PCIデータセキュリティ基準(PCI DSS)は,クレジットカードのカード情報と取引情報を保護するため,六つの目的と,それを達成するための12個のデータ・セキュリティ要件を定めている。一つ目の目的は「安全なネットワークの構築・維持」。要件1と要件2は,ファイアウオールの適切な設定や不要なパラメータの削除など,それを達成するための基準を定めている。

 要件1は,ファイアウオールの設定方法についての基準である。ファイアウオールは,ITインフラ構築においてセキュリティ対策の基本であり,導入後も適切な設定が維持されることが重要だ。要件1の小項目では,ファイアウオールについての要件が具体的に定められている。以下,各要件の概要を説明する。

ファイアウオールの設定は四半期ごとに見直す

 PCI DSSには,各種文書化について要求事項がある。担当者は,ここに定められた様々な文書を作成しなければならない。要件1.1は,ファイアウオール設定基準の作成について規定している。

 ファイアウオール設定基準とは,ファイアウオールが適切に設定されていることを説明するための文書である。表1が,PCI DSSで必須とされているファイアウオール設定基準の記載事項である。

表1●ファイアウオール設定基準の記載事項
記載事項 要求項番
1 すべての外部ネットワーク接続とファイアウォール設定の変更を,認可・テストするための正式な手順 1.1.1
2 無線ネットワークを含む,カード会員データへの全接続を示す最新のネットワーク図 1.1.2
3 すべてのインターネット接続,およびDMZと内部ネットワーク領域との間にファイアウォールを必ず置くこと 1.1.3
4 ネットワーク・コンポーネントの論理的管理のためのグルーピングと,それぞれの役割や責務に関する記述 1.1.4
5 業務に必要なサービス/ポートの文書化されたリスト 1.1.5
6 HTTP,SSL,SSH,VPN以外で,利用可能なプロトコルが存在する場合,その必要性の正当な理由とそれを記した文書 1.1.6
7 危険性のあるプロトコル(例:FTP)を許可する場合の正当化理由と文書。そこにはそのプロトコルの利用理由と,実装されるセキュリティ機能が含まれる 1.1.7
8 ファイアウォール/ルータに関するルール・セットの四半期レビュー 1.1.8
9 ルータの設定基準 1.1.9

 この中で,特に注意すべきは,要件1.1.4である。

1.1.4 ネットワーク・コンポーネントの論理的管理のためのグルーピングと,それぞれの役割や責務に関する記述。

 この要件は,システム構成要素の役割を明確にし,ネットワークの論理的な構成を説明することを求めている。ファイアウオールのアクセス制御のルール・セット(ACL:アクセス・コントロール・リスト)は,このネットワークの論理的構成に基づいて設定する。また,ファイアウオール設定基準の策定後,時の経過と共に通常,新たなセキュリティ上の脅威の出現や,ネットワークやシステムの更改があるので,ファイアウオール設定基準は四半期ごとにレビューしなければならないことが,要件1.1.8に定められている。

1.1.8 ファイアウォール/ルータに関するルール・セットの四半期レビュー。

 このような基準の作成は,セキュリティ・コンサルティング・サービス(表2)を提供しているベンダーに依頼すると,第三者の客観的な視点で作成することができるという利点がある。

表2●国内で提供されているセキュリティ・コンサルティング・サービスの例
エヌ・アール・アイ・セキュアテクノロジーズ セキュリティコンサルティング
ネットワンシステムズ 情報セキュリティ強化支援サービス
富士通総研 コンサルティングサービス
ラック 情報セキュリティマネージメント

危険なプロトコルを使うなら理由と対策を文書化

 要件1.1.7では,FTPのように悪用される危険性のあるプロトコルを利用する場合について,その理由と対策を文書化しなければならないと定めている。

1.1.7 危険性のあるプロトコル(例:FTP=file transfer protocol)を許可する場合の正当化理由と文書。そこにはそのプロトコルの利用理由と,実装されるセキュリティ機能が含まれる。

 表3は,危険性のある代表的なプロトコルについての危険性の理由である。これらのプロトコルを使用するときは,VPNによって暗号化するなど追加のセキュリティ対策を検討する必要がある。

表3●危険性のある代表的なプロトコル
プロトコル プロトコルの分類 危険性の理由
FTP ファイル転送 ログイン時にユーザー名とパスワードが平文で送信される
Telnet リモート・シェル ログイン時にユーザー名とパスワードが平文で送信される
POP3 メール メールを受信するユーザー名とパスワードが平文で送信される
APOP メール パスワードはMD5でハッシュ化されて送信されるが,MD5に関する脆弱性が公表されている
IMAP メール メールを受信,閲覧するユーザー名とパスワードが平文で送信される

鳥居 肖史
ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部 コンサルティング部 第2チーム
1997年,ネットワンシステムズに入社。主に,ファイアウォール,IDSなどネットワークセキュリティ製品に関し,多くの企業への技術支援を担当。CISSP,情報処理技術者試験,情報セキュリティアドミニストレータ,情報セキュリティ(テクニカルエンジニア),ネットワークスペシャリスト,第一種情報処理技術者。