「リリース後1カ月以内のパッチ適用」「WAFの導入」「1日1回のログのレビュー」――。PCI DSS（PCIデータセキュリティ基準）には，情報セキュリティの基準が具体的に定められている。米国ではここ数年，PCIDSSの認定を取得する企業が急増。国内でも注目が高まっている。どのような要件があるかを解説し，要件を満たすための製品/サービスを紹介する。

「PCI DSS」改訂の裏側

上機嫌なボブのスピーチで年次総会が開幕　
“仮想化”は取り残された　
PCI DSSと10の神話　
コンサルタントは一般企業への適用を促す　

PCI DSSの概要

違反すると罰金や損害賠償が課せられる　
ISMSやプライバシーマークとは全く違う　
導入時は自己問診票でチェック　
運用時は四半期ごとにスキャニング　
情報システムに大きなインパクト　

「6個の目的」と「12個の要件」

目的1：安全なネットワークの構築・維持

FTPには対策を施さないといけない　
動的パケット・フィルタを使わなければならない　
DMZを設置しないといけない　

不要なアカウントは削除しないといけない　
マシンルームへの入退室を管理しないといけない　

目的2：カード会員データの保護

保存するデータは最小限にしなければならない　
認証データは削除しなければならない　
カード番号は判読不能にしなければならない　
暗号鍵を管理しなければならない　
伝送データを暗号化しなければならない　

目的3：脆弱性を管理するプログラムの整備

アンチウイルスの監査ログを取得しなければならない　

セキュリティ・パッチは1カ月以内に適用しなければならない　
ソフトウエアの変更管理手順を決めておかなければならない　
コーディングの不備をつぶさなければならない　
WAFを設置しなければならない　

目的4：強固なアクセス制御手法の導入

アクセス権は業務上の必要範囲に制限しなければならない　

利用者ごとに個別のIDを付与しなければならない　
一般ユーザー以外のアクセス管理を徹底しなければならない　

物理アクセスを制限しなければならない　
媒体管理をしなければならない　

目的5：定期的なネットワークの監視およびテスト

関連するログをすべて監視しなければならない　
時計を合わせなければならない　
アクセス・ログを3カ月間保管しなければならない　

四半期に1回以上，脆弱性スキャンをしなければならない　
すべてのネットワーク・トラフィックを監視しなければならない　

目的6：情報セキュリティ・ポリシーの整備

ポリシーを整備しなければならない　
リスク評価を実施しなければならない　
インシデント対応計画を導入しなければならない　
サプライチェーンを考慮しなければならない　

記者の眼

「パスワードは90日ごとの変更」が義務づけられる！？
続・「パスワードは90日ごとの変更」が義務づけられる！？

ニュース

・PCI DSS対策への不満は製品で解消できる
・「PCI DSS対策にはWAFの導入が必須だ」---Web高速化装置大手のF5がアピール
・全セキュリティ・パッチを1カ月で適用，それがPCIDSS対応の難しさだ
・楽天がクレジットカードのセキュリティ規格に準拠
・三井住友カードがPCIDSSに準拠，NTTデータ・セキュリティが認定
・PCIDSSがエンド・ツー・エンドのセキュアなファイル転送を喚起
・NTTデータ・セキュリティがクレジット・カードのセキュリティ事業を強化
・ネットワンがPCIデータ・セキュリティ準拠のためのコンサル・サービスを開始
・クレジット情報を守る「PCIデータ・セキュリティ」の元年に

書籍