PCI DSSの改訂について要件ごとに解説する。改訂内容に関しては,逐条解説が行われ,都度,参加者からの質問に答える形で進められた。非常に熱心な質問が相次ぐ中,筆者の関心は,仮想化環境の境界にあった。例えば,QSA監査のスコープ(監査対象領域)として,どのように境界を認識すればよいかという点だ。
今回得られた回答は,論理構成で判断するというものだった。仮想化環境のセキュリティ確保や監査上の扱いについては,PCI DSSに限らず,コンプライアンスに関連する法律やガイドラインでも触れられていない最新の課題である。今回の改訂でも取り残された課題と見てよいようだ。
以下,要件ごとに改訂の内容を解説する。
■目的1:安全なネットワークの構築・維持
| 要件1:カード会員データを保護するためにファイアウォールを導入し,最適な設定を維持すること |
・すべての要求事項がファイアウォールとルーターの双方に適用されるよう,表現を明確化した。
・要件1の明確化を目的とした,要求事項を統合した。
・ファイアウォールルールのレビュー頻度を四半期ごとから6カ月ごとに変更した。それほど頻繁なファイアウォールの設定変更はないとのPCI SSC参加組織からのフィードバックによるものだ。
| 要件2:システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと |
・要求事項が適用される無線環境を「カード会員データ環境に接続」または「カード会員データを伝送する環境」と明確化した。
・認証と暗号双方に関して,無線環境で強固な暗号技術の使用を強調するためにWEPの言及を削除した。
・SSIDブロードキャストの無効化に関する要求事項を削除した。これは,SSIDがほかの多くのメッセージ/通信チャンネルでブロードキャストされるため,SSIDブロードキャストを無効化したとしても,悪意のある利用者がSSIDを特定することを防止できないことに起因する。
■目的2:カード会員データの保護
| 要件3:保存されたカード会員データを安全に保護すること |
・「カード番号(PAN)」と「強力な暗号化(strong cryptography)」のような用語に関して,用語の一貫的な使用を強化した。
・ディスク暗号化に関する要求事項について,ローカルのユーザーアカウント・データベースを対象とすることを強調した。
| 要件4:公衆ネットワーク上でカード会員データを送信する場合,暗号化すること |
・無線機器は,IEEE 802.11i規格を実装していなければならないとした。
・無線環境構築時にWEPを新規に実装することは2009年3月31日以降,許されなくなった。
・現在の無線環境でのWEPの継続利用は,2010年6月30日以降,許されなくなった。
WEPの脆弱性に関しては既に認識されており,今回の改訂で使用が禁止された。
