CDE)を保護するために、ファイアウォールやア クセス制御などのネットワークセキュリティ制御を設計・導入・維持することが求められます。 問題 (要件 1) ネットワークセキュリティ制御(NSC: Network Security Controls)の設定は、どのくらいの頻度で見直す必要がありま すか? 選択肢: A) 3 カ月に 1 回 B) 6 カ月に 1 回 C) 12 カ月に 1 回 D) システム変更の直後のみ 正解: B) 6 カ月に 1 回 解説: 要件 1.2.7 では、NSC の設定を少なくとも 6 カ月ごとに見直す必要があります。環境変化や構成の変更に対応するため、 定期的な評価、及び CDE 環境の変化の後の評価が求められます。 v3.2.1 との違い: 基本方針は変わりません。しかしながら、v3.2.1 では「ファイアウォールとルータ」と表現されていましたが、v4.0 では 「NSC」という、オンプレミスだけではなく、IaaS も包括する用語が新たに導入され、クラウド等の新技術を含む範囲へ と拡張されました。 問題: (要件 1) ネットワークセグメンテーションを実現するために、次のどれを使用できますか? 選択肢: A) ネットワークハブ、ブリッジ、コネクタ B) 通知を有効にしたトラフィック監視システム C) 監査ログ作成機能を強化した侵入検知システム(IDS) D) NSC(Network Security Controls) J
- 8. 8 正解: D) NSC(Network Security Controls) 解説: 要件 1.2.1 では、 他業務を行う企業内ネットワークや外部ネットワーク等の信頼できないネットワークと CDE を論理的に 分離する手段として、NSC(Network Security Controls)の導入が求められています。これは、必須ではなく、フラット ネットワークでも、全範囲が監査スコープになるだけですので、問題ありません。IDS はセグメンテーションの制御では なく、トラフィックの監視機能に分類されます。 v3.2.1 との違い: v3.2.1 でもセグメンテーションはファイアウォールやルータで実現するよう記載されていましたが、 v4.0 にて、 NSC ルー ルセットという、Azure、AWS のような IaaS(クラウド技術)も含めた包括的な定義が代用されるようになりました。ま た、v4.0 においては ACL(Access Control List)という用語は使われなくなりました。 問題:(要件 1) PCI DSS 要件 1.2 に基づいて、ネットワークセキュリティ制御(NSC)ルールセットの構成は、次のどの接続を制限する としていますか。 選択肢: A) 企業ネットワークと CDE との間の接続 B) ワイヤレスネットワークと未信用ネットワークとの間の接続 C) DMZ 内の各システム間の接続 D) 各 DMZ と内部ネットワークとの間の接続 正解: A) 企業ネットワークと CDE との間の接続 解説: PCI DSS 要件 1.2 では、信頼できないネットワークと CDE 内のすべてのシステムコンポーネントとの接続を制限するた めに、適切な NSC(ネットワークセキュリティ制御)を実装する必要があります。企業ネットワークが信頼できないと見 なされる場合、CDE との間に明確なトラフィック制御が求められます。 v3.2.1 との違い: v4.0 では「ファイアウォール」 、 「ルータ」といった用語を包括し、クラウドや仮想環境も含む「NSC(Network Security Controls) 」という用語に置き換えられています。 問題:(要件 1) ネットワークセグメンテーションに関する次の記述のうち、正しいものを選びなさい。 J
- 9. 9 選択肢: A) セグメンテーションされたネットワークは、 「フラットネットワーク」とも呼ばれる B) ネットワークセグメンテーションは、PCI DSS 要件ではない C) PCI DSS では、ネットワークセグメンテーションはすべての範囲内のネットワークで必要である D) 適切にセグメント化されたネットワークは、PCI DSS 審査の範囲を広げる 正解: B) ネットワークセグメンテーションは、PCI DSS 要件ではない 解説: PCI DSS では、ネットワークセグメンテーションは必須要件ではありません。ただし、導入することにより、カード会員 データ環境(CDE)とその他ネットワークを論理的・物理的に分離することができ、PCI DSS 審査の対象範囲を縮小する 効果があります。セグメンテーションを導入しない場合は、ネットワーク全体が評価対象となるため、対策範囲や管理負 荷が増加します。 v3.2.1 との違い: 変更はありません。 問題:(要件 1) PCI DSS の範囲を縮小するために、CDE(カード会員データ環境)をセグメント化しているのは、次のうちどのシナリオ ですか? 選択肢: A) 仮想 LAN が CDE と範囲外のネットワークとの間のネットワークトラフィックをルーティングしている B) ファイアウォールが CDE と範囲外のネットワークとの間のネットワークトラフィックをすべて監査ログしている C) NSC ルールセットにより、CDE と範囲外ネットワークとの間の未承認のトラフィックがすべて遮断されている D) ルーターが CDE と範囲外のネットワークとの間のネットワークトラフィックを監視している 正解: C) NSC ルールセットにより、CDE と範囲外ネットワークとの間の未承認のトラフィックがすべて遮断されている 解説: PCI DSS 要件 1.2.1 では、ネットワークセグメンテーションを活用することで、PCI DSS の対象範囲を縮小することが 認められています。適切にセグメント化されているネットワークでは、CDE と他のネットワークの間に明確な制御境界が 設けられ、未承認のトラフィックはすべて遮断されていなければなりません。監査ログや監視だけでは、セグメント化の 要件を満たすことはできません。 v3.2.1 との違い: 基本的な考え方は同じですが、v4.0 ではセグメントの有効性の確認手順(ペネトレーションテストなど)がより強調され J
- 10. 10 るようになりました。 問題:(要件 1) ステートフルインスペクションに関する次の記述のうち、正しいものを選びなさい。 選択肢: A) ファイアウォールに関する管理アクセスは 1 度に 1 人だけに限定される B) アプリケーション構成の現在のベースラインが維持される C) NSC のユーザアクティビティ監査ログは、不審な行動を特定するために関連付けられる D) 無効な応答トラフィックを特定できるように、アクティブネットワーク接続はトラッキングされる 正解: D) 無効な応答トラフィックを特定できるように、アクティブネットワーク接続はトラッキングされる 解説: ステートフルインスペクション(Stateful Inspection)は、ネットワークセキュリティ制御(NSC)における基本技術の 一つであり、PCI DSS v4.0 要件 1.2.1 における「トラフィック制御の適切な実装」に該当します。 この技術は、ファイアウォールが現在のセッション(通信の状態)を記憶し、戻ってくる応答パケットが正規の通信かど うかを判断する仕組みです。 これにより、 不正な応答トラフィックやセッション・ハイジャックを検出し、 遮断できます。 v3.2.1 との違い: 基本方針は変わりません。 問題:(要件 1) ある事業体は、E コマースのクレジットカード決済を処理しており、Web サーバとデータベースサーバを同一の DMZ 内 に構築しています。これらのサーバは異なる物理サーバ上に設置されています。PCI DSS v4.0 の要件を満たすために、こ の構成に対して求められる対応はどれですか? 選択肢: A) データベースサーバは、Web サーバとは異なる個別の DMZ セグメントに移動する必要がある B) Web サーバを DMZ から内部ネットワークに移動する必要がある C) Web サーバとデータベースサーバは同じ物理サーバに設置する必要がある D) データベースサーバを DMZ から内部ネットワークに移動する必要がある 正解: D) データベースサーバを DMZ から内部ネットワークに移動する必要がある 解説: 要件 1.4.4 では、カード会員データを保存するシステム(たとえばデータベースサーバ)は、DMZ(非信頼ネットワーク J
- 11. 11 と内部ネットワークの間の領域)内に配置してはならないと明記されています。 データベースサーバは、 信頼性と保護の高い内部ネットワーク内に移動し、 DMZ からは直接アクセスできないように構成 する必要があります。 v3.2.1 との違い: 基本方針は変わりません。 問題:(要件 1) ネットワークセキュリティ制御(NSC)の設定に関して、PCI DSS v4.0 の要件を満たすものはどれでしょうか。 選択肢: A) 未承認のサービスやプロトコルがネットワークに出入りできないように制御する B) すべてのネットワークトラフィックを監査ログに記録しておき、後から分析できるようにする C) 使用されている全サービスとポートを定期的にリストアップして承認を得る D) トラフィックを通過させる前提で、安全性の低いサービスやプロトコルを優先的に監視する 正解: A) 未承認のサービスやプロトコルがネットワークに出入りできないように制御する 解説: PCI DSS v4.0 要件 1.2.5 では、許可されるサービス、プロトコル、ポートが「特定され、承認され、業務上の必要性が定 義されている」ことが求められています。 さらに、同要件のカスタマイズアプローチの目的として、 「未承認のネットワークトラフィック(サービス、プロトコル、 ポート)がネットワークに出入りできないようにすること」が明記されています。 v3.2.1 との違い: 基本方針は変わりません。 PCI DSS v4.0 要件 2:すべてのシステムコンポーネントにセキュアな設定を適用する この要件では、すべてのシステムコンポーネントに安全な設定を適用し、初期設定のまま使用することを避け、不要なサ ービスやプロトコルを無効化することで、攻撃のリスクを低減させることが求められます。 問題(要件 2) 最新のベンダーセキュリティパッチを適用した NSC が導入されました。さらに強化するために、どのような構成が求め られますか? 選択肢: A) デフォルトの NSC 管理者アカウントを削除して、共有アカウントを作成する B) NSC の不要な機能を無効にする C) すべてのトラフィックを許可する NSC ルールセットを構成する D) 他の NSC とルールセットを同期させる J
- 12. 12 正解: B) NSC の不要な機能を無効にする 解説: 要件 2.2.4 では、必要なサービス、プロトコル、デーモン、機能のみを有効化し、不要な機能はすべて削除または 無効化 すると言っています。NSC においても、使わない機能をそのままにしておくと脆弱性の原因になります。 「他の NSC のル ールセットとの同期」も必要ではありますが、不要な NSC 機能の無効化に比べると最適な回答ではありません。 v3.2.1 との違い: 基本方針は変わりません。 (カテゴリー2/6)アカウントデータの保護 PCI DSS v4.0 要件 3:保存されたアカウントデータの保護 この要件では、保存されるアカウントデータを暗号化し、安全な鍵管理手法に基づいて暗号鍵を保護・運用することで、 万一の情報漏洩リスクを軽減することが求められます。 問題: (要件 3) 同じ PAN のハッシュとそのトランケーションが CDE 内に存在する場合、次の記述のうち正しいものはどれでしょうか。 選択肢: A) PAN のハッシュバージョンとトランケーションバージョンを同じ環境に置かない B) PCI DSS 要件に基づいて PAN のハッシュバージョンもトランケートして暗号化を強化する必要性がある C) ハッシュとトランケーションの両バージョンを関連づけることによって、元の PAN を復元することがないようにする D) ハッシュとトランケーションのバージョンによって元の PAN が公開されないように制御が必要である 正解: C) ハッシュとトランケーションの両バージョンを関連づけることによって、元の PAN を復元することがないようにする 解説: PCI DSS v4.0 では、 同じ PAN のハッシュとトランケート形式が同じ環境にあることを禁止していません。 しかしながら、 要件 3.5.1 によると、同じ PAN のハッシュとトランケート形式が同じ環境にあると、組み合わせて元の PAN に復元され るリスクがあります。そのため、ハッシュとトランケートされた PAN を組み合わせて、復元できないように制御すること が求められます。元の PAN が公開されないように制御する以前の問題です。 v3.2.1 との違い: 基本方針は変わりません。 J
- 13. 13 問題:(要件 3) アカウントデータを保護するためにディスク暗号化を使用した場合、ディスク暗号化ソリューションで満たす必要のある 要件はどれですか? 選択肢: A) OS(Operating System)と同じユーザ認証を使用する必要がある B) 暗号解除キーはローカルアカウント DB に保存される必要がある C) 暗号解除キーはローカルユーザ DB に保存される必要がある D) ディスク暗号化へのアクセスは、OS(Operating System)とは独立して管理される必要がある 正解: D) ディスク暗号化へのアクセスは、OS(Operating System)とは独立して管理される必要がある 解説: 要件 3.5.2 は、ディスク暗号化の制御は、OS(Operating System)のアクセス制御と独立している必要があるといっていま す。SSO(シングルサインオン)等にて、ディスク暗号化への認証が突破された場合でも、暗号化されたデータを直接操作で きないようにするためです。暗号キーの保管場所と OS との連携は、侵害時のリスクを高めるため避けるべきです。 v3.2.1 との違い: 基本方針は変わりません。 問題: (要件 3) トランザクションのオーソリゼーション後、イシュアー、及びそのサービスプロバイダ以外が、データベースに保存でき るデータの組み合わせはどれですか? 選択肢: A) 暗号化された PAN、有効期限、カード会員名 B) 暗号化された PAN、暗号化されたトラック 2 のデータ、サービスコード C) ハッシュ PAN、暗号化されたトラック 1 のデータ、有効期限 D) ハッシュ PAN、暗号化されたトラック 2 のデータ、カード会員名 正解: A) 暗号化された PAN、有効期限、カード会員名 解説: 要件 3.2 によると、保存が許されているのはカード会員名、有効期限、サービスコード、および暗号化された PAN です。 トラックデータやクレジットカード券面に記載された 3~4 桁の検証コード; CVV(VISA が使用している名称) 、CVC (MasterCard が使用している名称) 、CID(American Express が使用している名称) 、CAV2(Discover や JCB が使う ことがある名称)などの機密認証データ(SAD)は、暗号化されていても保存禁止です。要件 3.3.3 によると、 J
- 14. 14 イシュアーおよびイシュアーサービス会社は、追加の要件および保護の適用によりそれらの SAD の保存を禁止しており ません。 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(要件 3) EMV において、IC(チップ)技術の使用に関連して正しいものを選びなさい。 選択肢: A) IC(チップ)技術は、対面環境では、不正取引のリスクを増やすことになる。 B) PCI DSS 4.0 は、IC(チップ)技術を使用する環境には適用されない。 C) 加盟店は、オーソリ後に、IC(チップ)のトラック相当のデータを保存することが許可されている。 D) IC(チップ)から取得されたデータは、非対面の環境にて不正な取引に使用される可能性がある。 正解: D) IC(チップ)から取得されたデータは、非対面の環境にて不正な取引に使用される可能性がある。 解説: IC(チップ)は、磁気ストライプよりも高いセキュリティ機能を備えており、対面環境での偽造カードや不正取引を大幅 に削減する技術です。しかし、IC(チップ)に記録されているデータが漏洩した場合、オンライン取引(非対面)にて悪 用される可能性があります。 そのため、 PCI DSS v4.0 では IC (チップ) の使用有無に関わらず、 カード会員データ (CHD) および機密認証データ(SAD)を適切に保護する必要があります。IC(チップ)=物理的なカード上の部品(ハードウェ ア) 、EMV=IC チップを使った取引の国際標準(ルール・仕様)です。 v3.2.1 からの変更: PCI DSS v3.2.1 までは、 「チップ」という用語が使用されていました。しかしながら、v4.0 では「IC(チップ) 」 、または 「チップ」という表記になりました。v3.2.1 でもトラックデータ(磁気ストライプや IC チップに含まれるトラック 1・ト ラック 2 相当のデータ)の保存はイシュアー関連以外では禁止されていましたが、IC(チップ)由来のデータについては 表現がやや曖昧でした。 問題: (要件 3) ペイメントカードの IC チップ内にある、トラックと同等のデータについての説明として正しいものを選びなさい。 選択肢: A) PCI DSS v4.0 からは PCI DSS の範囲内ではない B) 暗号化されている場合は、認証後に加盟店が保存してもよい C) PCI DSS 要件 3.2(アカウントデータの保存を最小限にとどめる)には、適用されない D) 機密認証データである J
- 15. 15 正解: D) 機密認証データである 解説: IC(チップ)由来であっても、その内容がトラックデータと同等であれば、同様に保存禁止の対象となります。 v3.2.1 からの変更点: V4.0 要件 3.3.1、3.3.6 により、IC(チップ)から取得されたトラック相当データも明確に SAD とされ、イシュアー関連 以外の事業体にて保存が禁止されました。 問題:(要件 3) 保存されたカード会員データの保護方法として、PCI DSS v4.0 で推奨されるのはどれですか? 選択肢: A) ハッシュ化(ソルトなし) B) 圧縮と AES-256 との併用 C) 受信側でのマスキング D) 強力な暗号化アルゴリズムの使用 正解: D) 強力な暗号化アルゴリズムの使用 解説: ハッシュ化(ソルトあり)であれば正解ですが、ソルトなしは不正解です。AES-256 は正しいですが、圧縮との併用は不 正解です。要件 3.4 では、保存されたカード会員データ(PAN)を保護するために、強力な暗号化が必須とされています。 AES-256 など、業界で広く認められたアルゴリズムの使用が前提です。 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(要件 3) カード会員データの暗号鍵の保護に関して、PCI DSS v4.0 で最も適切なのはどれですか? 選択肢: A) 暗号鍵は同一システム上の平文ファイルに保存する B) 暗号鍵は復号化時にのみ一時生成すればよい C) 暗号鍵は保護された鍵管理プロセスを使用して保存・使用する D) 暗号鍵はセキュリティマネジャーが復号できる状態で保持する J
- 16. 16 正解: C) 暗号鍵は保護された鍵管理プロセスを使用して保存・使用する 解説: 要件 3.6 では、暗号化鍵は適切な鍵管理手法で保護することが義務付けられています。専用の暗号鍵管理ソリューション やハードウェア・セキュリティ・モジュール(HSM)を用いることが望まれます。平文保存や共有は重大なリスクです。 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(要件 3) 保存された PAN をマスキング表示する場合、PCI DSS v4.0 ではどのような表示が認められていますか? 選択肢: A) 上 6 桁と下 4 桁を表示 B) 上 4 桁と下 4 桁を表示 C) 下 4 桁のみを表示 D) BIN と下 4 桁を表示 正解: D) BIN と下 4 桁を表示 解説: 要件 3.3 によると、表示された PAN は必要性に応じて、PCI DSS v4.0 に従ってマスキングされなければなりません。 v3.2.1 からの変更点: v3.2.1 では「上 6 桁+下 4 桁」であれば表示してもよかったのですが、BIN(Issuer Identification Number)はカードブ ランドごとに先頭の BIN 桁数が異なるという不都合があったため、 v4.0 では 「BIN と下 4 桁」 であれば表示してもよい、 と表現が変更されました。 問題(要件 3) SAD を保存するイシュアーについて最も正しいものを選びなさい。 選択肢: A) イシュアーは、機密認証データ(SAD)の保存量を、法律、規制、および事業上の要件に必要なものに限定しなければ ならない。 B) イシュアーは、機密認証データ(SAD)を保存する場合には、その事業判断を文書化すべきである。 C) イシュアーは、機密認証データ(SAD)の保存量および保存期間を、法律、規制、および事業上の要件に必要なものに 限定しなければならない。 D) イシュアーは、認証後に SAD を保存してはならない。 J
- 17. 17 正解: C) イシュアーは、機密認証データ(SAD)の保存量および保存期間を、法律、規制、および事業上の要件に必要なものに 限定しなければならない。 解説: 要件 3.2 では、承認後の機密認証データ(SAD)保存を原則禁止とし、3.2.1 ではイシュアーに限り例外的に保存が許容さ れることを定めています。その際、保存は明確な法律・規制・業務要件に基づく必要があり、保存量・期間は最小限に限 定され、厳格な管理(暗号化、アクセス制御、監視など)が必須です。 v3.2.1 からの変更点: v3.2.1 では、SAD 保存の例外(イシュアー)はビジネスジャスティフィケーションの文書化が明記されていました。v4.0 ではその明示はなくなったものの、v3.2.1 から引き続き、実質的な文書化要求として継続して期待されています。 問題: (要件 3) クレジットカードのセキュリティコードが保存されている一般的な場所を選択しなさい。 選択肢: A) PIN 入力デバイスからのデータベースと監査ログファイル B) POS 端末からの監査ログファイル C) POS 端末からのデータベースファイル D) 電子商取引システムからのデータベースと監査ログファイル 正解: D) 電子商取引システムからのデータベースと監査ログファイル 解説: セキュリティコードは PIN ではありません。セキュリティコード(CVV/CVC など)は、PCI DSS 要件 3.2 において、イ シュアー以外はいかなる形式でも保存が禁止されている「機密認証データ(SAD) 」に該当します。特に電子商取引の環境 では、決済フォームなどから入力されたセキュリティコードがアプリケーション監査ログや一時的な DB 保存領域に誤っ て記録されてしまうケースが多く、実際の監査でも頻繁に検出されています。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 3) PCI DSS v4.0 において、CHD(カード会員データ)の保存に関して正しい記述はどれですか? 選択肢: A) CHD を含む監査ログファイルは、不要になったらすぐに安全に削除する B) 事業上の保存要件を超過した CHD は、少なくとも 3 カ月ごとに削除する J
- 18. 18 C) 事業上の保存要件を超過した CHD は、少なくとも 12 カ月ごとに削除する D) 定義された保存期間を超えたアカウントデータが、安全に削除されたことを少なくとも 3 カ月ごとに検証する 正解: D) 定義された保存期間を超えたアカウントデータが、安全に削除されたことを少なくとも 3 カ月ごとに検証する 解説: PCI DSS 要件 3.1 では、カード会員データの保存は業務上・法的に必要な期間に限定することが求められています。さら に、保存期間を超えたデータが残っていないか、また、安全に削除されたかについて、少なくとも 3 カ月ごとに検証する 必要があります。 v3.2.1 からの変更点: 基本方針は変わりません。v3.2.1 においても同様に四半期毎の確認を求められていました。言い方が変わりました。 問題: (要件 3) トラックデータが見つかる可能性が高いのは、次のうちどれですか? 選択肢: A) メールオーダーで購入したときに記入した PDF フォーム B) 電子商取引サーバからのデータベースと監査ログファイル C) POS 端末からのデータベースと監査ログファイル D) 電話で商品を購入したときに顧客との会話ででてきた、PAN についての音声録音データ 正解: C) POS 端末からのデータベースと監査ログファイル 解説: PCI DSS 要件 3.2 では、トラックデータ(磁気ストライプに含まれるデータ)は、機密認証データ(SAD)に該当し、イ シュアー以外は保存が禁止されています。特に POS 端末では、設定ミスや監査ログ出力の不備によって、データベースや 監査ログファイルにトラックデータが誤って保存されるケースが多く、注意が求められます。 v3.2.1 からの変更点: 基本方針は変わりません。 PCI DSS v4.0 要件 4:オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する この要件では、公衆ネットワークを通じて送信されるカード会員データを、業界標準の暗号化方式(例:TLS 1.2 以上) で保護し、通信経路上での盗聴や改ざんを防ぐことが求められます。 問題:(要件 4) J
- 19. 19 CDE のシステムコンポーネントでコンソール以外からの管理アクセスを保護するために使用できる適切なプロトコルは どれですか? 選択肢: A) SSH 1.1 B) SSL v1.0 C) SSL v2.1 D) TLS 1.2 正解: D) TLS 1.2 解説: 要件 4.1 では、管理アクセスを保護するための通信には強力な暗号化プロトコルを使用する必要があります。TLS 1.2 は 現在も広く認められている安全な方式であり、古い SSL バージョンや旧 SSH(SSH2 より下)は既知の脆弱性により不適 切です。 v3.2.1 からの変更点: v3.2.1 においても初期 TLS ではなく、TLS 1.1 以上が推奨されていましたが、v4.0 では TLS 1.2 以上への移行がより強 く求められるようになりました。 問題: (要件 4) PCI DSS v4.0 において、WEP の使用に関する記述として正しいものはどれですか? 選択肢: A) WEP をワイヤレスネットワークのセキュリティ制御として使用することは禁止されている B) WEP は、WPA に代わるワイヤレストラフィックの暗号化方法として認められている C) WEP は優先ネットワークをセキュアにするために使えるが、ワイヤレスネットワークには使えない D) WEP は、プライベートワイヤレスネットワークをセキュアにするために使用が許可されているが、パブリックワイヤ レスネットワークでは許可されない 正解: A) WEP をワイヤレスネットワークのセキュリティ制御として使用することは禁止されている 解説: PCI DSS v4.0 要件 4.2.1 では、WEP(Wired Equivalent Privacy 有線ネットワークと同等のプライバシー)の使用は禁 止されています。WEP は既知の脆弱性があり、現代のセキュリティ基準を満たさないため、いかなるネットワーク環境に おいてもセキュリティ制御として使用することは認められていません。代わりに、WPA2 や WPA3 など、強力な暗号化規 格に準拠した通信保護が求められます。 J
