Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > PCIコンプライアンス > SFTPをPCIコンプライアンスに適合させる方法
Blog Banner - How to Ensure Your SFTP Is PCI Compliant

SFTPをPCIコンプライアンスに適合させる方法

by Danielle Barbour updated 1月 16, 2025 PCIコンプライアンス
Reading Time: < 1 minutes

現在、FTPやレガシーなSFTPソリューションを使用してファイルを転送し、クレジットカードやデビットカードの支払いを受け付けている場合、PCIコンプライアンスリスクを回避するために切り替えを検討することをお勧めします。FTPソリューションがPCIコンプライアンスを満たす可能性は非常に低く、SFTPソリューションは、クレジットカードデータを保護するための特定のプロトコルが実装されている限り、PCI DSSの要件を満たすことができます。このブログ記事では、PCIコンプライアンス、SFTPソリューションのコンプライアンス要件、および組織がPCIコンプライアンスを維持するために必要な「必須」機能について探ります。

PCIコンプライアンスの概要:その重要性

PCI DSSは、支払い処理とクレジットカードおよびデビットカード情報の取り扱いに関するコンプライアンスフレームワークです。支払いカード業界セキュリティ基準評議会によって開発および維持されているPCIは、小売業者や商人が支払い手段としてクレジットカードを処理するために遵守しなければならない物理的、管理的、技術的な保護策を概説しています。

HIPAAやFedRAMPのような一部のコンプライアンス規制は、特定の業界に対して法律で義務付けられています。しかし、PCIは法律の裏付けがありません。代わりに、クレジットカードネットワークが自己立法で紛争やコンプライアンスを管理し、罰金や支払い処理能力の取り消しなどのペナルティを課しています。

フレームワークの中心的な焦点は、支払い中に顧客データが盗難や開示から保護されることを保証することです。プライベートな顧客データには、以下のような項目が含まれます:

  • 顧客の名前、電話番号、住所
  • クレジットカード番号、有効期限、CVC確認コード
  • PIN、認証コード、磁気ストライプやEMVチップに含まれる情報

これを念頭に置いて、フレームワークは、ユーザーデータを適切に処理するために組織が備えておくべき12の主要な要件を定義しています。これらすべてがすべての技術に適用されるわけではありませんが、ファイルの保存と転送に関しては、いくつかの重要なものがあります。これには以下が含まれます:

  • 保存されたカードホルダーデータの保護
  • 公共ネットワーク上でのデータ伝送の暗号化
  • ネットワークおよびデータリソースへのすべてのアクセスの追跡と監視
  • 安全なアプリケーションの開発と維持

過去数十年で、ますます複雑な技術とショッピングストアフロントが、人々の購買方法を変えました。かつてはPOSマシン、カードスキャナー、オンプレミスサーバーに焦点を当てることができたこの種の技術が、今では消費者がオンラインで買い物をし、サブスクリプションサービスを購入し、モバイルデバイスを使用しています。

そのため、カードネットワークは、オンラインポータルやモバイルデバイスを通じて支払いを処理するためのセキュリティコントロールを定義しています(指紋スキャンや顔認識などの組み込みバイオメトリクスを活用した多要素認証を含む)。これにより、顧客データはさまざまな方法で保存、伝送、利用され、ビジネス目的にも使用されます。

PCIコンプライアントなファイル転送がカードホルダーデータを保護する方法

PCI DSSコンプライアンスは、組織がカードホルダーデータを保護するために特定のセキュリティ手順を実施することを要求することで、ファイル転送を保護します。これらの手順には、オープンな公共ネットワークを介したカードホルダーデータの伝送の暗号化、ファイアウォールを使用したカードホルダーデータの保護、ネットワークの定期的な監視とテスト、カードホルダーデータへの不正アクセスを防ぐためのアクセス制御の実施、ネットワークの定期的な評価による脆弱性の特定と対処が含まれます。標準に準拠する組織は、すべてのサービスプロバイダー、ベンダー、および第三者エージェントが準拠していることを確認する必要もあります。これらの手順を実施することで、組織はカードホルダーデータと顧客のデータをより良く保護することができます。

