PCI DSSは,現時点では国内での認知も低く,ISMSに比べて普及しているとは言えないが,今後普及する可能性があり,普及したときに情報システムに与えるインパクトは大きい。要件の中には,現行の情報システムに大きなインパクトを与えかねないものがいくつかある。今回は,そうしたものを取り上げて解説する。
■非コンソール管理アクセス
|
要件2.3:非コンソール管理アクセスはすべて暗号化する。Web ベースの管理やその他の非コンソール管理アクセスには,SSH,VPN,SSL/TLS(transport layer security)などの技術を使用する。
|
ネットワーク経由で対象となるシステム・コンポーネントの管理を行うことを非コンソール管理アクセスと呼ぶ。
要件2.3で,非コンソール管理アクセスはすべて暗号化することを求めている。そのため,管理対象となる各システム・コンポーネントに対してSSH,VPN,SSL/TLSの技術を使用した管理アクセス用の設定を実施しなければならない。例えば,TELNETを用いた管理アクセスは要件を満足しないため,これを代替するための何らかの対応が必要となる。管理対象となるシステム・コンポーネントが多数に及ぶ場合には,対応のための負荷が高くなることが想定されるため,非コンソールアクセスのセキュリティを効率良く管理するために,専用のシステムを導入することも検討しなければならなくなるだろう。
■カード番号の暗号化
|
要件3.4:少なくともカード番号は,どこに保管されていても(携帯デジタル媒体やバックアップ媒体上のデータ,ログ内データ,無線ネットワークから受領した/経由で保管しているデータを含む),次のいずれかの手段を使用して判読不可能な状態にしておく。…
|
要件3.4で,カード番号の暗号化を求めている。データベースに格納されたカード番号の暗号化については,システムに対する影響度合いが高いと考えられる。カード番号の暗号化と複合によりシステム負荷が高くなるため,データベースのパフォーマンスが低下することが避けられない。このため,パフォーマンスを維持するためには,データベース自体の構成を根本から見直す必要も出てくるかもしれない。
■1カ月以内のセキュリティ・パッチ適用
|
要件6.1:すべてのシステム・コンポーネントとソフトウェアに,最新のベンダー供給セキュリティ・パッチが適用されていることを確認する。関連するセキュリティ・パッチはリリース後1 ヶ月以内にインストールする。
|
要件6.1で,すべてのシステム・コンポーネントとソフトウエアに対して,リリース後1カ月以内に,ベンダー提供の最新セキュリティ・パッチを適用することを求めている。セキュリティ・パッチの適用はシステム変更にほかならず,パッチ適用後の正常稼働を確認するための十分な検証作業が不可欠である。このため,1カ月という期間を限定した要件に対応するためには,専用のテスト環境を常時準備しておくほかに,問題が確認された場合の対応方法を十分に検討しておく必要があるだろう。
■WAFの導入
|
要件6.6:すべてのWeb に面したアプリケーションは,以下のどちらかの手法を適用することで,既知の攻撃から防護されなければならない。… |
要件6.6で,WAF(アプリケーション・レイヤー・ファイアウォール)を導入し,Webアプリケーションを保護することを求めている。これまでは“ベストプラクティス”の位置付けだったが,2008年6月30日以降はこの要件が必須となるため,WAFを導入することが不可欠となる。WAF導入に際しては,Webアプリケーションに関連するトラフィック処理を十分に検討する必要がある。このため,負荷分散装置やSSLアクセラレータなどのほかのシステム・コンポーネントとの関係を考慮しなければならず,導入には十分に注意する必要がある。
■ファイルの改ざん検知
|
要件10.5.5:既存のログ・データが改ざんされた時に必ずアラートが発せられるよう,ログに対してファイル完全性監視/変更検知ソフトウェアを使用する(新しいデータの追加に対しては,アラートは起こらない)。 |
要件10.5.5で,ファイル完全性監視/変更検知ソフトウエアを使用して,ログ・データの改ざんを監視することを求めている。また,要件11.5で,ファイル完全性監視ソフトウエアを使用して,カード会員データが保存されているデータベース・サーバーのログなどの重要なコンテンツ・ファイルの修正を監視することを求めている。そのため,ファイル完全性監視/変更検知ソフトウエアを導入する必要がある。
■ログ管理システム
|
要件10.6:すべてのシステム・コンポーネントのログを,少なくとも一日1 回はレビューする。ログのレビューの対象は,intrusion detection system(IDS)とauthentication, authorization, and accounting protocol(AAA)サーバ(例:RADIUS)のようなセキュリティ機能を果たすサーバを含む。
|
要件10.6で,すべてのシステム・コンポーネントのログを,少なくとも一日1回はレビューすることを求めている。さらに,要件10.5.3および要件10.5.4で,データが改変されることを防止するために,ログ・データをログ・サーバーに移動することを求めている。そのため,ログ・サーバーの導入が必要となる。ログ・サーバー導入に際しては,ログ収集,解析,アラートの発報などの機能についても考慮し,統合的なログ管理システムを構築することを検討する必要がある。
クレジットカード業界以外への適用も可能
PCI DSSは,カード会員データとセンシティブ認証情報を保護することを目的に,主として技術的側面を重視して作成された業界基準である。しかし,これらの情報を重要情報と置き換えてみると,クレジットカード業界以外への適用も可能だ。
また,マネジメント・システムの構築,コンプライアンスの順守,技術的セキュリティ水準の確保は,様々な情報セキュリティに関する脅威から組織を守るための主たる3要素であり,PCI DSSはこの一翼を担う資質を備えたものと言える。このため,技術的セキュリティのベンチマークとして,PCI DSSの重要性が今後増していくものと思われる。
豊田 祥一
ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部 コンサルティング部 部長
|
|
2005年11月,ネットワンシステムズ株式会社入社。前職において,iDCにおけるECシステムの運用業務に携わる。主にPKIを導入したインターネット・サービスの運用業務設計を担当。現職においては,ネットワーク・ベンダーの視点に基づくコンサルティング・ビジネスを推進。2006年より,PCI DSSに関するセミナー講師を実施。前宮内庁CIO補佐官。
|
|
