PCI とは
- PCI DSS(Payment Card Industry Data Security Standard)
- PCI DSSとは、カード会員データを取り扱う事業者向けのセキュリティ基準で、加盟店・決済代行事業者が取り扱うカード会員のクレジットカード情報・お取り引き情報を安全に守るために、VISA・JCB・MasterCard・American Express・Discoverの国際ペイメントカードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
- PA-DSS(Payment Application Data Security Standard)
- PA-DSSとは、カード会員データを取り扱うアプリケーション向けのセキュリティ基準で、クレジットカードデータを扱うインフラに対する規格で、PA-DSSはアプリケーションを対象にしたデータセキュリティ基準です。
- PTS(PIN transaction security)
- PTSとは、PIN入力装置に対するセキュリティ基準で、世界中で行われている会員識別番号(PIN)によるトランザクションのセキュリティを保証し、PINによるすべてのト ランザクションでPIN入力を受け付けるデバイスに適用するために作成されたものです。PCI SSCでは、PTSセキュリティ要件の業務を引き継いだだけでなく、この重要規格の準拠を目指すPTSデバイスメーカーのためにすべての承認済みデバイスおよびサポート文書のリストも管理しています。また、加盟店やサービスプロバイダが即時に利用できるPTSデバイス情報の単一ソースを提供しています。
PCI DSS FAQ:
(1) 要件1.1 について
Q. FirewallとしてL3スイッチでの代用は許されるか?
A. ステートフルインスペクションがついていないとFirewallとして認めない方針である。
Q. ひとつのL3コアスイッチがFirewallを兼用しているような構成でもよいか?L3コアスイッチは、外部と内部およびDMZを接続している。
A. よい、アクセスコントロールが設定されている必要がある。
Q. DBの暗号化は必須なのか?
A. カード番号を持っていないDBでは不要である。
(2) 要件3について
Q. 「暗号化」が求められているが、どういったデータを暗号化するべきなのかという基準は通信の暗号化以外は出ているか。(通信の暗号化だけでよいのか。)
A. カード会員データ(詳細は、「PCIDSS適用性情報」を参照)が対象となる。
(3) 要件3.2について
Q. “オーソリ後に磁気ストライプの全ての情報を格納しない”とは、全てでなければいいのか、どれもだめなのか?
A. 全てを格納してはいけない。PCIDSSに格納してよいもの、悪いものの詳しい表があるので参考にすると良い。
(4) 要件4について
Q. “強力な暗号化”についての解釈の仕方は?
A. 独自ではなく、広く認められており、強度などが確認されているような暗号化方式を使うようにという意味である。
(5) 要件6.5について
Q. アプリケーション開発のガイドラインの日本語版はあるか?
A. IPAのセキュアプログラミングなどを参考にするとよい。
Q. 外部ネットワークに接続されていないネットワーク上のシステムはどこまでWAF対象か?
A. データベースを取り扱う人数が多い、アクセス制限がかけられていない、というような状況であればWAFを必要とする。
Q. 社内の他システムと接続されている場合は、そのシステムも監査対象か?
A. カード会員情報にアクセスできるかどうかが重要である。社内システムがカード会員情報を使わないなら対象外だが、社内システムからアクセスできるのであれば社内システムからも守る必要がある。
Q. ダイレクトにデータにアクセスできない仕組みとなっていればDBサーバの前に Firewallは不要か?
A. TCPラッパーなどでDBサーバへはAPサーバからしかアクセスできない仕組みとなっていれば、DBサーバの直前に必ずしもFirewallを置かなくてもいい。
Q. リスク分析を行う場合の手法、レベルは?
A. リスクアセスメントを行った内容が残っていることと、経営者がそれを承認していることが重要である。
Q. 要件6.5.7、6.5.8、6.5.9、6.5.10の内容は具体的に何か?
A. OWASPの「Webアプリケーションの脆弱性トップ10」に詳しく書かれている。
(6) 要件6.6について
Q. “アプリケーションのセキュリティを専門とする組織”とは何か?
A. 開発者自身ではない第三者組織であれば、専門企業でなくても社内のチェック組織が実施していればよい。脆弱性を取り除くためのプロセスがきちんと実行されているか、ということが重要である。
(7) 要件8.4について
Q. パスワードの暗号化の範囲は?
A. 全てマシンのOS、ネットワーク機器が対象である。伝送については、コンソール端末とサーバの間も該当する。原則としてtelnetはNGで、SSHを使用する。
(8) 要件8.5.16について
Q.「カード会員情報を保管するデータベースへのすべてのアクセスを認証する。」とあるのは、DBアクセス用IDには必ずパスワードを付けていればクリアできるのか。もしくは、アプリケーション用、管理用などでIDを使い分けているところまで求められているのか。
A. アプリケーション、アドミニストレータ、他のすべてのユーザーなど、すべてのユーザによるアクセスが含まれる。
(9) 要件10.2.5について
Q. “識別および認証メカニズムの使用”とは?
A. 個人のユーザーが特定できればよいという意味である。Admin権限のあるユーザーについて複数名が共有している場合は、誰が操作しているかの分かる仕組みが必要。作業記録などでもよい。グループIDであっても誰が使っているか特定できればいい。
(10) 要件10.2.7について
Q. “システムレベルのオブジェクト”とは?
A. ファイルやディレクトリの作成/削除などが該当する。システムコールまでは問わない。
(11) 要件10.3.5について
Q. “イベントの発生元”とは?
A. IPアドレスなど。どこからかということがわかればいい。APサーバから共有アカウントでDBアクセスする場合は、そのAPサーバに誰がアクセスしたのかがわからなければならない。
(12) 要件10.5について
Q. 監査証跡は「ログ」と考えてよいか。ログを確認したもののことか。
A. 「ログ」と考えてよい。
(13) 要件11について
Q. IDSの導入は必須か?
A. 基本的には必須である。ネットワーク構成にて判断する。インターネットへの接続の場合は必須。外部(自社ではない接続)は必須となる可能性が高い。どれくらいの人数が接続しているかということが脅威として重要な観点である。
Q. 脆弱性スキャンは必須か?
A. 必須である。内部については自社で実施してもよい。カード情報を取り扱うシステムの外側の脆弱性スキャンは、認定ベンダーにて実施しなければならない。
(14) 要件12.5.2について
Q. システムの死活監視により、システム障害はリアルタイムでメールが送られるが、セキュリティ監視はどこまで必要か。
A. リスクに基づき判断する。
(15) 全体について
Q. 文書化はどの程度要求されるか?
A. 明示的に書面、文書化と書いてあれば文書が必要である。手順に従えという記述は、このシステム用の文書でなくても他の文書にそのフローやプロセスの記述があればよい。