PCI DSS 4.0 ルール 18.1とは、カード保有者データ環境(CDE)やその構成要素に対し特権アクセスを持つ全ユーザーの識別・認証プロセスを実装することを求める要件である。
概要

PCI DSSは、カード決済業界が共通して遵守すべき情報セキュリティ基準であり、CDEに対する不正アクセス防止を目的としている。ルール18.1は、特権ユーザー(管理者、開発者、外部ベンダー等)を一意に識別し、適切な認証手段を設定することで、内部脅威や人為的ミスによるデータ漏えいリスクを低減させる。従来は「ユーザーIDとパスワードの管理」程度だったが、v4.0ではプロセス化と監査証跡の確保が強調されている。
役割と機能

- 識別:全特権アクセスユーザーに対し、個別のIDを付与し、組織外部の契約者やサプライヤーも対象とする。
- 認証:パスワードだけでなく、生体認証やトークン等多要素認証(MFA)はルール18.2に委ねられるが、最低限の強固な認証を実装。
- 監査証跡:ログ収集・保管を行い、不正アクセス検知と事後調査を可能にする。
- 統合管理:IAMやPAM(Privileged Access Management)ソリューションと連携し、APIベースのオープンバンキング環境でも一貫した制御を実現。
特徴

- 対象範囲の広さ:CDE内外を問わず、リモートアクセスやクラウドサービス上での特権ユーザーも含む。
- プロセス重視:単なる設定ではなく、継続的に更新・監査されるプロセスとして設計。
- 他規格との親和性:PSD2やKYC/AMLフレームワークと組み合わせた多要素認証の実装基盤となり得る。
現在の位置づけ

近年、API銀行・BaaS、モバイル決済などで増大するリモート接続は特権アクセスを容易にし、脅威が拡大している。PCI DSS 4.0 ルール18.1は、こうした環境下でのセキュリティ基盤として不可欠であり、多くの金融機関・決済サービスプロバイダーがIAM/PAM統合を進めている。また、規制強化に伴い、コンプライアンス監査の対象となりやすいため、実装コストとリスク管理の観点からも重要視され続ける。
続きを読むには確認が必要です

