 |
| 図4●PCIコンプライアンスの運用手順 |
前回の導入プロセスに続き,今回は運用と改善のプロセスについて概説する。さらに,順守確認(バリデーション)の仕組みについて解説する(図4)。
従業員から誓約書を取得する
PCI DSSの運用に関しては,一般的なマネジメント・システムの運用に準じて実施すれば問題ない。ただし,要件ごとに目標となる数値が具体的に規定されていることに注意が必要である。
教育の実施の際に,対象となるすべての従業員から,セキュリティ・ポリシーおよび担当業務の手順の理解に関する誓約書を取得しなくてはならない。さらに,インシデント対応計画にのっとりセキュリティ侵害の対応責任者に対して訓練を実施する必要がある。
PCI DSSでは,各種のシステム・ログおよび物理的なログ(入退室の記録など)を監査証跡として取得することを求めているので,日常の運用の中で確実にそれらのログが取得されるような設定,手順を確立しなくてはならない。監査証跡には保存期間が規定されているものもあるため,注意が必要である。
PCI DSSでは,定期的に実施すべき作業が規定されていることにも注意が必要である。例えば,要件8.5.5では,休眠状態のユーザー・アカウントの除去を90日に1回以上の頻度で実施することが求められている。暗号鍵の変更やファイルの改ざん検知など,他のいくつかの項目において,実施の頻度が具体的に規定されている。
脆弱性検査としては,要件11.2でネットワーク脆弱性スキャンを,要件11.3でペネトレーション・テストを実施することが求められている。特に四半期ごとの外部のネットワーク脆弱性スキャンは,認定されたスキャン・ベンダー(ASV)によって行われなければならないというところまで決められている。
セキュリティ・ポリシーは年に1回見直す
 |
| 図5●PCIコンプライアンスの改善手順 |
一般的なマネジメント・システムの場合と同様に,内部監査を行い,前述した脆弱性検査の結果も含めてマネジメント・レビューのインプット情報とし,改善処置を実施することが必要となる。
VISAやMasterCardがプログラムを提供
PCI DSS が策定される以前から,VISAやMasterCardは,リスク管理プログラムを設定して加盟店などに参加を義務付けていた。VISAのプログラムはAIS(Account Information Security),MasterCardのプログラムはSDP(Site Data Protection)と呼ばれている。AISやSDPでは,取り扱うクレジットカード情報の平均取扱い件数に応じて,PCI DSSへの準拠を確認するためのバリデーションを受けることを要求している。以下は,AISプログラムの例である(表1)。
| VISAアカウントの月間平均取扱件数 | バリデーションの内容 |
|---|---|
| 1万件未満 | 問診票による自己診断 |
| 1万~5万件 | 問診票による自己診断 |
| 四半期ごとの脆弱性スキャニング・テスト | |
| 5万件超 | 問診票による自己診断 |
| 四半期ごとの脆弱性スキャニング・テスト | |
| 訪問調査 |
(1)問診票による自己診断 PCI DSSへの準拠性を確認するための,自己評価問診票を用いたバリデーションである。問診票は,オンラインで無料提供されている。問診票は2項選択方式の質問から成っており,各企業で集計された回答はオンラインでバリデーション・プログラムに登録され,バリデーション結果は評価レポートにて通知される。
(2)四半期ごとのスキャニング・テスト インターネットに接続されているネットワーク機器,サーバ機器類に対する,外部・遠隔地からの脆弱性スキャニング・テストによるバリデーションである。脆弱性が発見された場合,それを示した診断レポートが認定スキャニング・ベンダー(ASV)から発行され,不適合の場合には是正するための勧告がなされる。
(3)訪問調査 認定セキュリティ審査機関(QSA)によって実施される,第三者によるオンサイト調査である。公開された監査手順に従って,PCI DSSの順守状況が審査される。
|
