ペイメントカード業界はDMARC、DKIM、SPFを推奨します

DMARC
この記事は約5分で読めます。

PCI はPCI DSS v. 4.0.1でDMARC 、SPF、DKIM を推奨

技術が進化し続けるにつれ、サイバー攻撃の手口も進化し、組織、特に金融セクターに重大な脅威をもたらしています。また、大多数の人々がクレジットカードやデビットカードで支払いを行う中、ペイメントカード業界セキュリティ基準協議会(PCI SSC)は、広大なデジタル決済エコシステムの攻撃対象領域を強化すべき時が来たと認識しました。

PCI は、サイバーセキュリティ標準の進化において、PCI データセキュリティ標準 (DSS) v. 4.0.1のセクション 5.4.1 で DMARC、SPF、DKIM を推奨しています。

フィッシング対策を策定する際には、複数のアプローチを組み合わせることが推奨されます。例えば、DMARC (ドメインベースメッセージ認証、レポート、適合性)、SPF (送信者ポリシーフレームワーク)、 DKIM(ドメインキー識別メール)といったなりすまし対策を活用することで、フィッシング詐欺師による組織のドメインのなりすましや、従業員へのなりすましを阻止することができます。—

PCI DSS v. 4.0.1

フィッシング対策メカニズムの要件は、2025年3月31日をもってベストプラクティスから完全必須へと移行しました。DMARC/SPF/DKIMは引き続き強く推奨される管理策の例として挙げられます。DSSは、「フィッシング対策を組織全体に適用する」ことを推奨しています。

次のビデオでは、DMARC​ の主要作成者であり、dmarcian​ の創設者/CTO である Tim Draegen が、DMARC が組織が PCI DSS 要件を満たすためにどのように役立つかについて説明します。

PCI規格は、グローバルな決済アカウントデータセキュリティに焦点を当て、関係者による教育、意識向上、導入を促進するサポートサービスを開発しています。DMARCガイダンスは、機密性の高い決済カードデータを保護し、消費者を潜在的な詐欺や個人情報の盗難から保護する上で重要な役割を果たします。

誰が影響を受けるのでしょうか?

PCI DSS v. 4.0.1 セクション5.4.1に記載されているDMARC「推奨事項」は、PCI DSSに準拠する必要があり、顧客、従業員、またはパートナーと決済関連のやり取りにメールを使用するあらゆる組織に影響します。

実際には、カード決済を何らかの形で取り扱っている、またはカード決済に関与するほとんどの企業がこれに該当します。PCIは、メール認証標準を施行することで、サイバー犯罪者が正当な組織になりすまして顧客を欺き、機密情報を開示させるリスクを軽減することを目指しています。

DMARC 勧告は、PCI DSS 要件が、加盟店、プロセッサ、アクワイアラー、発行者、および次のようなその他のサービス プロバイダーを含むカード所有者データ環境 (CDE) にも適用されるため、広範囲にわたる影響を及ぼす可能性があります。

  • カード所有者データや機密認証データを保存、処理、送信するシステム コンポーネント、人員、プロセス。
  • CDE のセキュリティに影響を及ぼす可能性のあるシステム コンポーネント、人員、およびプロセス。
  • カード所有者データ(CHD)/センシティブ認証データ(SAD)を保存、処理、または送信できないシステムコンポーネントですが、CHD/SADを保存、処理、または送信するシステムコンポーネントとは無制限に接続できます。SADとは、「カード所有者の認証やペイメントカード取引の承認に使用されるセキュリティ関連情報」です。この情報には、カード検証コード/値、フルトラックデータ(磁気ストライプまたはチップ上の同等の記録から)、PIN、PINブロックが含まれます。犯罪者は偽造ペイメントカードや不正な取引を生成する可能性があるため、SADの保護は不可欠です。そのため、承認プロセス後のSADの保存は禁止されています。

DMARCの利点

DMARC を実装すると、ペイメント カード業界で事業を展開する組織にいくつかの重要なメリットがもたらされます。

  • メール詐欺対策:DMARCは、ドメインの使用状況を可視化し、不正な送信者が組織を装ってメールを送信するのを防ぎます。この制御により、組織は堅牢なメール認証プロトコルを確立し、不正アクセスの可能性を低減し、メールベースの脅威から保護することができます。
  • 電子メールの信頼性: DMARC は信頼性の高い電子メール配信の基盤であり、電子メール配信の問題を解決するために使用されます。
  • 規制コンプライアンス:PCI DSSに見られるように、業界、政府、規制当局はDMARCの導入をますます強く求めています。これらの規制を遵守することで、組織はデータセキュリティへのコミットメントを示すことができます。
  • 財務リスクの軽減:DMARCの導入は、データ侵害に伴う財務リスク(規制上の罰金、法的責任、評判の失墜など)を軽減するのに役立ちます。メールセキュリティ対策を強化することで、組織はサイバー攻撃やデータ侵害による潜在的な財務的影響を最小限に抑えることができます。
  • 業界全体の連携:PCI DMARC要件は、ペイメントカード業界内の組織間の連携と情報共有を促進します。メールセキュリティ対策を共同で強化することで、業界の関係者は脅威や脆弱性への対策を強化できます。

DMARCの導入はサイバーセキュリティにおける大きな前進ですが、組織は進化する脅威に対処するために、メールセキュリティ戦略の継続的な監視と維持を優先する必要があります。DMARCポリシーの定期的な評価、メール認証レポートの分析、そして脆弱性へのプロアクティブな対策は、効果的なメールセキュリティフレームワークに不可欠な要素です。

私たちがお手伝いします

Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。

お気軽にご連絡ください

無料相談開催中!

お問い合わせ

出典元

Payment Card Industry Recommends DMARC, DKIM, SPF

タイトルとURLをコピーしました