セキュリティ規準「PCI DSS」

 「リリース後1カ月以内のパッチ適用」「WAFの導入」「1日1回のログのレビュー」――。PCI DSS(PCIデータセキュリティ基準)には,情報セキュリティの基準が具体的に定められている。米国ではここ数年,PCIDSSの認定を取得する企業が急増。国内でも注目が高まっている。どのような要件があるかを解説し,要件を満たすための製品/サービスを紹介する。

「PCI DSS」改訂の裏側

上機嫌なボブのスピーチで年次総会が開幕 
“仮想化”は取り残された 
PCI DSSと10の神話 
コンサルタントは一般企業への適用を促す 

PCI DSSの概要

違反すると罰金や損害賠償が課せられる 
ISMSやプライバシーマークとは全く違う 
導入時は自己問診票でチェック 
運用時は四半期ごとにスキャニング 
情報システムに大きなインパクト 

「6個の目的」と「12個の要件」

目的1:安全なネットワークの構築・維持

要件1:データを保護するためにファイアウォールの導入をし、最適な設定を維持すること

FTPには対策を施さないといけない 
動的パケット・フィルタを使わなければならない 
DMZを設置しないといけない 

要件2:システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと

不要なアカウントは削除しないといけない 
マシンルームへの入退室を管理しないといけない 

目的2:カード会員データの保護

要件3:保存されたカード会員データを安全に保護すること
要件4:公衆ネットワーク上でカード会員データを送信する場合,暗号化すること

保存するデータは最小限にしなければならない 
認証データは削除しなければならない 
カード番号は判読不能にしなければならない 
暗号鍵を管理しなければならない 
伝送データを暗号化しなければならない 

目的3:脆弱性を管理するプログラムの整備

要件5:アンチウィルス・ソフトウェアを利用し,定期的に更新すること

アンチウイルスの監査ログを取得しなければならない 

要件6:安全性の高いシステムとアプリケーションを開発し,保守すること

セキュリティ・パッチは1カ月以内に適用しなければならない 
ソフトウエアの変更管理手順を決めておかなければならない 
コーディングの不備をつぶさなければならない 
WAFを設置しなければならない 

目的4:強固なアクセス制御手法の導入

要件7:カード会員データへのアクセスを業務上の必要範囲内に制限すること

アクセス権は業務上の必要範囲に制限しなければならない 

要件8:コンピュータにアクセスする利用者毎に個別のID を割り当てること

利用者ごとに個別のIDを付与しなければならない 
一般ユーザー以外のアクセス管理を徹底しなければならない 

要件9:カード会員データへの物理的アクセスを制限すること

物理アクセスを制限しなければならない 
媒体管理をしなければならない 

目的5:定期的なネットワークの監視およびテスト

要件10:ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視 すること

関連するログをすべて監視しなければならない 
時計を合わせなければならない 
アクセス・ログを3カ月間保管しなければならない 

要件11:セキュリティ・システムおよび管理手順を定期的にテストすること

四半期に1回以上,脆弱性スキャンをしなければならない 
すべてのネットワーク・トラフィックを監視しなければならない 

目的6:情報セキュリティ・ポリシーの整備

要件12:情報セキュリティに関するポリシーを整備すること

ポリシーを整備しなければならない 
リスク評価を実施しなければならない 
インシデント対応計画を導入しなければならない 
サプライチェーンを考慮しなければならない 

記者の眼

「パスワードは90日ごとの変更」が義務づけられる!?
続・「パスワードは90日ごとの変更」が義務づけられる!?

ニュース

PCI DSS対策への不満は製品で解消できる
「PCI DSS対策にはWAFの導入が必須だ」---Web高速化装置大手のF5がアピール
全セキュリティ・パッチを1カ月で適用,それがPCIDSS対応の難しさだ
楽天がクレジットカードのセキュリティ規格に準拠
三井住友カードがPCIDSSに準拠,NTTデータ・セキュリティが認定
PCIDSSがエンド・ツー・エンドのセキュアなファイル転送を喚起
NTTデータ・セキュリティがクレジット・カードのセキュリティ事業を強化
ネットワンがPCIデータ・セキュリティ準拠のためのコンサル・サービスを開始
クレジット情報を守る「PCIデータ・セキュリティ」の元年に

書籍

PCIデータセキュリティ基準 完全対策