| 要件11 セキュリティ・システムおよび管理手順を定期的にテストすること |
OSやアプリケーションには,日々多くの脆弱性がハッカーや研究者によって発見されている。また,システムの構成および運用管理状態によっても脆弱性が存在する場合があり,システムの新規構築や変更によって,脆弱性を作り出してしまう可能性がある。PCI DSSの要件11では,これらの脆弱性を早期に把握して対処するために,定期的なテストの実施およびネットワーク監視を求めている。
セキュリティ・テストの種類
| 11.1 不正アクセス試行を適切に識別し停止できるように,セキュリティ管理,制限,ネットワーク接続,制約といった機能を,毎年テストする。無線アナライザを最低でも四半期毎に使用して,使用中のすべての無線装置を識別できるようにする。 |
要件11.1では,不正なアクセスからシステムを守るためのセキュリティ管理策の導入,ネットワーク接続の制限,アクセス制御などのセキュリティ機能が適切に適用されているかについて毎年テストすることを求めている。ここでいうセキュリティ機能とは,セキュリティ装置の導入やアクセス制御の導入にとどまらない。PCI DSSおよびセキュリティ・ポリシーに従ったセキュリティ対策の実施などのセキュリティに関する運用管理面も含まれると考えられる。
セキュリティ運用管理面に関しては,PCI DSS認定を目指す組織はカードブランドが提供する「PCI自己評価問診票」によって確実に実施されているか否かを点検する必要がある。なお,カード情報の年間取扱い件数が少ない場合は,自己問診が「必須」または「推奨」とされる。一方,取扱件数が多い場合は,自己問診は「任意」となるが,認定機関(QSA)によるオンサイト監査の受診が要求される。いずれにしても,セキュリティ運用管理面は人に依存する対策も多いため,組織のセキュリティ意識の維持向上のため,組織内での定期的な点検をお勧めする。
また,無線LANなどの無線技術を使用している場合は,不必要な無線装置(無線アクセスポイント)が存在しないか,セキュリティ設定(暗号化など)がなされていない無線装置が存在しないかを調査するため,無線アナライザを使用したテストを最低四半期ごとに実施することが求められる。
このように,テストと一言で言っても,その目的および対象によっていろいろな手法が存在する。PCI DSSで求めるテストの種類とその目的としては,表3の通りである。
| テスト種類 | 目的 | PCIDSSで求める実施頻度 |
|---|---|---|
| 脆弱性スキャニング・テスト | オペレーティング・システム,サービス,デバイスなどに存在する可能性がある脆弱性検出する | 最低四半期ごと(内部・外部とも) ネットワークの大きな変更時 |
| ペネトレーション・テスト | 脆弱性の検出に加え,検出した脆弱性を利用して攻撃者の視点で実際に侵入が可能か否か確認する | 最低年1回(インフラ,アプリケーションとも) インフラまたはアプリケーションの大きな変更時 |
| 無線アナライザでのテスト | 無線装置(無線アクセスポイント)の設置場所の調査およびセキュリティ設定がなされているか否かを確認する | 最低四半期ごと |
| セキュリティ運用管理に関するテスト | セキュリティ基準(PCI DSSの各要件及びセキュリティ・ポリシー)に基づき,対象範囲のシステムの運用状況が適切であるかを確認する | 最低年1回 |
これらのテストは,毎年,四半期ごとといった定期的な実施に加え,システムの導入時,変更時など,必要に応じて随時実施する必要がある。まずは,定期的実施が必要なものについて年間スケジュールを計画すること,および手順を整備することをお勧めする。
