PCI DSSは,クレジットカードのカード情報および取引情報を保護するために,六つの目的と,それに関する12個のデータ・セキュリティ要件を定めている。各要件には,それを実現するための詳細な管理策が規定されている。今回は「ネットワーク資源の監視」および「セキュリティ・システムのテスト」について規定している,要件10と要件11の概要について述べる。
アクセス・ログの収集
| 要件10 ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し,監視すること |
要件10では,カード会員データの取扱いに関連するネットワーク環境すべてのログを収集し,内容まで監視することが求められている。要件としては単純明快である。だが,ログを収集し,監視を実施する環境を構築するためには様々なことを考慮しなければならない。以降の要件説明の中で考慮すべき点について述べていく。
アクセス・ユーザーの特定
| 10.1 システム・コンポーネントに対するすべてのアクセス(特にルートなどアドミニストレータ権限を持つユーザーによるもの)を,個々のユーザーとリンクするための手順を確立する。 |
要件10.1では,システムにアクセスした個々のユーザーを特定するための手順を確立することが求められている。例えば,ユーザーIDの配布の手続きや承認フロー,使用する本人認証情報,個々のユーザーIDの権限付与(許可されるオペレーションの範囲)などが挙げられる。要件10.1の中で強調されている,ルートやアドミニストレータなどの特権ユーザー(システムのアクセス・ログへのREAD,WRITE,DELETE権限を持つ)に関しては,より厳密な手段を定める必要がある。管理者の特定を確実にするための対策例としては,次のようなものがある。
・ルート・ユーザーでの直接ログインを不可とし,個々のユーザーIDからしか切替えを許可しない
・IPアドレスなどによってルート・ユーザーで操作できる端末を制限する
・OS機能などでルート・ユーザーの権限に一定の制限をかける
これらの対策に加え,PCI DSS対象のシステムであること,システム内で禁止されている操作の周知を行なうことで,より効果的となる。図1では権限IDでの直接ログイン拒否について示している。
アクセス・ログの内容
|
10.2 すべてのシステム・コンポーネントに対して,以下のイベントを追跡するための自動監査証跡を導入する。 10.2.1 カード会員データに対する,個人ユーザーによるすべてのアクセス 10.2.2 ルートまたはアドミニストレータ権限を持つ個人が行ったすべての操作 10.2.3 すべての監査証跡へのアクセス 10.2.4 無効な論理的アクセス試行 10.2.5 識別および認証メカニズムの使用 10.2.6 監査ログの初期化 10.2.7 システムレベルのオブジェクトの作成と削除 |
要件10.2では,ログに記録すべき内容を七つの項目で詳細に定義している。ログ収集の対象は「ネットワーク資源およびカード会員データに対するすべてのアクセス」なので,対象に含まれるアプリケーション・サーバーやネットワーク機器などが,要件10.2で示しているログに記録すべき項目に対応していない場合があり得る。対策を検討する前にまずは現状調査を行わなければならない。要件10.2と要件10.3では,対象のサーバーや機器に対して,個々に調査する必要があるので,一覧表形式でまとめると分かりやすい。チェックした結果は,三つに大別する。
○:既に要件を満たしている
△:ログ出力設定の変更などで要件を満たせる(変更に伴うリスクを考慮)
×:要件を満たしていない(改修や製品の変更が必要)
△または×に評価されたものに対しては,何らかの対応が求められるだろう。
|
10.3 すべてのシステム・コンポーネントにおいて,イベントごとに少なくとも次の監査証跡を記録する。 10.3.1 ユーザーID 10.3.2 イベントのタイプ 10.3.3 日付と時刻 10.3.4 成功または失敗の表示 10.3.5 イベントの起点 10.3.6 影響を受けたデータ,システム・コンポーネント,リソースの識別子もしくは名前 |
