PCI DSSは,クレジットカードのカード情報および取引情報を保護するために,六つの目的と,それに関する12個のデータ・セキュリティ要件を定めている。各要件には,各要求事項を実現するための詳細な管理策が規定されている。今回は要件7,要件8,要件9の概要について述べる。この三つの要件は「アクセス制御」を目的とし,その目的を実現するためにそれぞれ,「アクセス制御」「アカウント管理」「物理アクセス」を定めている。
|
要件7 カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件8 コンピュータにアクセスする利用者毎に個別のID を割り当てること 要件9 カード会員データへの物理的アクセスを制限すること |
ここでは「最小権限の原則」(「知る必要性」「Need to Know」と呼ばれる場合もある)を要求している。最小権限の原則とは「任命された業務を遂行するために必要な最小限のアクセス権のみを与えること」を指す。これを徹底することで,不正な行為を予防し,外部からの侵入などの場合にも,その被害の範囲や損害を最小限にできる。特に,論理アクセス,物理アクセスでは,この「最小権限の原則」とともに「職務の分離」(Segregation of Dutiesと呼ばれる場合もある)を行うことで,単独行動としての不正行為の成立を難しくし,他の人間と共謀しなければ不正行為ができなくなる。
| 7.1 コンピューティング・リソースとカード会員情報へのアクセスを、業務上必要な人に限定する。 |
コンピュータ・リソースおよびカード会員情報へのアクセスを最小限にすることを要求している項目である。特に,PCI DSS導入の初期段階における考慮のみだけでは不十分であり,運用中の権限変更・体制見直し,ジョブ・ローテーション,離職時なども考慮したアクセス権限の適切な変更を行う必要がある。不要となったアカウントが無効化されず放置されることに対するリスクを認識することが重要である。
| 7.2 複数のユーザーを持つシステムの場合、ユーザーの業務権限に基づいてアクセスを制限し、個別に許可されない限り「すべてを拒否」に設定したメカニズムを確立する。 |
初めに,この要件では「複数のユーザー」となっているように,単一ユーザーのシステムは,この要件の対象とならない。また,要件8で「コンピュータにアクセスする利用者毎に個別のIDを割り当てること」とされており,アカウントの使い回しやアカウントを共有することによって結果的に「個別に許可されない限りすべてを拒否」した状態になっていたとしても,この要求事項の目的を満足するものではない。
ビジネスアシュアランス / ネットワンシステムズ セキュリティ事業推進本部 コンサルティング部 第4チーム
