「リリース後1カ月以内のパッチ適用」「WAFの導入」「1日1回のログのレビュー」――。PCI DSS(PCIデータセキュリティ基準)には,情報セキュリティの基準が具体的に定められている。米国ではここ数年,PCIDSSの認定を取得する企業が急増。国内でも注目が高まっている。どのような要件があるかを解説し,要件を満たすための製品/サービスを紹介する。
「PCI DSS」改訂の裏側
上機嫌なボブのスピーチで年次総会が開幕
“仮想化”は取り残された
PCI DSSと10の神話
コンサルタントは一般企業への適用を促す
PCI DSSの概要
違反すると罰金や損害賠償が課せられる
ISMSやプライバシーマークとは全く違う
導入時は自己問診票でチェック
運用時は四半期ごとにスキャニング
情報システムに大きなインパクト
「6個の目的」と「12個の要件」
目的1:安全なネットワークの構築・維持
| 要件1:データを保護するためにファイアウォールの導入をし、最適な設定を維持すること |
FTPには対策を施さないといけない
動的パケット・フィルタを使わなければならない
DMZを設置しないといけない
| 要件2:システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと |
不要なアカウントは削除しないといけない
マシンルームへの入退室を管理しないといけない
目的2:カード会員データの保護
|
要件3:保存されたカード会員データを安全に保護すること 要件4:公衆ネットワーク上でカード会員データを送信する場合,暗号化すること |
保存するデータは最小限にしなければならない
認証データは削除しなければならない
カード番号は判読不能にしなければならない
暗号鍵を管理しなければならない
伝送データを暗号化しなければならない
目的3:脆弱性を管理するプログラムの整備
| 要件5:アンチウィルス・ソフトウェアを利用し,定期的に更新すること |
| 要件6:安全性の高いシステムとアプリケーションを開発し,保守すること |
セキュリティ・パッチは1カ月以内に適用しなければならない
ソフトウエアの変更管理手順を決めておかなければならない
コーディングの不備をつぶさなければならない
WAFを設置しなければならない
目的4:強固なアクセス制御手法の導入
| 要件7:カード会員データへのアクセスを業務上の必要範囲内に制限すること |
| 要件8:コンピュータにアクセスする利用者毎に個別のID を割り当てること |
利用者ごとに個別のIDを付与しなければならない
一般ユーザー以外のアクセス管理を徹底しなければならない
| 要件9:カード会員データへの物理的アクセスを制限すること |
物理アクセスを制限しなければならない
媒体管理をしなければならない
目的5:定期的なネットワークの監視およびテスト
| 要件10:ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視 すること |
関連するログをすべて監視しなければならない
時計を合わせなければならない
アクセス・ログを3カ月間保管しなければならない
| 要件11:セキュリティ・システムおよび管理手順を定期的にテストすること |
四半期に1回以上,脆弱性スキャンをしなければならない
すべてのネットワーク・トラフィックを監視しなければならない
目的6:情報セキュリティ・ポリシーの整備
| 要件12:情報セキュリティに関するポリシーを整備すること |
ポリシーを整備しなければならない
リスク評価を実施しなければならない
インシデント対応計画を導入しなければならない
サプライチェーンを考慮しなければならない
記者の眼
「パスワードは90日ごとの変更」が義務づけられる!?
続・「パスワードは90日ごとの変更」が義務づけられる!?
ニュース
・PCI DSS対策への不満は製品で解消できる
・「PCI DSS対策にはWAFの導入が必須だ」---Web高速化装置大手のF5がアピール
・全セキュリティ・パッチを1カ月で適用,それがPCIDSS対応の難しさだ
・楽天がクレジットカードのセキュリティ規格に準拠
・三井住友カードがPCIDSSに準拠,NTTデータ・セキュリティが認定
・PCIDSSがエンド・ツー・エンドのセキュアなファイル転送を喚起
・NTTデータ・セキュリティがクレジット・カードのセキュリティ事業を強化
・ネットワンがPCIデータ・セキュリティ準拠のためのコンサル・サービスを開始
・クレジット情報を守る「PCIデータ・セキュリティ」の元年に
