Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > PCIコンプライアンス > PCI DSSコンプライアンスに不可欠な9つの要件
Blog Banner - 9 PCI DSS Requirements Critical for Compliance

PCI DSSコンプライアンスに不可欠な9つの要件

by Robert Dougherty updated 1月 16, 2025 PCIコンプライアンス
Reading Time: < 1 minutes

機密データの保護はこれまで以上に重要になっています。サイバー攻撃の頻度と巧妙さが増す中、企業は顧客のデータを保護するために積極的な対策を講じる必要があります。これには、個人識別情報や保護対象保健情報(PII/PHI)だけでなく、クレジットカードやカード保有者データも含まれます。

データ保護において最も信頼され、広く認識されている規格の一つが、Payment Card Industry Data Security Standard(PCI DSS)です。PCI DSS 4.0は、クレジットカードやデビットカードを支払いとして受け入れるすべての組織が、データ保護を優先し、そのデータが露出するリスクを軽減する方法でこの支払いデータを処理、保存、共有することを義務付けています。このブログ記事では、企業が機密のカード保有者データを保護するために従うべきPCI DSSコンプライアンスの9つの重要な要件について説明します。

PCI DSSコンプライアンス要件の理解

PCIコンプライアンスとは、企業が顧客の支払いカードデータを保護するために従わなければならない一連の基準を指します。PCI DSSは、Visa、Mastercard、American Expressなどの主要なクレジットカード会社によって開発され、企業が支払いカードデータを安全に取り扱うことを保証します。PCI DSSコンプライアンスの目的は、データ侵害を防ぎ、サイバー犯罪者から機密情報を保護することです。

PCIコンプライアンスは、支払いカードデータを扱うすべての企業に関連しています。年間に数件の取引しか処理しない企業であっても、PCIに準拠する必要があります。これらの規制に従わない場合、巨額の罰金、評判の損失、法的問題が発生する可能性があります。

さらに、eコマースの急速な成長に伴い、PCIコンプライアンスの重要性は大幅に増加しています。2022年には、米国だけでオンライン販売が1兆ドルに達し、今後数年で急速に増加すると予測されています。オンライン取引が増えることで、データ侵害のリスクが高まり、企業がPCI DSS規制に準拠することが重要になります。

以下は、顧客の機密データを適切に保護するために必要なPCI DSSコンプライアンスの9つの重要な要件です:

PCI DSS要件 #1: セキュアなネットワーク

セキュアなネットワークを構築し維持することは、機密データを不正アクセスや潜在的な侵害から守るために不可欠です。企業は、不正アクセスからシステムを保護するために、堅牢なファイアウォール構成を確立し維持する必要があります。これには、受信および送信トラフィックのルールを定義し、信頼できないネットワーク間の接続を制限し、システムコンポーネントを保護することが含まれます。

さらに、企業はパスワードと認証方法を保護する必要があります。これには、デフォルトのパスワードを変更し、異なるユーザーに対してユニークなパスワードを確保し、リモートアクセスには多要素認証(MFA)を実装することが含まれます。セキュリティプロトコルを定期的に更新し、最新の脅威や脆弱性に対応することも、ネットワークを安全で攻撃に対して侵入不可能に保つために不可欠です。

PCI DSS要件 #2: カード保有者データの保護

カード保有者データを保護する目的は、機密情報が不正な個人に露出しないようにし、データ侵害のリスクと、サイバー犯罪者が誰かのカード保有者データを取得した際に発生する詐欺を減少させることです。したがって、企業はカード保有者データへのアクセスを制限し、許可された人員のみが機密情報を取り扱えるようにする必要があります。これは、アクセス制御メカニズムや適切な識別と認証方法を通じて実現できます。

カード保有者データを保護するもう一つの重要な側面は、暗号化の使用です。データの転送中および保存中の暗号化は、データが送信および保存中に読み取れないようにし、不正アクセスを防ぎます。企業は、AES暗号化のような強力な暗号化アルゴリズムと安全な鍵管理の実践を採用してデータを安全に保つ必要があります。さらに、データを物理的および電子的に安全に保存することは、データ侵害や企業およびその顧客への潜在的な損害を防ぐために不可欠です。

