PCIデータセキュリティ基準（PCI DSS）は，クレジットカードのカード情報と取引情報を保護するため，六つの目的と，それを達成するための12個のデータ・セキュリティ要件を定めている。一つ目の目的は「安全なネットワークの構築・維持」。要件1と要件2は，ファイアウオールの適切な設定や不要なパラメータの削除など，それを達成するための基準を定めている。

　要件1は，ファイアウオールの設定方法についての基準である。ファイアウオールは，ITインフラ構築においてセキュリティ対策の基本であり，導入後も適切な設定が維持されることが重要だ。要件1の小項目では，ファイアウオールについての要件が具体的に定められている。以下，各要件の概要を説明する。

ファイアウオールの設定は四半期ごとに見直す

　PCI DSSには，各種文書化について要求事項がある。担当者は，ここに定められた様々な文書を作成しなければならない。要件1.1は，ファイアウオール設定基準の作成について規定している。

　ファイアウオール設定基準とは，ファイアウオールが適切に設定されていることを説明するための文書である。表1が，PCI DSSで必須とされているファイアウオール設定基準の記載事項である。

　この中で，特に注意すべきは，要件1.1.4である。

　この要件は，システム構成要素の役割を明確にし，ネットワークの論理的な構成を説明することを求めている。ファイアウオールのアクセス制御のルール・セット(ACL：アクセス・コントロール・リスト)は，このネットワークの論理的構成に基づいて設定する。また，ファイアウオール設定基準の策定後，時の経過と共に通常，新たなセキュリティ上の脅威の出現や，ネットワークやシステムの更改があるので，ファイアウオール設定基準は四半期ごとにレビューしなければならないことが，要件1.1.8に定められている。

　このような基準の作成は，セキュリティ・コンサルティング・サービス（表2）を提供しているベンダーに依頼すると，第三者の客観的な視点で作成することができるという利点がある。

危険なプロトコルを使うなら理由と対策を文書化

　要件1.1.7では，FTPのように悪用される危険性のあるプロトコルを利用する場合について，その理由と対策を文書化しなければならないと定めている。

　表3は，危険性のある代表的なプロトコルについての危険性の理由である。これらのプロトコルを使用するときは，VPNによって暗号化するなど追加のセキュリティ対策を検討する必要がある。