PCI DSSに対するファイル転送のセキュリティ要件

セキュアなファイル転送は、PCI DSSの要件に従う必要があります。要件には、PCI準拠の暗号化、セキュアな認証方法、セキュアなネットワーク接続、アクセスの監査と追跡の能力、データにアクセスする必要があるユーザーにのみアクセスを制限する能力が含まれます。SFTPやマネージドファイル転送(MFT)のようなPCI DSS準拠のファイル転送は、データが安全に保存され、データの整合性が維持されていることを示す必要があります。最後に、データが不要になったときに削除する能力もシステムの不可欠な部分であるべきです。

SFTPとFTPSの違い

一部のソリューションでは、暗号化パッケージの一部としてSFTPとFTPSの両方を宣伝しているかもしれません。どちらもセキュアなFTPプロトコルとして説明されていますが、これらの技術にはいくつかの類似点がある一方で、いくつかの重要な違いもあります:

  • FTPSは、セキュアソケットレイヤー(SSL)技術を追加したFTPです。これは、基本的にセキュアな接続(SSL)を介してFTPを使用していることを意味し、複数の個別のソケット接続や必要なパスワードと証明書を含むすべてを含みます。また、FTPSは独自にカスタマイズされたファイアウォールと相性が悪い場合があります。
  • SFTPは、暗号化のためにセキュアシェル(SSH)技術を使用します。これは、SFTPが単にセキュリティを追加したFTPではなく、FTPとは完全に別のセキュアなファイル転送方法であることを意味します。これには、単一の接続を介してデータを転送する能力が含まれ、ファイアウォールを含む複雑なセキュリティシステムとの統合と採用が簡単になります。

これらのプロトコルのどちらも、セキュアでコンプライアントなシステムの一部として使用できます。しかし、複数のセキュリティニーズとコンプライアンス要件を扱う場合、SFTPはアプリケーションをセキュアにし、システムに統合する方法を簡素化できます。

PCIコンプライアントなファイル転送をPCIスコープに組み込む方法

PCIスコープは、支払いカード業界データセキュリティ標準(PCI DSS)が適用される組織の範囲と領域を説明するために使用される用語です。PCIスコープは、カードホルダーデータを保存、処理、または伝送するシステムコンポーネントの数、種類、および場所によって決定されます。システムコンポーネントの例には、サーバー、エンドポイント、ファイアウォール、データベースが含まれます。PCI DSSのスコープ内にあるすべてのシステムコンポーネントは、標準の要件に従う必要があります。

組織がPCIスコープを特定したら、コンプライアンスをどのように示すかを計画できます。例として、暗号化やトークン化などのデータセキュリティ対策の実施、定期的な脆弱性スキャンの実施、アクセス制御対策の確立による許可された人員のみにアクセスを制限することが挙げられます。また、システムログを監査し、PCI DSSのスコープ内のすべてのシステムコンポーネントの可視性を提供するために最新のネットワーク図を維持する必要があります。さらに、組織はセキュリティポリシーと手順に関するスタッフのトレーニングを提供し、インシデント対応計画を定期的にテストする必要があります。

PCIコンプライアンスとSFTPセキュリティ

ビジネスが顧客データを内部で使用する場合でも、支払い処理のルールと規制に従わなければなりません。そして、通常、ビジネスはPCI準拠のファイル共有ソリューションとしてSFTPを使用します。

幸いなことに、SFTPは必要なコントロールを提供するため、PCI準拠のソリューションの一部となることができます:

  • 暗号化: 顧客データはサーバー内および伝送中に暗号化されなければなりません。SFTPはこのレベルの暗号化を提供します(適切な設定で)。SSHを使用することで、適切に設定されたSFTPサーバーは顧客データを保護できます。
  • サーバーデータのログと監査: PCIコンプライアンスの一部は、データと監査ログを持つことです。PCIの要件によれば、データアクセスを監視する必要があります。これには、監査ポリシーを持ち、侵害が発生した場合に監査ログを追跡する方法が含まれます。
  • データへのアクセスの制限: 組織内のすべての人がカードホルダーデータにアクセスする必要はありません。規制は、必要なデータに基づいてユーザーアカウントを制限する方法を持つことを求めています。
  • マシン間の接続の標準化: カードネットワークは、データが移動または保存される場所にこれらの保護策(およびその他)をすべて備えていることを期待しています。SFTPは、POSマシン、カードスキャナー、サーバー、ワークステーション間で動作する、使いやすく設定しやすい技術です。

PCI非準拠のペナルティは何ですか?