PCI DSS要件 #3: 脆弱性管理プログラム

脆弱性管理プログラムを維持することは、システムを潜在的な脅威から継続的に保護するために、セキュリティ問題を特定し対処することを目的としています。脆弱性を定期的にスキャンし、パッチ管理システムを維持し、発見された脆弱性を修正することは、この要件の重要な要素です。

企業は、脆弱性を特定し分類するプロセスを持ち、修正努力を優先し、発見を解決するまで追跡する必要があります。さらに、企業は定期的にリスク評価を実施し、脆弱性の潜在的な影響を理解し、リスクを軽減するための適切な対策が講じられていることを確認する必要があります。脆弱性に関する情報を関連する利害関係者と共有し、従業員に潜在的な脅威について教育することも、堅牢な脆弱性管理プログラムを維持するために重要です。

PCI DSS要件 #4: 強力なアクセス制御措置

強力なアクセス制御措置を実施することで、許可された人員のみが機密データにアクセスできるようにし、データ侵害や不正アクセスの可能性を減少させます。これには、ユーザー認証、アクセス制御リスト、役割ベースのアクセス制御(RBAC)などのメカニズムを実装し、ユーザーが職務に必要なデータにのみアクセスできるようにすることが含まれます。

機密情報への物理的アクセスを制限することも、この要件の重要な側面です。これには、ロック、アクセスカード、カメラを実装してデータ保存エリアへのアクセスを監視することが含まれます。さらに、企業は強力なパスワードポリシーを策定し、ユーザーがユニークで安全なパスワードを作成し、定期的に変更し、多要素認証を使用してセキュリティをさらに強化することを確保する必要があります。

PCI DSS要件 #5: ネットワークの定期的な監視とテスト

定期的かつ継続的な監視は、企業が潜在的な脅威や脆弱性を検出し、重大な結果を招く前に問題に対処できるようにするために役立ちます。企業は、侵入検知および防止システム(IDS)および侵入防止システム(IPS)を実装し、ネットワークへの不正アクセスを特定し防止する必要があります。潜在的な脅威を監視するためにセキュリティ専門家を指定することも重要です。

定期的なペネトレーションテストの実施は、この要件のもう一つの重要な要素です。これらのテストは、企業がシステムの弱点を特定し、実際の攻撃シナリオをシミュレートし、セキュリティ対策の効果を評価するのに役立ちます。企業は、内部および外部のペネトレーションテストを実施し、脆弱性を特定し、修正努力を優先して、ネットワークが安全で侵害されていないことを確認する必要があります。

PCI DSS要件 #6: 情報セキュリティポリシー

包括的で最新のセキュリティポリシーは、堅牢なセキュリティプログラムの基盤として機能し、企業が機密データを保護するためのベストプラクティスに従うことを保証します。企業は、セキュリティポリシーと手順を文書化し、定期的にレビューして更新し、すべての従業員が理解し遵守することを確認する必要があります。このポリシーは、パスワード管理、メールセキュリティ、インシデント対応など、セキュリティのさまざまな側面をカバーする必要があります。

さらに、企業は、潜在的なリスクと脆弱性を特定し、その影響と可能性を評価し、適切な対策を講じるための正式なセキュリティリスク評価プロセスを確立する必要があります。従業員向けの定期的なセキュリティ意識向上トレーニングプログラムも、セキュリティの重要性と機密情報を保護する上での役割を理解させるために重要です。

PCI DSS要件 #7: マルウェアやその他の悪意のある脅威に対する保護

マルウェア攻撃やその他の悪意のある脅威からシステムを保護することは、PCI DSSコンプライアンスの次の要件です。堅牢なアンチウイルス(AV)および高度な脅威対策(ATP)ソフトウェアを実装し、従業員に脅威の認識と防止方法を教育し、マルウェアを定期的にスキャンすることは、この要件の重要な要素です。企業は、システムが最新のマルウェア定義で更新され、脅威を迅速に検出し対応できるようにするプロセスを持つ必要があります。

