ITパスポート 令和4年度 問55：情報セキュリティ・セキュリティ基準に関する問題

答えは a「クレジットカード情報を取り扱う事業者に求められるセキュリティ基準」 です。

PCI DSSは、クレジットカードの番号など“大事なお金の情報”をあつかうお店や会社が『これだけは守ってね』というルール集のことです。カード情報が漏れたら大変なので、世界共通の決まりがあるんですね。

👉 覚え方：PCIの『C』＝Card（カード）。カードを守るルール、と覚える。

ほかの選択肢：b セキュリティ用の小さな部品（チップ）の話／c 事故が起きたとき対応するチーム（CSIRTのこと）／d 怪しい通信を見張って攻撃を防ぐ機械（IPSのこと）。どれもカードのルールではありません。

なぜこれが正解か

正解は a。PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカード会員データを安全に取り扱うために、加盟店・決済代行など『カード情報を扱う事業者』が遵守すべき国際的なセキュリティ基準。カードブランド各社が共同で策定している。

各選択肢の解説

• b：『セキュリティ処理を行う半導体チップ』はセキュリティチップ（TPM等）の説明。
• c：『セキュリティ事故に対応する組織』はCSIRT（Computer Security Incident Response Team）の説明。
• d：『通信を監視し不正アクセスを検知して攻撃を防ぐシステム』はIPS（侵入防止システム）の説明。

覚え方・ひっかけ注意

『PCI DSS＝カード（Payment Card）の情報を守る基準』。Cが“Card”だと覚えると、b（チップ）・c（CSIRT）・d（IPS）と取り違えにくい。略語の中身を分解するのがひっかけ回避のコツ。

理論的背景

PCI DSS（Payment Card Industry Data Security Standard：ペイメントカード業界データセキュリティ基準）は、正解aの通り「クレジットカード情報を取り扱う事業者に求められるセキュリティ基準」である。2004年にVisa・MasterCard・American Express・Discover・JCBの5大カードブランドが共同設立したPCI SSC（PCI Security Standards Council）によって策定・維持管理されており、カード会員データの保護を目的とした業界自主規制として機能している。

PCI DSS v4.0（2022年3月公開・2024年3月よりv3.2.1を完全置換）は以下の6つの目標・12の要件で構成される。①安全なネットワークとシステムの構築・維持（要件1：ネットワークセキュリティ管理策、要件2：デフォルト設定の変更）②カード会員データの保護（要件3：データの保存・保護、要件4：転送中の暗号化）③脆弱性管理プログラムの維持（要件5：マルウェア対策、要件6：セキュアな開発）④強固なアクセス制御の実装（要件7：必要最小限のアクセス制御、要件8：ID管理・認証、要件9：物理アクセス制限）⑤ネットワークの定期的な監視とテスト（要件10：アクセスログの監視、要件11：セキュリティのテスト）⑥情報セキュリティポリシーの維持（要件12：組織的なセキュリティポリシー）。

実務での使われ方

PCI DSSの適用範囲（スコープ）はカード会員データを「保存・処理・伝送」する全てのシステムコンポーネントに及ぶ。準拠要件はトランザクション件数や事業者の形態によってLevel 1〜4に分類され、Level 1（年間600万件以上）は第三者のQSA（Qualified Security Assessor：認定セキュリティ評価機関）による年次現地審査が必須となる。中小事業者（Level 2〜4）はSAQ（Self-Assessment Questionnaire：自己評価アンケート）で準拠確認を行う。

スコープを最小化する技術的手法として「トークナイゼーション」が広く採用されている。実際のクレジットカード番号（PAN：Primary Account Number）をランダムな代替値（トークン）に置き換えて処理することで、加盟店のシステム内にPANが存在しない状態を作り出しPCI DSSスコープを大幅に縮小できる。SquareやStripeなどの決済代行サービスもカード情報を自社のPCI DSS準拠環境で処理し、加盟店には取引IDのみを返すトークン方式を採用している。

試験での位置づけ

ITパスポートの情報セキュリティ基準分野で、PCI DSSはISMS（ISO/IEC 27001）・SOC2・NIST CSFなどの他のセキュリティ基準と対比して出題される。本問の核心は「PCI DSS＝クレジットカード業界特有の業界標準」という識別であり、選択肢b（セキュリティチップ：TPMの説明）・選択肢c（CSIRT等のセキュリティ対応組織の説明）・選択肢d（IDS/IPS：侵入検知・防止システムの説明）と明確に区別することが求められる。

基本情報技術者（FE）では、PCI DSS・ISMS・SOC2・FISMA・GDPRなどの主要なセキュリティ・プライバシー基準の適用対象と目的の識別が問われる。情報処理安全確保支援士（SC）ではPCI DSSの技術的要件（暗号化強度・脆弱性スキャン頻度・ペネトレーションテスト周期等）の詳細まで試験範囲に含まれる。

選択肢の発展補足

選択肢bの「コンピュータなどに内蔵されるセキュリティ関連の処理を行う半導体チップ」はTPM（Trusted Platform Module）の説明である。TPMはISO/IEC 11889で標準化されたセキュリティチップで、暗号鍵の生成・保管・演算を安全な独立した環境で実行する。BitLocker（Windows）・FileVault（macOS）の暗号化キー管理や、BootのIntegrity確認（Secure Boot）に使われる。TPM 2.0はWindows 11の必須要件となり一般に広く知られるようになった。

選択肢cの「コンピュータやネットワークのセキュリティ事故に対応する組織」はCSIRT（Computer Security Incident Response Team：シーサート）またはSOC（Security Operations Center）の説明である。CSIRTは組織内・政府機関・業界横断で設置され、インシデント検知・分析・対応・情報共有を担う。日本では各企業のCSIRT連携組織NCA（日本CSIRT協議会）や政府機関のNICST（内閣サイバーセキュリティセンター）などが活動している。

選択肢dの「サーバやネットワークの通信を監視し、不正なアクセスを検知して攻撃を防ぐシステム」はIDS（Intrusion Detection System：侵入検知システム）＋IPS（Intrusion Prevention System：侵入防止システム）の説明である。IDSは検知のみ、IPSは検知と自動ブロックを行う点で異なる。ネットワーク型（NIDS/NIPS）とホスト型（HIDS/HIPS）に分類され、Snort・Suricata（オープンソース）やPalo Alto NGFWなどが代表的な製品である。