ソフトウェアセキュリティの基準

2019年の1月に、新しいソフトウェアセキュリティ基準が2つリリースされました。これらはPCIフレームワークを構成している基準群としての位置づけとなっていて、フレームワークはこれらの基準だけではなく、ソフトウェアや審査員の登録や認定をするプログラムなどで構成されています。かつてのPCI決済アプリケーションセキュリティ基準であった、PA-DSSの後継となる存在のフレームワークについて、解説していきます。

PA-DSSは、決済アプリケーションデータセキュリティ基準の英語表記の頭文字をとったものです。ライセンスやパッケージなどの形式で販売されたり配布したりしているPOSなどといった決済アプリケーションを、PCIDSS審査において評価することが可能にするために用いられる基準として決められました。

例えばPCIDSSの領域の中にPOSがある場合はPCIDSS審査で、そのPOSアプリを評価しようとしたときに開発ベンダーでないと理解出来ない開発ポリシーやレビュー記録、プロセス文書などといった色々な情報が必要になります。一般的には、そういった詳細な情報をPOSベンダーに対して開示してもらうことは困難でPOSアプリはQSAや加盟店から見るとブラックボックスになる訳です。

このようなときに、POSアプリについてのPA-DSS認定をPOSベンダーが取得していると、PCIDSS審査ではPA-DSS認定により開発プロセスやアプリ自体などの評価は満たしているものと見なされます。ですのでQSAは、PCIが示す要件を満たして運用しているかや環境の中でアプリケーションが適切に設定され導入されているかといったことに関して評価をすることによって、ブラックボックス化しているのPOSアプリが存在する環境であってもPCIDSS審査を行うことが可能です。

2008年にPA-DSSは策定されてましたが、PCIDSSによる環境に採用されるPOSのように昔からある決済アプリケーションだけを対象に策定されているので、適用される範囲が限られています。中でもモバイルアプリやSaaSに適用することが出来ないので、こういったアプリにも適用することが可能なソフトウェアセキュリティ基準に改訂されることが望まれていました。こういった事情を配慮して、より一層広いソフトウェアの範囲に適用することが可能なものとして新しく策定されたのがソフトウェアセキュリティフレームワークです。