- 20. 20 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(要件 4) ワイヤレスネットワークは、認証と送信にどの技術を使用する必要がありますか? 選択肢: A) デフォルト SNMP ストリングや HTTP B) IEEE 802.1D 規格 C) SSL v2 以降 D) IEEE 802.11i 規格 正解:D) IEEE 802.11i などの規格 解説: 要件 4.1.1 では、ワイヤレス通信の認証と送信の保護には、IEEE 802.11i (WPA2/WPA3:Wi-Fi Protected Access )相 当の技術が推奨されています。802.1D;ブリッジング(スパニングツリー)用の規格、WEP、SSL v2 は脆弱性がありま す。802.11i は WPA2/WPA3 の基礎であり、現在の標準とされています。A) SNMP ストリング(Public)、HTTPS はワイ ヤレスネットワークの認証や送信暗号化には使われません。 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(要件 4) PCI DSS v4.0 において、機密データを送信する際の暗号化通信に求められる条件はどれですか? 選択肢: A) すべての内部ネットワーク通信に SSL を使用する B) TLS 1.0 以降の使用が望ましい C) 業界標準の強力な暗号化技術を使用する D) HTTP 通信を許可しても問題ない 正解: C) 業界標準の強力な暗号化技術を使用する 解説: 要件 4.1 では、PAN などの機密データをオープンネットワーク経由で送信する際、業界で認められた強力な暗号化(例: TLS 1.2 以降)を使用する必要があります。SSL や TLS 1.0 は既知の脆弱性があるため使用禁止です。HTTP 通信は非暗 号化のため不適切です。 J
- 21. 21 v3.2.1 からの変更点: 基本方針は変わりません。 (カテゴリー3/6)脆弱性管理プログラムの維持 PCI DSS v4.0 要件 5:マルウェアと攻撃からの保護 この要件では、マルウェアによる脅威からシステムを保護するために、アンチウイルスソフトや振る舞い監視などの対策 を導入・運用し、常に最新の状態で維持することが求められます。 問題:(要件 5) 組織のカード会員データ環境(CDE)を網羅してアンチウイルスソフトウェアがインストールされていることを確認しまし た。PCI DSS v4.0 要件の実装確認のために追加で行うべきことはどれですか? 選択肢: A) アンチウイルス定義が半年ごとに更新されていることを確認する B) 一般ユーザが設定を調整できることを確認する C) アンチウイルスソフトウェアがアクティブに実行されていることを確認する D) アンチウイルスの監査ログが 3 カ月ごとに削除されていることを確認する 正解: C) アンチウイルスソフトウェアがアクティブに実行されていることを確認する 解説: 要件 5.2 では、マルウェア対策ソリューションが実際に機能している状態(アクティブ)であることが求められます。イ ンストールされているだけでは不十分です。定義ファイルの更新頻度は「自動かつ頻繁」である必要があり、 「半年ごと」 では不適切です。アンチウイルスソフトウェアの監査ログは 12 カ月以上の保持が要件ですので、3 カ月ごとに削除されて はいけません。 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(要件 5) PCI DSS v4.0 を満たすアンチウイルスソフトウェアの構成を選択しなさい。 選択肢: A) アンチウィルスソフトウェアは未使用の場合は無効にしてもよく、ユーザリクエストに応じて有効化される。 B) アンチウィルスソフトウェアの監査ログは 3 カ月ごとに安全に削除される。 C) マルウェアの影響をあまり受けないシステムでは、アンチウイルスが必要ないことを確認するために定期的にレビュ ーが行われる。 D) マルウェアの影響をあまり受けないシステムでは、アンチウイルスが必要ないことを確認するために 4 カ月に 1 回レ J
- 22. 22 ビューが行われる。 正解: C) マルウェアの影響をあまり受けないシステムでは、アンチウイルスが必要ないことを確認するために定期的にレビュ ーが行われる。 解説: PCI DSS v4.0 の要件 5.2 では、”一般的なマルウェアのリスクにさらされるシステム”の全てに、アンチマルウェア対策が 導入されていることを求めています。一方で、マルウェアの影響をあまり受けないシステムに関しては、例外として除外 可能ですが、その場合は定期的なリスクレビューが必要であり、それによって除外の妥当性を検証する必要があります。 四カ月に 1 回とは定められていません。 v3.2.1 からの変更点: v3.2.1 では、影響をあまり受けない、アンチウイルスが導入されていないシステムについては、脅威を特定して定期的に 評価するのみであったのに対し、v4.0 では、要件 5.2.3.1 カスタイマイズアプローチの目的にて、マルウェアのリスクが ないと特定されたシステムコンポーネントの定期的な評価の頻度を、事業体のターゲットリスク分析で定義することにな りました。 問題:(要件 5) マルウェア対策ソリューションにおいて、PCI DSS v3.2.1 にはなく、v4.0 で新たに追加的に許容された方法はどれです か? 選択肢: A) ウイルス定義ファイルを毎月手動で更新する B) システム、またはプロセスの継続的な振る舞い分析を実施する C) システム及びプロセスの継続的な振る舞い分析を実施する D) 定期的なスキャンとアクティブスキャンまたはリアルタイムスキャンを実行する 正解: B) システム、またはプロセスの継続的な振る舞い分析を実施する 解説: 要件 5.3.2 では、従来の定期的なスキャンとアクティブスキャンまたはリアルタイムスキャンに加えて、システムの挙動 を継続的に分析する「振る舞いベースのマルウェア検知」が新たに許容されました。これにより、ゼロデイ攻撃や未知の マルウェアにも対応しやすくなります。 v3.2.1 からの変更点: v3.2.1 では定期的なスキャンとアクティブスキャンまたはリアルタイムスキャンのみが必須でしたが、v4.0 ではオプショ ンとして振る舞い分析が追加されました。 J
- 23. 23 PCI DSS v4.0 要件 6:安全なシステムおよびソフトウェアの開発と維持 この要件では、安全なソフトウェア開発ライフサイクル(SDLC)の実施、脆弱性の管理、修正プログラムの適用などを通 じて、システムのセキュリティと保守性を確保することが求められます。 問題:(要件 6) 特注ソフトウェアおよびカスタムソフトウェアに従事するソフトウェア開発担当者が受けるべきセキュリティトレーニン グの頻度として、PCI DSS v4.0 で正しいのはどれですか? 選択肢: A) 半年ごと B) プロジェクトごと C) 12 カ月に 1 回 D) 3 カ月に 1 回 正解: C) 12 カ月に 1 回 解説: 要件 6.2.2 では、特注・カスタムソフトウェアに関与する担当者は少なくとも 12 カ月に 1 回のセキュリティトレーニング を受ける必要があります。これはセキュリティリスクへの感度と最新知識の維持を目的としています。 v3.2.1 からの変更点: 基本方針は変わりません。しかしながら、v3.2.1 では「開発者」としていたものを、v4.0 では、 「特注ソフトウェアおよび カスタムソフトウェアに従事するソフトウェア開発担当者」と具体的することによって、v3.2.1 では、ソフトウェア開発 者のことかインフラ構築者のことなのかがわかりにくかったのを明確に区別しています。 問題: (要件 6) ソースコードレビューを実施する場合、PCI DSS v4.0 で求められるのはどれですか? A) セキュリティテストツールで自動的にレビューする B) プロジェクトマネージャーがレビュー対象を選定する C) 訓練を受けた人物がセキュリティ観点でレビューを行う D) リリース後にレビュー結果を報告する 正解: C) 訓練を受けた人物がセキュリティ観点でレビューを行う 解説: J
- 24. 24 テスト手順 6.2.3.1.a では、アプリケーション開発において、脆弱性(例:XSS、SQL インジェクション)を特定する目的 で、訓練を受けた人物がセキュリティの観点から手動にてコードレビューを行うことが求められています。ツールによる 自動化のみに依存することは適切ではありません。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: PCI DSS v4.0 において、要件 6.5 を満たすために QSA が検証する必要がある事項はどれでしょうか。 選択肢: A) ソフトウェア開発者が安全なコーディング手順に従っていること、および安全なコーディング手順に関するトレーニ ングを受講していることを確認する。 B) 侵入テスト結果に脆弱性が含まれていることを確認する。 C) コードができるだけ早く開発環境にリリースされることを確認する。 D) Web アプリケーションが非 Web アプリケーションとは異なる環境で開発されることを確認する。 正解: A) ソフトウェア開発者が安全なコーディング手順に従っていること、および安全なコーディング手順に関するトレーニ ングを受講していることを確認する。 解説: 要件 XX では、ソフトウェア開発者が SQL インジェクション、クロスサイトスクリプティング(XSS)などの代表的な脆 弱性を防ぐため、安全なコーディング手順に従い、定期的にセキュリティトレーニングを受講することが義務付けられて います。QSA はこれらの手順や教育記録を確認します。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 6) PCI DSS v4.0 において、脆弱性に対してリスクランキングを割り当てる理由として正しい記述はどれか? 選択肢: A) すべての脆弱性が 30 日以内に対処されることを保証するため B) 重要なセキュリティパッチが、少なくとも 3 カ月ごとにインストールされることを保証するため C) 高リスクアイテムの優先順位を特定して、迅速に対処するため D) 3 カ月ごとの ASV スキャンが不要になるため 正解: J
- 25. 25 C) 高リスクアイテムの優先順位を特定して、迅速に対処するため。 解説: 要件 6.3.1 では、検出された脆弱性に対してリスクレベルを評価し、深刻度に応じた優先順位を設定することが求められ ます。これにより、最も危険な脆弱性に迅速かつ適切に対応することが可能になります。業界標準の脆弱性評価スキーム (CVSS など)の活用が推奨されます。 v3.2.1 からの変更点: 基本方針は変わりません。 (カテゴリー4/6) 強固なアクセス制御の実施 PCI DSS v4.0 要件 7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する この要件では、業務上必要な最小限のアクセス権限のみを付与する「最小権限の原則」に基づき、カード会員データへの 不要なアクセスを防ぐアクセス制御の設計と管理が求められます。 問題:(要件 7) カード会員データにユーザアクセスを割り当てる PCI DSS 要件の目的に該当するシナリオはどれですか? 選択肢: A) ジョブを実行するのに、必要な権限に基づいて、個別のユーザにアクセスを割り当てる B) 最も低い権限に基づいて、すべてのユーザにアクセスを割り当てる C) グループの中で職歴が最も長い者の権限に基づいてアクセスを割り当てる D) 最も高い権限を全ユーザに割り当てる 正解:A) ジョブを実行するのに、必要な権限に基づいて、個別のユーザにアクセスを割り当てる 解説: 要件 7.2.2 では、最小限の特権の原則に基づき、業務に必要な最小限のアクセス権限を、個々のユーザに応じて適切に割り 当てることが求められています。グループ単位で一律に割り当てたり、全員に高権限を付与したりすることは、セキュリ ティ上のリスクです。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 6) アカウントデータを含むデータベースへのアクセスを制限する PCI DSS 要件に該当するシナリオとして、正しいものを 選びなさい。 選択肢: J
- 26. 26 A) データベースへの直接クエリは、共有データベース管理者アカウントに制限されている B) データベースアプリケーションのアプリケーション ID はデータベース管理者によってのみ使用される C) データベースのユーザの直接アクセスは、システム管理者およびネットワーク管理者に制限されている D) データベースへのユーザアクセスは、プログラム上の方法でのみ行われる 正解: D) データベースへのユーザアクセスは、プログラム上の方法でのみ行われる 解説: PCI DSS 要件 7.2.6 では、DBA はローデータに直接アクセスできますが、それ以外の担当ユーザは、保存されたカード 会員データリポジトリへクエリを、ツール(プログラム)を通じた制御された方法でのみ実施するとしています。 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(要件 7) アクセス制御の見直しを実施する際、最も優先して確認すべき事項はどれですか? 選択肢: A) 権限変更履歴がすべて記録されているか B) 全ユーザに一律で最低権限が割り当てられているか C) アクセス権限が業務に必要な範囲に限定されているか D) 監査ログが自動で削除されているよう設定されていること 正解: C) アクセス権限が業務に必要な範囲に限定されているか 解説: 要件 7.2.1 カスタマイズアプローチの目的にて、アクセス要件は、最小限の特権と Need to Know の 原則に従って、職務 機能に従って確立され、特権ユーザ以外においても全ユーザに対して、業務上必要な範囲に限定したアクセス権限を適用 することが求められています。 v3.2.1 からの変更点: 基本方針は変わりません。 PCI DSS v4.0 要件 8:ユーザの識別とシステムコンポーネントへのアクセスの認証 この要件では、ユーザを一意に識別し、認証を行うことでアクセスの追跡性を確保するとともに、リモートアクセスなど には多要素認証(MFA)を必須とすることで不正アクセスを防ぎます。 J
- 27. 27 問題: (要件 8) パスワード/パスフレーズが唯一の認証要素として使用される場合、PCI DSS v4.0 で求められる管理方法を確認するため の方法はどれですか? 選択肢: A) システム時計を 90 日未来に設定してテストする B) パスワード/パスフレーズパラメーターを 90 日以内に自動のみ設定する C) パスワード/パスフレーズパラメーターを 90 日以内に自動設定するか、手動で変更するか、もしくは、動的セキュリテ ィ分析が適用されていることを確認する D) 動的セキュリティ分析が適用されていることを確認する 正解:C) パスワード/パスフレーズパラメーターを 90 日以内に自動設定するか、手動で変更するか、もしくは、動的セキュリティ 分析が適用されていることを確認する 解説: 要件 8.3.9 では、パスワード/パスフレーズが唯一の認証要素である場合、90 日ごとの変更または動的リスク分析の適用が 求められます。 v3.2.1 からの変更点: v3.2.1 では 90 日ごとのパスワード/パスフレーズ変更(手動・自動)が求められていましたが、v4.0 では、その代わりに、 アカウントのセキュリティ状態を動的に分析し、それに応じてリソースへのリアルタイムアクセスを自動的に決定するこ とで定期変更の代替が可能となりました。 問題: (要件 8) 一般ユーザアカウントに対するパスワード/パスフレーズの最小長は何文字ですか? 選択肢: A) 12 文字(システムが対応していない場合は、7 文字) B) 7 文字 C) 15 文字である(システムが対応していない場合は、7 文字) D) 12 文字(システムが対応していない場合は、8 文字) 正解: D) 12 文字(システムが対応していない場合は、8 文字以上) 解説: 要件 8.3.6 では、通常のユーザアカウントには 12 文字以上のパスワード/パスフレーズが求められます。これは総当たり 攻撃や辞書攻撃に対するセキュリティ強化のため導入されました。システムが対応していない場合は、8 文字以上です。 J
- 28. 28 以前の 7 文字以上では、安全性が不十分とされました。 v3.2.1 からの変更点: v3.2.1 では 7 文字以上で許容されていましたが、 v4.0 では 12 文字に引き上げられ、 システム制限がある場合においても、 8 文字以上を要求しており、強化されています。 問題: (要件 8) パスワード/パスフレーズの再利用禁止のルールとして正しいのはどれですか? 選択肢: A) 直近 5 回まで B) 直近 4 回まで C) 直近 8 回まで D) 直近 7 回まで 正解: B) 直近 4 回までで 解説: 要件 8.3.7 では、過去 4 回以内に使用されたパスワード/パスフレーズを再利用することは禁止されています。これは、使 い回しによる漏洩や推測のリスクを低減するための措置です。 v3.2.1 からの変更点: 基本方針は変わりません。カスタマイズアプローチの目的にて、少なくとも 12 カ月間、以前に使用したパスワードでアカ ウントにアクセスすることはできないとうたっています。 問題: (要件 8) サービスプロバイダのアカウントパスワード/パスフレーズの最小文字数は、システム的制限がある場合を除いて、最低何 文字求められますか? 選択肢: A) 15 文字以上 B) 7 文字以上 C) 12 文字以上 D) 8 文字以上 正解: C) 12 文字以上 解説: J
- 29. 29 要件 8.3.6 では、サービスプロバイダか否か、一般ユーザかシステム管理者かに関わらず、アカウントには 12 文字以上の パスワード/パスフレーズが求められ、システム制限がある場合は、8 文字以上が求められます。ガイダンスでは、パスワ ードの変更を少なく とも年に 1 回、パスワード/パスフレーズの長さを 15 文字以上、パスワード/パスフレーズの複雑 さを 英数字、大文字、小文字、特殊文字で設定することの検討が記載されていますが、英数混合であれば、要件を満たし ていることになります。 v3.2.1 からの変更点: 以前は、7 文字以上英数混合のみを求めていたものが、v4.0 では、MFA を実装していない場合は、パスワードの複雑さを 強化しました。 問題: (要件 8) CDE へのリモートアクセスに対して、必須とされている認証方式はどれですか? 選択肢: A) ID とパスワード/パスフレーズのみ B) MFA(多要素認証) C) 生体認証 D) 社内ネットワークからのみアクセス可能とする 正解: B) MFA(多要素認証) 解説: 要件 8.4.2 では、CDE にリモートアクセスするすべてのユーザに対して MFA の使用が必須とされています。ID とパスワ ード/パスフレーズだけでは不十分です。 社内限定アクセスは補助的であり、 生体認証単独では多要素要件を満たしません。 v3.2.1 からの変更点: v3.2.1 では、CDE へのすべての非コンソール管理アクセス、ならびにすべてのリモートアクセスについて、MFA が必須 でしたが、v4.0 では、CDE へのすべての非コンソール管理アクセス、事業体のネットワーク外から発信されるすべてのリ モートネットワークアクセスに対して MFA が必須になると明確に適用対象が縮小されました。 問題: (要件 8) システムコンポーネントへのリモートアクセスに使用する多要素認証(MFA)は、どのように実装されている必要がありま すか? 選択肢: A) 部署共有スマートカードと自分だけが知る PIN の組み合わせで認証する B) 2 つの知識ベースの質問に答える C) 自分専用ドングルと自分だけが知るパスフレーズで認証する D) 5 つの秘密の質問への解答にて認証する J
- 30. 30 正解: C) 自分専用ドングルとパスフレーズで認証する 解説: 要件 8.5.1 では、MFA(多要素認証)はユーザが持っているもの(スマートカードやドングルなど) 、ユーザが知っている もの(パスワード/パスフレーズ、パスフレーズ、PIN など) 、またはユーザ自身やユーザの行動(指紋やその他の生体認 証要素など)で認証することを言います。 v3.2.1 からの変更点: v4.0 では、MFA の定義と要素分類がより明確に定義され、これまで、v3.2.1 に記載はされていなかったものの多段階認 証、二要素認証と多要素認証とを明確に区別しました。スマートカードのスワイプと顔認証でもよいですが、パスワード を 2 段階にかけることは MFA とみなされません。 問題: (要件 8) 特権アクセスの割り当てにおいて、PCI DSS v4.0 で求められるのはどれですか? 選択肢: A) 部門長に root 権限を与える B) 全管理職に管理者権限を付与し、管理職グループで管理する C) 管理者アクセスは正当な業務上の理由に基づいて明示的に割り当てる D) CISO はすべてのシステムにアクセスできるようにしてよい 正解: C) 管理者アクセスは正当な業務上の理由に基づいて明示的に割り当てる 解説: 要件 8.2.2 では、特権アクセスの付与は業務上の正当な理由に基づいて、個別に管理される必要があります。共通アカウン トやグループベースの権限割り当ては、追跡可能性や不正検出の観点から推奨されません。CISO だからといって全権限 を持った場合、CISO による独裁の風評被害や、犯罪リスクがあります。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 8) アカウントの非アクティブ期間が長い場合、PCI DSS v4.0 ではどのように扱う必要がありますか? 選択肢: A) 一定期間後に自動的に無効化されるようにシステム設計しなければならない B) 最低でも 90 日間はアクティブ状態を保持しなければならない C) 最大で 90 日間経過したら、自動か手動で無効化、または削除しなければならない J
- 31. 31 D) 気が付いた管理者が手動で削除する 正解: C) 最大で 90 日間経過したら、自動か手動で無効化、または削除しなければならない 解説: 要件 8.2.6 では、非アクティブなアカウントは 90 日以内の一定期間経過すると自動的に無効化、もしくは削除する設定が 求められます。放置されたアカウントは乗っ取りのリスクがありますので、定期的な棚卸が求められます。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 8) PCI DSS v4.0 において、各ユーザに固有の ID を割り当てる理由として正しい記述はどれですか? 選択肢: A) グループアカウントへのアクセスは、必知事項に基づいて割り当てられる。 B) 共有アカウントは、管理者のみが使用できる。 C) 各ユーザアカウントに強力なパスワード/パスフレーズを使用できる。 D) ユーザ個人が自分の行動の責任をとることになる。 正解: D) ユーザ個人が自分の行動の責任をとることになる。 解説: 要件 8.2.1 では、各ユーザに一意の ID を割り当てることで、操作監査ログなどを個人に帰属させ、説明責任(アカウンタ ビリティ)を確保することが求められています。グループアカウントや共有アカウントの使用は原則禁止です。 v3.2.1 からの変更点: 基本方針は変わりません。要件 8.2.1「カスタマイズアプローチの目的」に、すべての利用者のすべての行為が個人に帰属 すると明記しました。 PCI DSS v4.0 要件 9:カード会員データへの物理アクセスを制限する この要件では、カード会員データ環境への物理的なアクセスを制限・管理し、入退室監査ログの保持や訪問者の監視など により、物理的な不正アクセスのリスクを軽減することが求められます。 問題: (要件 9) 訪問者監査ログ(訪問者名、所属、来訪時間等を記録したもの)は、PCI DSS v4.0 においてどのくらいの期間、保持する J
- 32. 32 必要がありますか? 選択肢: A) 12 カ月間のみ保存し、それ以上は必ず破棄する。 B) 最低 90 日間以上 C) 6 カ月間 D) 最低 12 カ月間以上 正解: D) 最低 12 カ月間以上 解説: 要件 9.4.1.2 では、訪問者監査ログは少なくとも 12 カ月間保持する必要があります。物理的アクセスの証跡は、不正アク セスの調査やセキュリティガバナンスの証明に不可欠です。 v3.2.1 からの変更点: v3.2.1 では要件 9.4.4 にて、3 カ月以上の保持が要件とされていましたが、v4.0 では保持期間が長くなりました。 問題: (要件 9) 物理的アクセスコントロールの施錠管理において、PCI DSS v4.0 で適切とされる対応はどれですか? 選択肢: A) 物理鍵は管理職全員にて共同利用されている B) 物理鍵は CDE の外に保管されている C) 物理鍵は利用終了後すぐに回収され、IC カードは利用終了後すぐに無効化される D) 物理鍵の配布記録は保持する必要はない 正解: C) 物理鍵は利用終了後すぐに回収され、IC カードは利用終了後すぐに無効化される 解説: 要件 9.3.2 では、物理アクセスに使用される物理鍵、バッジ、IC カード等は、利用者が退職・異動・役割変更等でアクセ スが不要になった際、速やかに無効化・回収することが求められています。アクセス継続を許容すると、内部不正や情報 漏洩の原因になります。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 9) 施設の物理的アクセス制御を確認する際、PCI DSS v4.0 の要件で正しいものはどれですか? J
- 33. 33 選択肢: A) サーバルームの施錠は任意である B) CDE を含む施設へのアクセスは IC システム等で制限され、かつ監視カメラの両方により監視されなければならない C) CDE を含む施設へのアクセスは IC システム等で制限されるか、または監視カメラにより監視されている D) サーバルームなどの機密エリアへの出入りは口頭や紙媒体で記録してもよい 正解: C) CDE を含む施設へのアクセスは IC システム等で制限されるか、または監視カメラにより監視されている 解説: 要件 9.1.1、9.2.1.1 では、CDE を含むすべての機密エリア、施設に対して物理的アクセス制御を実施する、または、出入 りが監視カメラ(CCTV)等で監視され、記録されることが求められています。口頭記録、紙媒体への記載のみといった管理 は不適切です。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 9) PCI PTS(PIN Transaction Security)基準は、次のうちどれに適用されますか? 選択肢: A) アカウントデータの送信に関するエンドツーエンド暗号化ソリューション B) 強力な暗号化アルゴリズムの開発 C) アカウントデータを保護するために使用される加盟店端末装置 D) 商業用支払いアプリケーションのセキュアなコーディングプラクティス 正解: C) アカウントデータを保護するために使用される加盟店端末装置 解説: PCI PTS(PIN Transaction Security)基準は、PCI DSS v4.0 に記載はありませんが、要件 9.5 および 9.5.1.1 が関連 要件です。PCI PTS(PIN Transaction Security)基準は、PIN 入力を伴う物理的な決済端末(POS 端末、PIN Entry Device など)に対して適用されるセキュリティ要件群です。この基準では、暗号化鍵の保護、PIN の非公開保持、端末の 耐タンパ性などが詳細に定義されており、PIN を安全に取り扱うためのハードウェアデバイスの評価基準として使用され ます。それに対し、アカウントデータの送信に関するエンドツーエンド暗号化ソリューションは P2PE の対象、商業用支 払いアプリケーションのセキュアなコーディングプラクティスは、SSF の対象です。 v3.2.1 からの変更点: PCI PTS 自体は PCI DSS とは独立した基準であり、v3.2.1・v4.0 いずれにおいてもその適用範囲は変わっていません。 J
- 34. 34 ただし、PCI DSS では PTS 準拠機器の使用が間接的に求められるケースがあります(要件 9.9 など) 。 (カテゴリー5/6)ネットワークの定期的な監視とテスト PCI DSS v4.0 要件 10:システムコンポーネントおよびカード会員データへのすべてのアクセスを監査ログに記録し、監 視すること この要件では、すべてのユーザ活動やシステムアクセスの監査ログを記録・保管し、日次レビューを通じて不正アクセス や異常な行動を早期に検出し対応できる体制を整備することが求められます。 問題:(要件 10) リスクランクが低い脆弱性に対する対応の頻度は、どのように決定されるべきですか? 選択肢: A) 1カ月以内に対応する B) 3 カ月に 1 回対応する C) 事業体のリスク分析に基づいて対応する D) 12 カ月に 1 回対応する 正解: C) 事業体のリスク分析に基づいて対応する 解説: PCI DSS 要件 11.3.1.1.b において、 ランクが低い脆弱性 ( 「高」 または 「重要」 よりも低いもの) に対する対応の頻度は、 「事業体のリスク分析」に基づいて決定すると明確にされています。このリスク分析は 要件 12.3.1 に準拠しており、タ ーゲットリスク分析によってサポートされる。 • 保護対象の資産を特定する。 • 要件が保護する脅威を特定する。 • 脅 威が実現する可能性および/または影響に寄与する要因の特定を考慮します。 V3.2.1 からの変更: v.3.2.1 にはない、新規のカスタムアプローチです。よりリスクベースアプローチを意識し、組織のカスタマイズが可能に なりました。 問題: (要件 10) 変更検知メカニズム(ファイル整合性監視ツールなど)で監視する必要性のあるファイルタイプを選びなさい。 選択肢: A) 定期的に変化するファイル B) セキュリティポリシーと手順のドキュメント C) アプリケーションベンダーのマニュアル D) システム構成およびパラメータファイル J
- 35. 35 正解: D) システム構成およびパラメータファイル 解説: 要件 10.2.1 では、システム構成ファイルやパラメータファイルなど、システムのセキュリティに直接影響を与える重要な 設定ファイルの変更を監視することが求められています。 これには、 ファイル整合性監視 (FIM: File Integrity Monitoring) ツールの使用が推奨されており、変更や改ざんを検知して不正アクセスや設定ミスを早期に発見する目的があります。 対象となるファイル例は、ファイアウォールやルーター(NSC)の設定ファイル(iptables.rules、Cisco config など) 、OS のセキュリティ設定ファイル(/etc/security) 、データベース設定ファイル(my.cnf、postgresql.conf) 、アプリケーション やミドルウェアの構成ファイル(web.config、server.xml)です。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 10) 監査ログは、PCI DSS v4.0 においてどのくらいの期間保持する必要がありますか? 選択肢: A) 少なくとも 3 カ月間 B) 12 カ月間のみ C) 少なくとも 12 カ月間 D) 少なくとも 3 年間 正解: C) 少なくとも 12 カ月間 解説: 要件 10.5.1 によると、監査ログは 12 カ月間保持し、直近 3 カ月は、監査ログをアーカイブする、バックアップから監査 ログを迅速に復元するなど直ちに監査ログにアクセス可能に保つ必要があります。これは、インシデント調査や不正アク セスの分析に対応するためです。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 10) 監査ログのレビューは、PCI DSS v4.0 ではどの頻度で実施する必要がありますか? 選択肢: A) 月次 B) 3 カ月に 1 回 J
- 36. 36 C) 週次 D) 日次 正解: D) 日次 解説: 要件 10.6.1 では、監査ログレビューは日次で行うことが求められています。異常の早期発見と迅速な対応を目的としてい ます。週次や月次ではインシデント対応が遅れる恐れがあります。 v3.2.1 からの変更点: 基本方針は変わりません。しかしながら、内容の変更としましては、日次とは営業日買い(土日祝日)も含めて毎日であ ることが明確になりました。 問題: (要件 10) 監査ログに含まれるべき情報として、PCI DSS v4.0 で求められているものはどれですか? 選択肢: A) ログイン失敗回数 B) 操作者の氏名 C) 操作者の氏名と上長の氏名 D) ログイン失敗回数と操作者の氏名 正解: A) ログイン失敗回数 解説: 要件 10.2.1 では、アクセス成功・失敗、特権操作、監査ログ設定変更など、セキュリティ関連のイベントが監査ログに記 録されている必要があります。ログインの失敗回数もそのひとつであり、不正アクセスの兆候となるため記録対象です。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 10) ユーザアクティビティを監査ログに記録する理由として、正しいものを選びなさい。 選択肢: A) 不正または侵害の可能性を検出する B) CDE で利用される弱いパスワード/パスフレーズの使用を特定する C) 重要リソースへのアクセスを必知事項に基づいて制限する J
- 37. 37 D) セキュリティポリシーが文書化され、使用され、関係するすべての当事者に知られていることを確認する 正解: A) 不正または侵害の可能性を検出する 解説: 要件 10.2.1 では、すべてのユーザアクティビティを監査ログに記録し、不正アクセスや侵害の兆候を早期に検出できるよ うにすることが求められています。監査ログはインシデント対応や調査において極めて重要な情報源となるため、アクテ ィビティの記録は PCI DSS の基本的な要求事項の一つです。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 10) 監査ログのレビューを行うため、PCI DSS v4.0 ではどのように対応すべきですか? 選択肢: A) 監査ログの日次の監査ログレビューは手動で実施する B) 監査ログのレビューは手動、または自動で実施する C) 監査ログの完全性維持と変更・削除防止の自動化された仕組みを実装する D) 監査ログを書き込み禁止メディアに保存する 正解: C) 監査ログの完全性維持と変更・削除防止の自動化された仕組みを実装する 解説: 要件 10.4.1.1 にて、監査ログのレビューを行うために、ガイドラインでは、SIEM(シーム)ツール等の導入を推奨してお り、監査ログのレビューは手動での実施は要件を満たしません。 v3.2.1 からの変更点: v3.2.1 のテスト手順 10.6.1.a にて、 手動または監査ログツールを用いて、 監査ログレビューを実施するとしていましたが、 v4.0 では、要件 10.4.1.1 にて、手動ではなく、自動化されたメカニズムを要求しています。 PCI DSS v4.0 要件 11:システムおよびネットワークのセキュリティを定期的にテストする この要件では、セキュリティ制御の有効性を継続的に検証するために、脆弱性スキャンやペネトレーションテスト、ファ イル整合性監視などの手段を計画的に実施・記録することが求められます。 問題:(要件 11) 未承認のワイヤレスアクセスポイント(AP)の検出頻度として、PCI DSS v4.0 で正しいのはどれですか? J
- 38. 38 選択肢: A) 1 カ月ごと B) 3 カ月ごと C) 6 カ月ごと D) 12 カ月ごと 正解: B) 3 カ月ごと 解説:要件 11.2.1 では、CDE でワイヤレス技術を使用している場合、未承認 AP の検出を少なくとも 3 カ月ごとに実施す る必要があります。AP の設置は簡単で検出が遅れると重大なセキュリティリスクになります。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 11) 脆弱性スキャンは、PCI DSS v4.0 においてどのような頻度で実施する必要がありますか? 選択肢: A) 毎月 B) 3 カ月ごと C) 6 カ月ごと D) 12 カ月ごと 正解: B) 3 カ月ごと 解説: 要件 11.3.1 および 11.3.2 では、内部および外部の脆弱性スキャンを 3 カ月ごと、かつ重要な変更の後に実施することが求 められています。スキャンは脆弱性管理の基盤であり、頻度が不足すると重大なセキュリティリスクを見逃す可能性があ ります。 v3.2.1 からの変更点: 頻度自体は変わりませんが、v4.0 では要件の構造が整理され、変更後の対応の記述が強調されています。 問題: (要件 11) ペネトレーションテストの実施頻度として、PCI DSS v4.0 で正しいのはどれですか? 選択肢: A) 月次 J
- 39. 39 B) 3 カ月ごと C) 12 カ月に 1 回以上、および重要な変更の後 D) 必要に応じて 正解: C) 12 カ月に 1 回以上、および重要な変更の後 解説: 要件 11.4.2 では、ペネトレーションテスト(ペンテスト、侵入テストとも言う)は 12 カ月以上、加えて重大な変更(ネ ットワーク構成変更、CDE の追加等)の後に実施することが求められています。これにより、環境の変更に対しても脆弱 性を常に検証できます。 v3.2.1 からの変更点: 頻度は v3.2.1 と同様(年次)です。しかしながら、v.3.2.1 では、ペネトレーションテストの結果は、 「合格」や 「不合格」 で語られる傾向にありましたが、v4.0 では、合否に分類できるものではないとガイダンスで明確にうたっている点が異な ります。 問題: (要件 11) ファイル整合性監視(FIM)の重要ファイルの比較の頻度として、PCI DSS v4.0 で求められているのはどれですか? 選択肢: A) 12 カ月ごと B) 週次 C) 3 カ月ごと D) 日次 正解: B) 週次 解説: 要件 11.5.1 では、重要ファイル(構成ファイル、実行ファイルなど)への改ざんを検出するため、FIM(ファイル整合性 監視)の重要ファイルを少なくとも週次で確認することが求められます。攻撃者によるバックドア設置や設定変更の早期 発見に役立ちます。FIM の監査ログのチェックのことであれば、D)日次となりますが、こちらでは、FIM の変更検知チェ ックの頻度のことを尋ねています。 v3.2.1 からの変更点:基本方針は変わりません。 問題: (要件 11) 未承認の変更検知ソリューションによるアラートに対して、PCI DSS v4.0 で求められる対応はどれですか? J
- 40. 40 選択肢: A) 月次でアラート一覧を確認する B) 半年ごとに監査ログをチェックする C) アラートが発生したら即時に調査・対応する D) 定期監査時にまとめて対応する 正解: C) アラートが発生したら即時に調査・対応する 解説: 要件 12.10.5 では、変更検知システム(例:IDS/IPS、FIM)でアラートが発生した場合、即時にインシデントとみなして 対応を開始する必要があります。放置すると、攻撃による改ざんや不正変更を見逃すリスクがあります。 v3.2.1 からの変更点: 以前は明確な即時対応要件ではありませんでしたが、v4.0 ではアラートを「即時対応すべきインシデント」と明記するよ う強化されました。 ペイメントページの変更、 および改ざん 検出メカニズムからのアラートの監視と対応は、 2025 年 3 月 31 日まではベストプラクティスです。 問題: (要件 11) ペネトレーションテストと脆弱性スキャンに関して、PCI DSS v4.0 で正しい記述はどれですか? 選択肢: A) 両方を 3 カ月ごとに実施する必要がある B) 問題が特定されたら、再テストまたは再スキャンで確認する必要がある C) ペネトレーションテストは内部のみで実施する D) ペネトレーションテストは外部のみで実施する 正解: B) 問題が特定されたら、再テストまたは再スキャンで確認する必要がある 解説: ペネトレーションテストは、少なくとも 12 カ月に一回、脆弱性スキャンは少なくとも 3 カ月に一回の実施が必要です。両 方とも内部・外部での実施が必要です。そして、問題が特定されたら、再テスト、または再スキャンで確認する必要があ ります。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 11) J
- 41. 41 PCI DSS v4.0 において、内部脆弱性スキャンおよび再スキャンについて正しい記述はどれですか? 選択肢: A) CDE に影響するサーバ更新の後に実行する B) QSA が実行する C) 少なくとも 12 カ月に 1 回実行する D) 認定スキャンベンダー(ASV)が実行する 正解: A) CDE に影響するサーバ更新の後に実行する 解説: 要件 11.3.1.3 および 11.3.2.1 では、内部脆弱性スキャンは少なくとも 3 カ月ごと、および CDE(カード会員データ環境) に影響を与える重要な変更の後に実施することが求められています。さらに、特定された脆弱性については、修正後に再 スキャンを行い、 問題が解消されたことを確認する必要があります。 内部脆弱性スキャンは QSA や ASV の担当ではなく、 組織内の有資格者または適切な専門家が実施するものです。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 11) 事業体が CDE のどの部分でもワイヤレスネットワーク技術を使用していない場合、QSA 会社が ROC の PCI DSS v4.0 要件 11.2.1 の確認で行う必要があるのは次のうちどれですか? 選択肢: A) 要件 11.1 のテスト手順を実施し、審査機関の発見に基づいて ROC で実装済みまたは未実装を選択する。 B) ROC の要件 11.1 で未テストを選択し、事業体がワイヤレスを使用していないことを記入する。 C) 環境を検査してワイヤレスがないことを確認し、ROC 要件 11.2.1 で「該当なし(N/A) 」を選択し、事業体がワイヤレ スを使用していないことを記入する。 D) 「代替コントロールワークシート(CCW) にて実装済み」を ROC で選択し、ワイヤレスを使用していないことを説明 する代替コントロールワークシートを含める。 正解: C) 環境を検査してワイヤレスがないことを確認し、ROC 要件 11.2.1 で「該当なし(N/A) 」を選択し、事業体がワイヤレ スを使用していないことを記入する。 解説: 要件 11.2.1 では、CDE でワイヤレス技術を使用していない場合、テストの実施は不要ですが、 「ワイヤレス技術は存在し ない」と明確に検査・確認し、その内容を ROC に記載しなければなりません。これにより、要件は「該当なし(N/A) 」 J
- 42. 42 として処理されます。 v3.2.1 からの変更点: 基本方針は変わりません。 (カテゴリー6/6)情報セキュリティポリシーの維持 PCI DSS v4.0 要件 12:組織の方針とプログラムによって情報セキュリティをサポートする この要件では、情報セキュリティ方針や手順の策定、責任の明確化、教育訓練、インシデント対応計画など、組織として のセキュリティ管理体制を維持・改善することが求められます。 問題: (要件 12) PCI DSS v4.0 要件 12.7 に基づき、雇用前に身辺調査を実施する対象として正しいのはどれですか? 選択肢: A) 訪問者 B) アルバイト、派遣社員を含む全従業員 C) カード会員データ環境(CDE)にアクセスする可能性のある従業員 D)お客様のクレジットカードを取り扱う可能性のあるスーパーのレジ係 正解: C) カード会員データ環境(CDE)にアクセスする可能性のある従業員 解説: 要件 12.7 では、CHD(カード会員データ)および CDE(カード会員データ環境)へのアクセスがある、または可能性が ある従業員に対して、雇用前の身辺調査を実施する必要があります。 「すべての従業員」ではなく、アクセス対象に絞った 要件です。 v3.2.1 からの変更点: V3.2.1 では全従業員ともとれましたが、v4.0 では、範囲が限定的になりました。 問題: (要件 12) 次の記述のうち、侵入検知システム(IDS)および、または侵入保護システム(IPS)などの侵入検知技術の使用について正 しいものを選びなさい。 選択肢: A) 侵入検知技術は、全てのシステムコンポーネントに導入する必要がある。 B) 侵入検知技術は、カード会員データのすべてのインスタンスを特定するために必要である。 C) 侵入検知技術は、侵害の可能性を職員に警告するために必要である。 D) 侵入検知技術は、CDE のシステムを他のすべてのシステムから隔離するために必要である。 J
- 43. 43 正解: C) 侵入検知技術は、侵害の可能性を職員に警告するために必要である。 解説: 要件 12.5.2 では、IDS(Intrusion Detection System)や IPS(Intrusion Prevention System)などの侵入検知技術は、 システムやネットワーク内で異常なアクティビティや攻撃の兆候を検知し、管理者や職員に警告するために使用すること が求められています。これにより、セキュリティインシデントへの迅速な対応が可能になります。 A のように「すべてのシステムコンポーネントへの導入」は要件ではなく、リスクに基づき重要なポイントへの導入が推 奨されます。B は、カードデータの特定は DLP やスキャンツールの役割であり、IDS の目的ではありません。D の「隔 離」は、ファイアウォールや NSC(ネットワークセキュリティ制御)などのセグメンテーション技術の役割です。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 12) PCI DSS の適用範囲(スコープ)に関して、PCI DSS v4.0 で正しいのはどれですか? 選択肢: A) アカウントデータを保存している場所がスコープになる B) ネットワーク境界を越えた通信はスコープに含まれない C) PCI DSS 要件は、サービスプロバイダには適用されない D) アカウントデータが送信、処理、保存される場所、及びその接続先を含めて文書化し、システムの状態を確認する必要 がある 正解: D) アカウントデータが送信、処理、保存される場所、及びその接続先を含めて文書化し、システムの状態を確認する必要 がある 解説: 要件 12.5.2 では、PCI DSS のスコープは CDE(カード会員データ環境)だけでなく、バックアップ/リカバリサイトや フェイルオーバーシステ ムなど、その接続先ネットワークも含まれます。これらを文書化し、年 1 回以上見直すことが求 められています。 v3.2.1 からの変更点: v3.2.1 でも同様にスコープの文書化が求められていましたが、v4.0 ではバックアップ/リカバリサイトやフェイルオーバ ーシステムなど、文書化が必要な、接続先システムの例が具体化されました。 問題: (要件 12) サービスプロバイダの担当者は、自組織のセキュリティポリシーと運用手順に従って業務を遂行していることを確認する J
- 44. 44 いることを、どのくらいの頻度でレビューする必要がありますか? 選択肢: A) 月次 B) 12 カ月ごと C) 3 カ月ごと D) 適宜 正解: C) 3 カ月ごと 解説: サービスプロバイダには、セキュリティ管理体制の継続的な有効性を確実にするため、要件 12.4.2 では、日々の監査ログ レビュー • ネットワークセキュリティ制御の設定レビュー、新規システムに対する設定基準の適用 • セキュリティアラ ートへの対応 、変更管理プロセスが実施されていることを、 実施者以外の者が 3 カ月に一回以上チェックすることを求め ています。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 12) 担当者がセキュリティポリシーや手順を読んで理解し、同意する頻度として、PCI DSS v4.0 で求められているのはどれで すか? 選択肢: A) 少なくとも半年ごと B) 少なくとも 12 カ月ごと C) 入社時、着任時のみ D) 任意で実施すればよい 正解: B) 少なくとも 12 カ月ごと 解説: 要件 12.6.3 では、カード会員データ環境(CDE)に関与する担当者(applicable personnel)に対して、セキュリティポ リシーおよび手順を少なくとも 12 カ月に 1 回確認・同意することが求められています。 この手続きにより、担当者が最新のセキュリティ方針に基づいて行動できる状態を維持することが目的です。 v3.2.1 からの変更点: v3.2.1 では「全従業員(all personnel) 」が対象でしたが、v4.0 では「担当者(applicable personnel) 」に限定され、確認 J
- 45. 45 の方法についても書面または電子同意が必須とはされなくなり、柔軟性が高まりました。 問題: (要件 12) 組織は、利用しているサードパーティサービスプロバイダ(TPSP)の PCI DSS 準拠状況を、どのくらいの頻度で確認す る必要がありますか? 選択肢: A) 必要に応じて B) 半年ごと C) 契約更新時のみ D) 12 カ月ごと 正解: D) 12 カ月ごと 解説: 要件 12.8.4 では、組織の TPSP の PCI DSS 準拠状況を 12 カ月ごとに確認することが求められています。これは、サー ビスプロバイダの変更や環境変化により、リスクが発生しても気づかないまま継続利用する事態を防ぐためです。TPSP が、他の事業体による暗号化されたデータのみを受信、保存し、自身にてデータを復号化する能力を持たない場合は、一 定の条件を満たせば、PCI DSS v4.0 への準拠は必須ですが、暗号化データを適用範囲外とみなすことが可能です。 v3.2.1 からの変更点: v3.2.1 ではサービスプロバイダについての組織の要件でしたが、v4.0 では、サービスプロバイダではなく、サードパーテ ィサービスプロバイダ(TPSP)と明確化され、定義づけられました。 問題: (要件 12) PCI DSS v4.0 準拠状況のレビューと文書化を求められているのは、次のうちどれですか? 選択肢: A) 適用除外を使用しているすべての要件 B) テストが不完全な要件 C) すべての適用要件(In Place) D) 要件の一部が未導入のケースのみ 正解: C) すべての適用要件(In Place) 解説: 要件 12.10.1 および 12.10.3 では、PCI DSS 要件のうち「In Place(適用済み) 」と判断されたすべての項目について、実 J
- 46. 46 装状況の確認と文書化が必要とされています。適用済みとした判断の根拠を示すことは、監査・再評価においても重要で す。 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(要件 12) インシデント対応訓練計画について、PCI DSS v4.0 で求められるのはどれですか? 選択肢: A) 12 カ月に一度、セキュリティ・インシデント対応計画はレビューされ、テストされる B) 12 カ月に一度、セキュリティ・インシデント対応計画はレビューされるのみ C) 12 カ月に一度、セキュリティ・インシデント対応計画がテストされるのみ D) 監査ログはすべて 3 カ月以内に削除する 正解: A) 12 カ月に一度、セキュリティ・インシデント対応計画はレビューされ、テストされる 解説: 要件 12.10.2 により、インシデント対応計画は、12 カ月に一度見直され、必要に応じて内容が更新され、要件 12.10.1 に 記載されているすべての要素を 含めてテストされている。 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(要件 12) セキュリティ・インシデントが発生した際、PCI DSS v4.0 ではどのような対応が求められますか? 選択肢: A) 最初にクレジットカードブランド会社に報告する必要がある B) すぐ警察に通報する必要がある C) 定められた対応手順に基づき、記録・報告・対応を行う D) 最初に QSA 会社に報告する必要がある 正解: C) 定められた対応手順に基づき、記録・報告・対応を行う 解説: 要件 12.10.4 では、インシデント発生時にはあらかじめ定めた対応手順に従い、対応状況の記録、報告体制の発動、必要 な是正処置を含めた一連のプロセスを実施することが義務づけられています。 J
- 47. 47 v3.2.1 からの変更点: v3.2.1 でも対応手順は求められていましたが、v4.0 では手順に従った「記録・報告・是正」の一貫したプロセスが強調さ れています。これは、ISO27001:2022 に類似しています。 問題: (要件 12) 組織がサービスプロバイダに依存している場合、PCI DSS v4.0 で求められるのはどれですか? 選択肢: A)サービスプロバイダのセキュリティ対策を確認する必要はない B)サービスプロバイダとの契約書に、SP が責任を負う旨を盛り込む C)サービスプロバイダとの契約書に、SP が PCI DSS に準拠する旨を盛り込む D)サービスプロバイダとの解約後にレビュー実施する。 正解: B) サービスプロバイダとの契約書に、SP が責任を負う旨を盛り込む 解説: 要件 12.8.2 では、サービスプロバイダとの契約において、CDE のセキュリティに影響を与える可能性のある範囲につい て、SP が責任を負うという SP からの書面による同意を得る必要があるといっています。12.8.4 には、少なくとも年に一 度、サービス プロバイダの PCI DSS 準拠ステータスを監視するプログラムを維持するとありますが、それを契約に盛り 込む必要があるとはいっていません。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 12) インシデント発生時における連絡先情報の管理として、PCI DSS v4.0 で適切なものはどれですか? 選択肢: A) インシデントごとに一時的に連絡体制を組む B) 主要連絡先のリストは都度作成する C) 常に最新化されたインシデント連絡先一覧を保持する D) 特定の部署だけが情報を持てばよい 正解: C) 常に最新化されたインシデント連絡先一覧を保持する 解説: 12.10.1 にて、少なくとも、ペイメントブランドおよびアクワ イアラへの通知を含む、セキュリティインシデ ントが発生 J
- 48. 48 した場合の役割、責任、連絡および問い合わせ戦略を求めています。そのためには、最新の連絡先を記載しておくことが 重要です。情報が古いと、対応遅れや連携ミスが発生するためです。 v3.2.1 からの変更点: 「伝達と連絡に関する戦略」要件は、v3.2.1、v4.0 の両方にありますが、v3.2.1 には、 「個人の最新の連絡先を記載してお く」とは記載されていませんでした。 問題: (要件 12) PCI DSS v4.0 では、インシデント発生時にどのような組織的体制が求められているか? 選択肢: A) CISO が指揮をとる B) チーム体制は必須だが、その文書化はオプションである C) 定義された役割・責任に基づいた対応チーム体制を整備する D) セキュリティマネジャーが指揮をとる 正解: C) 定義された役割・責任に基づいた対応チーム体制を整備する 解説: 要件 12.10.1 では、インシデント対応の責任体制として、役割・担当者・報告手順を明確に定義し、文書化したチーム体 制の整備が求められています。インシデント時に即応できるよう、事前の準備が必須です。 v3.2.1 からの変更点: 以前からインシデント対応手順は求められていましたが、v4.0 では「体制の整備」そのものに焦点が当てられ、単独対応 や非文書化運用が不適切であることがより明確になりました。 問題: (要件 12) PCI DSS v4.0 において、情報セキュリティポリシーのレビュー頻度として適切なのはどれですか? 選択肢: A) 少なくとも 6 カ月に 1 回 B) 少なくとも 12 カ月に 1 回 C) 少なくとも 3 カ月に 1 回 D) 少なくとも 24 カ月に 1 回 正解: B) 少なくとも 12 カ月に 1 回 解説: J
- 49. 49 要件 12.1.2 では、情報セキュリティポリシーおよび関連手順のレビューは、最低でも 12 カ月ごと、または重大な環境変 更が発生した際に実施する必要があります。これにより、ポリシーが最新の脅威や事業環境に適応していることを保証し ます。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (要件 12) 加盟店のカード会員データ環境が TPSP(サーボパーティサービスプロバイダ)と共有されている場合、あるいは TPSP によってカード会員データに何らかの影響が及ぶ可能性がある場合、加盟店は次を実行する必要があります。 選択肢: A) TPSP を少なくとも 3 カ月ごとに訪問するプログラムを維持する。 B) TPSP との契約書および準拠状況を監視するためのプログラムを維持する。 C) TPSP がアクセスできるすべての PAN のリストを維持する。 D) TPSP の準拠に関する ROC のコピーを少なくとも 3 年間維持する。 正解: B) TPSP との契約書および準拠状況を監視するためのプログラムを維持する。 解説:要件 12.8.2 および 12.8.4 では、TPSP との関係において、契約書で責任を明確化し、TPSP が PCI DSS 準拠を継 続していることを確認するための定期的なレビューを実施することが求められます。 v3.2.1 からの変更点: 変更なし (v3.2.1 でも同様に規定されていました) しかしながら、 v3.2.1 には、 サードパーティサービスプロバイダ(TPSP) という用語がなく、v4.0 では、サービスプロバイダと TPSP の役割が明確化されました。 問題: (要件 12) TPSP(サードパーティサービスプロバイダ)に関する次の記述のうち、正しいものを選びなさい。 選択肢: A) TPSP は、支払いカードブランドメンバーでもある B) TPSP は PCISSC への準拠を認定する C) トランザクションペイメントゲートウェイは、TPSP とみなされない D) TPSP は、加盟店の場合もある 正解: D) TPSP は、加盟店の場合もある 解説: 要件 12.8 および 12.9 の適用対象となります。TPSP(サードパーティサービスプロバイダ)は、他の組織のために、カー ド会員データ(CHD)または PCI DSS 要件の実行に責任を持つサービス提供者です。ある組織が、自ら加盟店としてカ J
- 50. 50 ード決済を処理しながら、 他者にホスティングや決済代行などのサービスを提供している場合、 その組織は加盟店であり、 かつ TPSP でもあると見なされます(Amazon など)。PCI DSS 準拠が必要な責任を第三者として請け負うかどうかが、 TPSP と通常のサービスプロバイダの区別基準です。 v3.2.1 からの変更点: v3.2.1 では、TPSP の定義が曖昧でしたが、v4.0 では役割が明確化され、文書化および監視義務の適用範囲が強調される ようになりました。 付録 A1: マルチテナントサービスプロバイダ向けの PCI DSS 追加要件 問題: (付録 A1) マルチテナントサービスプロバイダが行う必要のあるものを選択しなさい。 選択肢: A) ホスト事業体に、重要なシステムバイナリにアクセスするための共有ユーザアカウントを提供する。 B) ホスト事業体が他の事業体の CDE にアクセスできないことを保証する。 C) ホスト事業体の監査ログファイルを全てのホスト事業体に利用可能にすることを保証する。 D) ホスト事業体にホスティングプロバイダーのシステム構成ファイルを提供する。 正解: B) ホスト事業体が他の事業体の CDE にアクセスできないことを保証する。 解説: 付録 A1 では、マルチテナント SP(クラウド事業者など)は、各ホスト事業体(テナント)の CDE が他のテナントから 適切に分離されていることを保証しなければなりません。アクセス制御、監査ログの分離、一意のアカウント管理などの 適切な制御が求められます。 v3.2.1 からの変更点: PCI DSS v3.2.1 では、 「マルチテナント」ではなく「共有サービスプロバイダ(shared service provider) 」という表現が 使われていました。この用語は、複数の顧客(事業体)がインフラやシステムを共有している場合の環境を指すもので、 クラウドサービスの基盤(IaaS)などを含んでいました。v4.0 では、より現代的なクラウド利用の実態に即して「マルチテ ナント」という用語が明文化され、テナント間の分離・アクセス制御・監査ログの独立性など、具体的な制御要件が「付 録 A1」として整理されました。 PCI DSS 準拠に関する有益な知識領域 問題:(有益な知識領域) PCI DSS の適用除外(N/A)を選択する場合、求められる対応として正しいのはどれですか? 選択肢: A) 前年度、N/A であれば自動的に今年度も適用除外される J
- 51. 51 B) 適用宣言書に N/A とした理由を盛り込む C) 正当な理由を文書化する D) すべての要件に適用できる 正解: C) 正当な理由を文書化する 解説: 適用除外(N/A)とする場合は、その理由と根拠を明確に文書化し、監査時に説明できるようにする必要があります。単に 未対応であることを示すだけでは不十分です。PCI DSS には、 「適用宣言書」はありません。これは、ISO27001:2022 の ことです。 v3.2.1 からの変更点: v4.0 では、適用除外の管理手続きがより厳格に定義され、N/A の乱用を防ぐ方向に明確化されています。 問題: (有益な知識領域) 内部関係者による不正行為の防止において、PCI DSS v4.0 で重視される制御はどれですか? 選択肢: A) 定期的な昇進評価の実施 B) 訪問者ログの管理 C) 職務の分離と監視の仕組み D) 情報共有の促進 正解: C) 職務の分離と監視の仕組み 解説: PCI DSS v4.0 の全体を通じたセキュリティ原則として、内部不正防止のための「職務の分離」 、 「アクセス制限」 、 「監査ロ グ監視」が明確に強調されています。 v3.2.1 からの変更点: 明文化は v4.0 で強化されており、内部関係者による脅威への対応策が、構成上の必須項目として取り上げられました。 問題: (有益な知識領域) PCI DSS 準拠を自組織が証明する際、次のうち適切な証明手段はどれですか? 選択肢: A) 顧客からの聞き取り結果 B) 担当者の自己申告 J
- 52. 52 C) AOC(準拠証明書)の提出 D) 自己評価質問票(SAQ)または ROC の提出 正解: C) AOC の提出 解説: 付録 G によると、 「AOC (PCI DSS コンプライアンスに関する証明書) 」は、コンプライアンスに関する自己問診または ROC(報告書)に記録されている通り、加盟店およびサ ービスプロバイダが PCI DSS 評価結果を証明するための準拠証明 書です。ROC には、組織内システムの詳細が記載されることがあるため、原則、外部には提出しないか、エグゼクティブ サマリーをマスキングしての提出となります。 v3.2.1 からの変更点: 構成上の変更はありませんが、v4.0 では SAQ、AOC、ROC の使用条件や対象の整理がより明確になりました。 問題: (有益な知識領域) SAQ(自己評価質問票)を使用して PCI DSS 準拠を示すことが認められているのはどのような組織ですか? 選択肢: A) 必ず ROC を提出する必要がある事業体 B) 必ず AOC を提出する必要がある事業体 C) 対象要件に応じて SAQ の形式が適用される小規模事業体やカード会員データを一切扱っていない加盟店 D) 複数のクレジットカードブランドを取り扱う、口座とクレジットカード一体型カードを発行する大手銀行 正解: C) 対象要件に応じて SAQ の形式が適用される小規模事業体やカード会員データを一切扱っていない加盟店 解説:SAQ は、カード会員データの処理方法や規模に応じて使用可能な自己評価ツールであり、小規模な加盟店やサービ スプロバイダが主に対象です。クレジットカード番号の取り扱いがないことを証明するために SAQ が利用されることも あります。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (有益な知識領域) ベンダーやサービスプロバイダから提供されるシステムについて、PCI DSS v4.0 で組織側に求められる対応はどれです か? 選択肢: A) 提供されたまま利用してよい B) 要件への準拠は提供側に完全委任してよい J
- 53. 53 C) ベンダーやサービスプロバイダ組織側の責任を明確にし、必要に応じて制御を補完する D) 要件確認は実施しない 正解: C) ベンダーやサービスプロバイダ組織側の責任を明確にし、必要に応じて制御を補完する 解説: v4.0 では、外部ベンダー要員やサブスクリプション方式のクラウドサービス利用時も、それらの利用に対して組織自身の PCI DSS 準拠責任は残ると明記されています。コントロールギャップの補完や文書化が求められます。 v3.2.1 からの変更点: 同様の考えはありましたが、v4.0 では組織の残留責任(residual responsibility)が強調されています。 問題: (有益な知識領域) QSA 会社が ROC テンプレートで「実装済み」を選択した場合、この要件に応じて含める必要のある情報を選びなさい。 選択肢: A) 要件を実装していないことにした事業体の理由 B) 事業体のシステム要件が要件に準拠していないことに関する QSA 会社の観察 C) 事業体のシステムが要件に準拠していることに関する QSA 会社の観察 D) 要件を実装するための事業体のプロジェクト計画の詳細 正解: C) 事業体のシステムが要件に準拠していることに関する QSA 会社の観察。 解説: ROC(Report on Compliance)テンプレートにおける「実装済み(In Place) 」の判断には、要件 12.10.1 および ROC 作 成ガイドラインに基づき、事業体が当該要件を満たしていることを示す観察・文書レビュー・インタビューの記録が求め られます。 「観察(Observation) 」とは、審査中に確認された証跡、設定、プロセス実行状況などを指します。 v3.2.1 からの変更点: 変更なし(v3.2.1 の ROC テンプレートでも「実装済み」とするには、同様の証拠と確認手順が必要でした) 問題: (有益な知識領域) 役割と責任について正しいものを選びなさい 選択肢: A) PCI SSC は、加盟店と TPSP の準拠期限を設定する責任を持つ B) ペイメントカードブランドは、SSF アプリケーション、および PTS 認証デバイスのリストを管理する責任がある C) TPSP は、顧客のコンプライアンスについて責任を持つ J
- 54. 54 D) アクワイアラーは、加盟店の準拠および検証を監視する責任を持つ 正解: D) アクワイアラーは、加盟店の準拠および検証を監視する責任を持つ 解説: PCI DSS の責任分担において、アクワイアラーは加盟店が PCI DSS に準拠していることを確認し、必要な報告(ROC、 SAQ など)を収集・監督する立場にあります。ペイメントカードブランドは各準拠プログラムの管理者であり、PCI SSC は基準の策定者です。TPSP(第三者サービスプロバイダ)は、自身の準拠責任を負いますが、顧客(加盟店など)の準拠 までは責任を負いません。ブランドではなく、PCI SSC が、SSF アプリケーション、および PTS 認証デバイスのリスト を管理する責任があります。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (有益な知識領域) 代替コントロール(Compensating Controls)に関する記述のうち、正しいものを選びなさい。 選択肢: A) 代替コントロールは、他のすべての PCI DSS 要件が実装されている場合は必要ない。 B) 代替コントロールは、PCI DSS v4.0 要件に従わないことに伴うリスクに対応している必要がある。 C) アクワイアラーが代替コントロールを承認する場合、自組織にて代替コントロールワークシートを作成する必要はな い。 D) 既存の PCI DSS 要件が既に正しく実装されている場合においても代替コントロールワークシートを作成する必要が ある。 正解: B) 代替コントロールは、PCI DSS v4.0 要件に従わないことに伴うリスクに対応している必要がある。 解説: PCI DSS v4.0 において、代替コントロールは、特定の要件を直接満たすことが不可能な場合に、その要件と同等以上のセ キュリティレベルを提供し、要件に従わないことによって発生するリスクを軽減する目的で導入されます。代替コントロ ール(補完的管理策ともいう)の考え方は、クレジットカード業界に限らず、全ての業界にて適用できます。 v3.2.1 からの変更点: 変更はありません。 問題: (有益な知識領域) 加盟店のトランザクションボリュームを決定するのは、次のうちどの事業体ですか? J
- 55. 55 選択肢: A) アクワイアラー B) PCI SSC C) ISA D)ブランド 正解: A) アクワイアラー 解説: トランザクションボリュームとは、 加盟店が処理するクレジットカード取引の件数を指します。 これは PCI DSS における 準拠レベル(レベル 1〜4)を判断する基準となり、アクワイアラー(加盟店契約会社)が把握し、評価します。PCI SSC は基準の策定組織であり、取引件数そのものの判断や管理は行いません。 v3.2.1 からの変更点: 変更はありません。トランザクションボリュームの定義と、その決定主体については、v3.2.1 と同様にアクワイアラーが 責任を持つことが記載されています。 問題: (有益な知識領域) 加盟店およびサービスプロバイダのレベルは、次のうちどの主体によって定義されますか? 選択肢: A) アクワイアラー B) ペイメントカードブランド C) PCI セキュリティ基準協議会(PCI SSC) D) 加盟店およびサービスプロバイダ 正解: B) ペイメントカードブランド 解説: サービスプロバイダのレベル(例:レベル 1〜4)は、年間 30 万件以上・以下のトランザクション件数等に基づき、各ペ イメントカードブランド(例:Visa、Mastercard、JCB など)が独自に定義しています。加盟店のレベルは以下の通りで す。これらのレベルは、準拠方法(ROC 提出、SAQ 使用など)に影響を与えます。 加盟店のレベル分類: レベル 1: 年間 600 万件以上の Visa 取引を処理する加盟店。 レベル 2: 年間 100 万件以上 600 万件未満の Visa 取引を処理する加盟店。 J
- 56. 56 レベル 3: 年間 2 万件以上 100 万件未満の Visa 電子商取引(e コマース)取引を処理する加盟店。 レベル 4: 年間 2 万件未満の Visa 電子商取引取引、または年間 100 万件未満の全取引を処理する加盟店。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (有益な知識領域) PCI DSS v4.0 の審査において、アプリケーションの審査対象サンプルサイズが最も大きくなるシナリオとして、正しい ものを選びなさい。 選択肢: A) アプリケーション開発が可変ビルド手順に従っており、 かつ、 アプリケーションの一元化されていない配置に従ってい る B) アプリケーション開発が標準ビルド手順とアプリケーションの均一な配置に従っている C) SSF によって承認されていないアプリケーション D) SSF によって承認されたアプリケーション 正解: A) アプリケーション開発が可変ビルド手順に従っており、 かつ、 アプリケーションの一元化されていない配置に従ってい る 解説: 審査対象のアプリケーションが複数ある場合、PCI DSS 審査では代表的なサンプルを選出して検証することが一般的で す。QSA は、その構成、導入手順、配置の均一性に基づき、サンプルサイズを調整します。要件 6.4 や審査ガイドライン では、可変的なビルドや非一元的な展開環境は、構成が複雑であると見なされ、代表性を担保するためにより多くのサン プルが必要になるとされています。 v3.2.1 からの変更点: v3.2.1 でも代表サンプリングは認められていましたが、v4.0 では開発手順や展開方法の一貫性がサンプルサイズに影響す ることがより具体的に明文化されました。 問題: (有益な知識領域) PCI DSS 審査で使用できるサンプルのタイプは、次のうちどれですか? 選択肢: A) 代替コントロールのサンプル B) PCI DSS Ver.4.0 要件とテスト手順のサンプル C) ビジネス設備とシステムコンポーネントのサンプル D) セキュリティのポリシーおよび手順のサンプル J
- 57. 57 正解: C) ビジネス設備とシステムコンポーネントのサンプル 解説: PCI DSS の審査においては、評価対象が広範囲になるため、QSA はサンプル方式を用いて特定のビジネス設備やシステ ムコンポーネントを選出し、詳細な評価を行います。これにより、実用的かつ効率的な審査が可能となります。選択肢 A・ B・D は、審査の参考資料や補足資料であり、対象のサンプルとは異なります。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (有益な知識領域) PCI DSS 評価の範囲を縮小させる最も効果的な方法として、正しいものを選びなさい。 選択肢: A) カード会員データを保存しない B) カード会員データを暗号化する C) カード会員データをマスキングする D) カード会員データをデータベースに保存する 正解: A) カード会員データを保存しない 解説: PCI DSS v4.0 要件 3.1 では、カード会員データ(CHD)の保存を最小限に抑えることが明確に求められています。 評価範囲 (スコープ) は、 CHD が保存・処理・送信される場所およびそれに接続されるシステムに対して適用されるため、 CHD を一切保存しない構成とすることで、対象となる環境を大幅に縮小することができます。カード会員データを、要配 慮個人情報含む個人情報や企業秘密と置き換えると、PCI DSS v4.0 を汎用的に、他業種に利用可能です。なるべく保持し ないことが重要です。暗号化やマスキングはデータの保護手段ですが、処理、通過、保存をしている限りスコープに含ま れます。したがって、A が最も効果的な選択肢です。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (有益な知識領域) アクワイアラーの責任を選びなさい。 選択肢: A) 加盟店がカードブランドのコンプライアンスプログラムを順守しないことが原因で発生した結果について法的責任を 負う B) 各カードブランド・コンプライアンス・プログラムの罰金と法的責任を決定する J
- 58. 58 C) 加盟店準拠ステータスを PCI SSC に提供する D) 準拠した加盟店とサービスプロバイダのリストを維持する 正解: D) 準拠した加盟店とサービスプロバイダのリストを維持する 解説: アクワイアラーは、 加盟店のカード決済取引を処理する金融機関や事業体であり、 加盟店が PCI DSS に準拠していること を確認・管理する責任を負っています。このため、準拠している加盟店およびサービスプロバイダのリストを維持し、監 督することは、アクワイアラーの基本的な役割です。B)罰金や責任の決定権限はカードブランドにあります。 v3.2.1 からの変更点: 変更はありません。アクワイアラーの役割と責任は v3.2.1 でも同様に定義されていました。 問題: (有益な知識領域) 代替コントロールに関する次の記述のうち、正しいものを選びなさい。 選択肢: A) 前年の審査で使用された代替コントロールのうち現在でも使用中の代替コントロールは、今年の審査で評価する必要 はない B) ROC の各代替コントロールについて、個別の代替コントロールワークシートを完成する必要がない C) 代替コントロールは 1 年間有効である D) 使用する各代替コントロールについて、個別の代替コントロールワークシートを完成する必要がある 正解: D) 使用する各代替コントロールについて、個別の代替コントロールワークシートを完成する必要がある 解説: PCI DSS 付録 B では、標準要件を満たすことが困難な場合に、代替コントロール(Compensating Control)を使用する ことが認められています。ただし、その使用には条件があり、個別の「代替コントロールワークシート(CCW) 」を用い て、詳細に文書化することが義務付けられています。この文書には、コントロールの目的、実装方法、リスク分析、検証 結果などが含まれ、毎年の審査で評価し直す必要があります。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (有益な知識領域) PCI DSS v4.0 において、ビジネス設備のサンプルを評価する際に、QSA(Qualified Security Assessor)が検証する必要 がある事項として正しいものはどれですか? J
- 59. 59 選択肢: A) サンプルに含まれる設備数が合計設備数の最低 10% であること B) サンプルが設備のすべての種類と場所を適切に表していること C) カード会員データが保存されているすべての設備がサンプルに含まれていること D) すべての審査で評価される一貫した設備サンプルに含まれること 正解: B) サンプルが設備のすべての種類と場所を適切に表していること 解説: PCI DSS 審査において、対象設備が多数にわたる場合、QSA は代表的な設備をサンプルとして選出して評価します。そ の際には、設備の種類、構成、地理的分布、用途などを適切に反映した代表性のあるサンプルでなければなりません。単 に数量や場所だけで選定するのではなく、審査の妥当性を担保するために、サンプルの選定基準は文書化・正当化される 必要があります。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (有益な知識領域) 支払いプロセスの「決済(settlement) 」段階で生じるアクティビティとして、正しいものを選びなさい。 選択肢: A) 加盟店がアクワイアラー、およびイシュアーと購入情報を交換する B) 加盟店が、アクワイアラーからトランザクションの支払いを受け取る C) 加盟店とイシュアーが購入情報を交換する D) アクワイアラーがカード会員にトランザクションの請求を行う 正解: B) 加盟店が、アクワイアラーからトランザクションの支払いを受け取る 解説: クレジットカードの支払いプロセスは大きく分けて次の 4 つの段階で構成されています: 1. 認証(authentication) :カードが有効かどうかの確認 2. 承認(authorization) :取引の承認可否の確認 3. 清算(clearing) :トランザクションデータの処理と確認 4. 決済(settlement) :加盟店への実際の資金移動 「決済」 段階はこの中の最後のステップであり、 アクワイアラーが加盟店に対して売上金を支払うタイミングを指します。 カード会員からの請求処理はイシュアーの役割です。 J
- 60. 60 • カード会員: 支払い手段を提供する利用者 • 加盟店: 商品やサービスを提供し、売上代金を回収する主体 • アクワイアラー: 加盟店の決済処理を管理し、売上を立て替える金融機関 • イシュアー: カードを発行し、カード会員に請求する金融機関 v3.2.1 からの変更点: 基本方針は変わりません。 問題:(有益な知識領域) ペイメントカードブランドが“クローズドネットワーク (クローズドループ) ”にあるとみなされるのは、 次のうちどの場合 ですか? 選択肢: A) カードを直接発行せず、トランザクションも直接取得しない。 B) カードを直接発行し、トランザクションも直接取得する。 C) 別の機関を通じてカードを間接的に発行するが、トランザクションは直接取得する。 D) カードを直接発行するが、トランザクションは別の機関を通して間接的に取得する。 正解: B) カードを直接発行し、トランザクションも直接取得する。 解説: PCI DSS では、カードの発行とトランザクション処理の全体を自社内で完結する仕組みを「クローズドループ(閉鎖型) ネットワーク」とみなし、場合によっては PCI DSS の適用除外とされることがあります。選択肢 B は、発行・処理のい ずれも外部ブランドに依存せず自社で完結しているため、最も典型的なクローズドネットワークの構成です。 A, C, D のように、発行または処理のいずれかを外部に依存している場合は、PCI DSS の適用対象となる可能性がありま す。なお、適用除外に該当する場合でも、PCI DSS 準拠を希望すれば、自主的に準拠することは可能です。これは、顧客 やビジネスパートナーからの信頼確保や、将来的な連携を見据えた取り組みとして有効です。PCI DSS の適用可否は、実 際のネットワーク構成・運用体制・データの流れに基づき、QSA やカードブランドとの確認により判断されます。 v3.2.1 からの変更点: 基本方針は変わりません。 問題: (有益な知識領域) PCI Secure Software Standard(SSF)が適用される支払いアプリのタイプを選択しなさい。 選択肢: A) SaaS として有料で提供される決済アプリケーション J
- 61. 61 B)オフザシェルフ決済アプリケーション C) 事業体が社内で開発し、独自に運用する決済アプリケーション D) 顧客ごとに個別にカスタマイズされ、1 社専用に設計されたアプリケーション 正解: B)オフザシェルフ決済アプリケーション 解説:組織が使用する商業用の決済アプリケーションについて、PCI Secure Software Standard(SSF)など、PCI SSC が承認したフレームワークに準拠していることを確認することが求められています。SSF は、旧 PA-DSS の後継として導 入された基準であり、複数の顧客に商業的に提供される「オフザシェルフ型」決済アプリケーションが適用対象です。一 方、SaaS 型、社内開発、1 社専用カスタムアプリなどは、SSF ではなく PCI DSS の要件に基づく管理対象となります。 v3.2.1 からの変更点: v3.2.1、v4.0 スタンダードに記載はありませんが、基本方針は変わりません。以前は、PA-DSS が適用されていましたが、 SSF へ移行しました。 問題: (有益な知識領域) SSF(Secure Software Framework)によって承認された決済アプリケーションの使用に関する次の記述のうち、正しい ものを選びなさい。 選択肢: A) SSF によって承認されたアプリケーションの使用は、P2PE ソリューションで必要である B) SSF は、加盟店の CDE にあるすべてのアプリケーションに適用される C) SSF によって承認されたアプリケーションは、加盟店の PCI DSS 審査の範囲である D) SSF によって承認されたアプリケーションの使用は、PCI DSS 準拠に必要である 正解: C) SSF によって承認されたアプリケーションは、加盟店の PCI DSS 審査の範囲である 解説: 要件 6.2.3 では、事業体が商業販売されている決済アプリケーションを使用する場合、それが PCI SSC の承認基準(SSF など)に準拠しているかどうかを確認することが求められています。SSF で承認されたアプリケーションを使用している 場合、それは PCI DSS の審査範囲に含まれますが、SSF 認証の有無が PCI DSS 準拠の必須条件というわけではありませ ん。 v3.2.1 からの変更点: v3.2.1、v4.0 スタンダードに記載はありませんが、基本方針は変わりません。以前は、PA-DSS が適用されていましたが、 SSF 準拠へ移行しました。 J
- 62. 62 ISO27001:2022、PCI DSSv3.2.1、CISM テキストを参考にし、自組織のセキュリティ規程類作成にあたり、ご質問があ る場合は、ウェブサイトの質問フォームより問い合わせください。 記述は全て個人で作成したものですので、誤りもあるかと存じます。ご了承ください。 これにて理解度テスト、PCI DSS v4.0 のポイント、自組織のセキュリティスタンダード作成の手引きは全て終了となりま す。 J