興味があって PCI DSS v3.2.1 を読んだ。PCI DSS は Payment Card Industry Security Standards の略で、クレジットカードの会員データを処理したり管理したりする事業体に求められるセキュリティ基準を標準化したものと理解している。これには12項目の要件が定義されていて、ネットワークやデータ転送時およびデータ保存時のセキュリティ、さらにはそれを運用するためのポリシー管理など様々な要求がまとめられている。

これを読む前は結構面倒な感じのものなのではないかという先入観が少しあったのだけど、実際に読んでみたところ、IT業界で行われているような一般的な情報セキュリティのポイントがよく言語化されており、クレジットカードのデータを扱うかにかかわらず、汎用的なセキュリティのフレームワークとしても使えるのではないかと感じた。これまでの経験上、情報セキュリティは組織の内部では暗黙知となっていることが多く、なぜこれをやるのか、といった理由が分かりにくくなっているので、「ガイダンス」として最低限の理由が記載されている点はよいなと感じた。

一方で PCI DSS の要件を全て対応するには一定の努力が必要だなとも感じた。特に文書化が求められている点が多いので、システムの変更に応じてドキュメントを都度更新みたいな作業をイメージをすると、差分の管理など面倒なことがたくさんありそうだ。このあたりは、例えばインフラの定義ファイルを Single source of truth としつつ、PCI DSS の要件に合うようなドキュメントを生成するような流れを作れるといいのかもしれない。最近はインフラだけでなく、ポリシーもコードとして記述できる (Rego や Sentinel がある) ようになってきているので、このあたりも活用できるかもしれないと感じた。

PCI DSS の要件を満たすシステムを開発したりする場合は、GCP がインフラセキュリティに関するかなりしっかりした内容のホワイトペーパーを公開しているので、これが実装例として参考になるかもしれない。また クラウドベンダーは PCI DSS に関するページを公開している (AWS や GCP には専用のページがある) のでこの辺りも参考にしてみたい。

以前からセキュリティを網羅的に実装していくのは難しいなと感じていたので、PCI DSS の要件を土台に色々と考えていくのが良さそうということが分かって良かった。