従業員のトレーニングと意識向上プログラムも、マルウェア感染を防ぐ上で重要な役割を果たします。企業は、フィッシングメールなどの一般的な脅威について従業員を教育し、潜在的なセキュリティインシデントを認識し報告する方法を教える必要があります。これにより、サイバー意識文化が形成され、機密データを保護する上での全員の役割の重要性が強調されます。

PCI DSS要件 #8: カード保有者データを保護するための暗号化

カード保有者データを保護するための暗号化の実施は、正しい復号鍵を持たない者に対して機密情報を読み取れないようにするための重要なセキュリティ対策です。企業は、暗号化が必要な支払いチャネルを特定し、例えばPOS端末、eコマースウェブサイト、モバイル支払いアプリケーションなどで、データの送信および保存中に保護するための強力な暗号化方法を実装する必要があります。

安全な暗号鍵管理も、この要件の重要な側面です。企業は、暗号鍵を安全に生成、保存、廃棄するプロセスを実装し、許可された人員のみがアクセスできるようにする必要があります。これにより、暗号化されたカード保有者データへの不正アクセスを防ぎ、セキュリティ侵害のリスクを軽減します。

PCI DSS要件 #9: カード保有者データへのアクセス制限

機密情報にアクセスできる個人の数を制限することで、企業は不正アクセスやデータ侵害のリスクを減少させることができます。アクセス制御を実装することで、役割ベースのアクセス制御やユーザー認証メカニズムを使用し、許可された人員のみがカード保有者データを閲覧し取り扱えるようにします。

アクセス制御を定期的にレビューし、ユーザーの活動を追跡することで、企業は潜在的なセキュリティギャップを特定し、疑わしい行動を監視することができます。元従業員やカード保有者データへのアクセスが不要になったユーザーなど、非アクティブなユーザーのアクセスを無効にすることも、不正アクセスや潜在的なデータ侵害を防ぐための重要な対策です。

KiteworksはPCI DSSコンプライアンスのために機密カード保有者データを保護します

Kiteworksのプライベートコンテンツネットワークは、FIPS 140-2レベルで検証されたセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTPマネージドファイル転送、および次世代デジタル著作権管理ソリューションを統合し、組織がファイルを管理し、保護し、追跡することを可能にします。

Kiteworksプラットフォームは、PCI DSS 4.0を含むさまざまなコンプライアンス基準や規制を満たすために、組織によって使用されています。

FIPS 140-2認証の暗号化は、Kiteworksプラットフォームのセキュリティを強化し、支払いカード情報のような機密データを扱う組織に適しています。さらに、エンドユーザーと管理者の活動はログに記録され、アクセス可能であり、ネットワークリソースとカード保有者データへのすべてのアクセスを追跡および監視することを要求するPCI DSS 4.0コンプライアンスにとって重要です。

Kiteworksは、フォルダーの所有者が指定した権限に基づいてすべてのフォルダーに異なるレベルのアクセスを提供します。この機能は、PCI DSS 4.0の重要な要件である強力なアクセス制御措置の実施に役立ちます。

Kiteworksの展開オプションには、オンプレミス、ホスト型、プライベート、ハイブリッド、およびFedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用すると、機密コンテンツへのアクセスを制御し、自動エンドツーエンド暗号化、多要素認証、およびセキュリティインフラストラクチャ統合を使用して外部に共有される際に保護し、すべてのファイル活動を確認、追跡、報告します。具体的には、誰が何を誰に、いつ、どのように送信するかを把握します。最後に、GDPR、HIPAA、CMMC、Cyber Essentials Plus、IRAPなどの規制や基準に準拠していることを証明します。

PCI DSS 4.0コンプライアンスのためのKiteworksについて詳しく知りたい方は、カスタムデモをスケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks