いま話題のPCI DSS—実効性の高いセキュリティ基準に迫る！[2/3]

現在位置

ホーム

P01：PCI DSSは、クレジットカード業界以外にも有効な基準である
P02：従来にない具体的かつ定量的なPCI DSS
P03：PCI DSSなら、より柔軟な思考と実行性を兼ね備えた具体的なセキュリティ対策が可能

Q4- PCI DSSに書かれているセキュリティ基準について、もう少し詳しく教えていただけますか？

A4- では、実際にPCI DSSの中身を見ていきましょう。

PCI DSSは以下の表のように6つの目的と、それを実現するための12の要件に分けて記述されています。

安全なネットワークの構築・維持
要件1	カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件2	システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと
カード会員データの保護
要件3	保存されたカード会員データを安全に保護すること
要件4	公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
脆弱性を管理するプログラムの整備
要件5	アンチウィルス･ソフトウェアを利用し、定期的に更新すること
要件6	安全性の高いシステムとアプリケーションを開発し、保守すること
強固なアクセス制御手法の導入
要件7	カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件8	コンピュータにアクセスする利用者毎に個別のIDを割り当てること
要件9	カード会員データへの物理的アクセスを制限すること
定期的なネットワークの監視およびテスト
要件10	ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
要件11	セキュリティ・システムおよび管理手順を定期的にテストすること
情報セキュリティ・ポリシーの整備
要件12	情報セキュリティに関するポリシーを整備すること

これら12の要件は、更に詳細な約200項目にブレークダウンされて規定されています。規定の内容は、カード会員データの保護を目的としているため、ISO/IEC27001等汎用な基準に比べて具体的、定量的に表現されています。

例えば、要件1では『カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること』とあります。本文と要件を見てみましょう。

要件1　本文

ファイアウォールは、社内ネットワークへの（からの）コンピュータ・トラフィック、ならびに社内ネットワーク内の、より機密性の高いエリアへのトラフィックを制御する装置である。
ファイアウォールはすべてのネットワーク・トラフィックを検証し、定められたセキュリティ基準を満たさない通信をブロックする。
すべてのシステムは、電子商取引、従業員のデスクトップ・ブラウザを通じたインターネットへのアクセス、従業員の電子メールによるアクセスなど、どんな用途であれ、インターネットからの権限のないアクセスから保護されなければならない。しばしば、問題ないように思われるインターネットへの（からの）アクセス経路が、重要なシステムへ通じる侵入経路になっている場合がある。
ファイアウォールはあらゆるコンピュータ・ネットワークにとって欠くことのできない保護メカニズムである。

要件1

1.1: 以下を含むファイアウォール設定基準を確立する。
1.2: カード会員データ環境に必要なプロトコルを除く、すべての「信用できない（untrusted）」ネットワーク／ホストからの全トラフィックを拒否するファイアウォールを構築する。
1.3: 外部からアクセス可能なサーバと、カード会員データを格納するシステム・コンポーネント（無線ネットワークからの接続を含む）との間の接続を制限するようなファイアウォールを構築する。このファイアウォール構成には次の項目が含まれている必要がある。
1.4: 外部ネットワークと、カード会員データを保存するシステム・コンポーネント（例：データベース、ログ、追跡ファイル）との間で、直接自由にアクセスできることを禁止する。
1.5: 内部アドレスが書き換えられたり、インターネット上で露出することを防止するため、IPマスカレードを実装する。PAT（port address translation）やNAT（network address translation）など、RFC1918アドレス空間を実装できる技術を使用する。

要件1.1

1.1.1: すべての外部ネットワーク接続とファイアウォール設定の変更を、認可・テストするための正式な手順。
1.1.2: 無線ネットワークを含む、カード会員データへの全接続を示す最新のネットワーク図。
1.1.3: すべてのインターネット接続、およびDMZ（demilitarized zone）と内部ネットワーク領域との間にファイアウォールを必ず置くこと。
1.1.4: ネットワーク・コンポーネントの論理的管理のためのグルーピングと、それぞれの役割や責務に関する記述。
1.1.5: 業務に必要なサービス／ポートの文書化されたリスト。
1.1.6: HTTP（hypertext transfer protocol）、SSL（secure sockets layer）、SSH（secure shell）、VPN（virtual private network）以外で利用可能なプロトコルが存在する場合、その必要性の正当な理由とそれを記した文書。
1.1.7: 危険性のあるプロトコル（例：FTP=file transfer protocol）を許可する場合の正当化理由と文書。そこにはそのプロトコルの利用理由と、実装されるセキュリティ機能が含まれる。
1.1.8: ファイアウォール／ルータに関するルール・セットの四半期レビュー。
1.1.9: ルータの設定基準。

いかがでしょうか。「利用可能なプロトコルの制限」、「ファイアウォール・ポリシをレビューする周期」、ドキュメント類についても「ネットワーク図やサービス/ポートのリスト」など、具体的かつ定量的に示されています。

PCI DSSは、SQLインジェクションによるサーバへの攻撃への対応策としてアプリケーションのソースコードレビューやWAF（Web Application Firewall）の要件を規定していますが、これらは加盟店等で実際に発生したセキュリティインシデントを解析した結果を踏まえています。つまり一般企業であっても、最近の攻撃傾向として増加しているSQLインジェクション攻撃への対策として、PCI DSSの要件を満たすようにシステム実装し業務を行うことで、最低限確保すべきセキュリティレベルを達成できるわけです。PCI DSSなら、この要求事項が具体的、定量的であるため、容易に理解できますし、実施もし易いのです。

もう1例として、この中の「定期的なネットワークの監視およびテスト」を目的とした要件10について見てみましょう。

要件10で求めている事項は「ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること」です。

その理由として、以下の内容が記述されています。

「ログのメカニズムと、ユーザー活動の追跡機能は重要である。すべての環境にログが存在することにより、もし何らかの不都合が起こったとき、詳しい追跡と分析が行える。システム稼動ログがないと、セキュリティ侵害の原因の追究が非常に難しくなる。」

そして、この要件を実現するために、以下の6つの要件が定義されています。

要件10

10.1: システム・コンポーネントに対するすべてのアクセス（特にルートなどアドミニストレータ権限を持つユーザーによるもの）を、個々のユーザーとリンクするための手順を確立する。
10.2: すべてのシステム・コンポーネントに対して、以下のイベントを追跡するための自動監査証跡を導入する。
10.3: すべてのシステム・コンポーネントにおいて、イベントごとに少なくとも次の監査証跡を記録する。
10.4: すべての重要なシステム・クロックと実際の時刻を同期させる。
10.5: 監査証跡は、改変できないように保護する。
10.6: すべてのシステム・コンポーネントのログを、少なくとも一日1回はレビューする。ログのレビューの対象は、IDS（intrusion detection system）とAAA（authentication, authorization, and accounting protocol）サーバ（例：RADIUS）のようなセキュリティ機能を果たすサーバを含む。注：要件10.6に準拠するためには、ログ収集、解析、アラートツールの使用も考えられる。
10.7: 監査証跡履歴は、少なくとも1年は保管、最低3ヶ月間はオンラインで閲覧利用できるようにする。