PCI DSSは連邦政府によって義務付けられたフレームワークではないため、他のコンプライアンス規制のような極端なペナルティに直面することはありません。しかし、非準拠は高額な費用を伴い、顧客やクレジットカード会社との評判を損なう可能性があります。ペナルティの一部は以下の通りです:

  1. セキュリティが確保されていないシステム: PCIはシステムセキュリティを促進することを目的としています。コンプライアンス要件の最低限を満たしていない場合、顧客のデータを盗難にさらす可能性があります。
  2. 月次罰金: クレジットカードを処理するには、Visa、Mastercard、American Expressなどのクレジットカードプロセッサーのサポートが必要です。準拠していない場合、支払い処理を禁止する前にいくつかのステップを踏むでしょう。これには、非準拠が続く限り、月額5,000ドルから100,000ドルの罰金が課されることが含まれます。
  3. 損なわれた商人アカウントと顧客の評判: 準拠していない場合、多くの侵害に直面する可能性があります。TargetやSonyのような例からもわかるように、大規模な侵害はブランドイメージに大きな打撃を与える可能性があります。同様に、定期的な非準拠は、詐欺やチャージバックの高い率のためにクレジットカードプロセッサーとの商人アカウントに影響を与える可能性があります。

結論として、評判を損なったり、コンプライアントでないシステムでカードデータを処理するために月次罰金を支払ったりすることは避けたいものです。

Kiteworksはセキュアなファイル転送で組織がPCIコンプライアンスを達成するのを支援します

KiteworksのSFTPサーバーは、組織が信頼できる第三者とクレジットカード番号やその他の顧客アカウント情報を共有する際に、PCI DSS 4.0に準拠して保護します。

他のSFTPソリューションとは異なり、SFTPはKiteworksプラットフォームと完全に統合されています。これにより、プラットフォームの組み込みのセキュリティ、コンプライアンス、可視性機能の恩恵を受けることができます。また、オンプレミスとクラウドの両方での展開オプションを提供し、スケールアウトと高可用性構成をサポートします。Kiteworksの統一されたインフラストラクチャ、管理、ポリシーコントロール、ログ、監査機能は、コンプライアンスを簡素化し、コストを削減します。これは、すべてのSFTPソリューションがこのような包括的なコンプライアンスと監査機能を提供するわけではないため、重要な差別化要因です。

KiteworksのSFTPには以下が含まれます:

  • セキュリティとコンプライアンス: Kiteworksはすべての12のPCI要件をサポートしており、暗号化されたファイル転送やセキュアなサーバーを含むMFTおよびSFTP技術を使用して、PCI準拠のファイル共有と保存を行うことができます。Kiteworksの強化された仮想アプライアンスは、システムを自分で強化しテストする手間を省きます。
  • データの可視性と管理: KiteworksのCISOダッシュボードは、データの概要を提供します:どこにあるのか、誰がアクセスしているのか、どのように使用されているのか、そしてそれが準拠しているかどうか。ビジネスリーダーが情報に基づいた意思決定を行い、コンプライアンスリーダーシップが規制要件を維持するのを支援します。
  • 監査ログ: PCI DSS 4.0は、システム内のイベントのログを要求します。Kiteworksの不変の監査ログを使用すると、攻撃を早期に検出し、フォレンジクスを実行するための適切な証拠の連鎖を維持していることを確認できます。システムがすべてのコンポーネントからのエントリを統合し標準化するため、その統一されたsyslogとアラートは、SOCチームの貴重な時間を節約し、報告のための重要なコンプライアンス要件を維持するのに役立ちます。

Kiteworks SFTPについて、またそれがどのようにして組織がPCI DSS 4.0コンプライアンスを示すのを支援できるかについて詳しく知るには、カスタムデモを今すぐスケジュールしてください。

Tags: セキュリティブルバードのサイバーセキュリティ |

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks