2007年
NetOne PCIDSS実践セミナー~情報セキュリティ対策はどこまでやれば良いのか?~当日の内容
PCIDSS監査人の視点 ここが肝要 PCIDSS対策
ソリューション本部 PCI推進室
川島 祐樹様
【Profile】
カードブランドが設立した推進協議団体(PCI-SSC)の認定監査人QSAPとして、国内十数社の訪問調査を実施。認定情報セキュリティ専門家 (CISSP)として、情報漏えい対策ソリューション,情報セキュリティ関連コンサルティングなども数多く手がけている。
■監査の視点と手法
監査は基本的に2日間の日程で行います。手順としては最初に業務の流れとネットワーク環境と構成についてご説明いただき、監査の対象となるスコープを定義します。
平たくいえばカード会員データの入り口から出口(破棄)までがスコープとなりますが、直接データの保持や処理がされていなくても、セグメント分割がされていない場合は対象となるので注意が必要です。
また、カード会員データを共有している、あるいはアクセス可能な業務委託先も全てスコープ内となるため、契約上、データの所有者や責任を明確にする必要がありますし、当然、委託先でのセキュリティ確保が求められます。
平たくいえばカード会員データの入り口から出口(破棄)までがスコープとなりますが、直接データの保持や処理がされていなくても、セグメント分割がされていない場合は対象となるので注意が必要です。
また、カード会員データを共有している、あるいはアクセス可能な業務委託先も全てスコープ内となるため、契約上、データの所有者や責任を明確にする必要がありますし、当然、委託先でのセキュリティ確保が求められます。
続いてインタビュー、ドキュメントレビュー、現場確認といった具体的な監査に入っていきます。
監査人の視点をひと言で表現すれば「カード会員データが守られているか」ということになりますが、このことはPCIDSSに記載された要件の文言が守られているかを機械的にチェックするということではありません。「その要件が意図しているのは何か?」、「どのような脅威、脆弱性に対してどのような対応策を採らなければならないのか」といった本質に基づいて総合的な判断を行い、監査を進めていくということを意味しています。
PCIDSSのバージョン1.1では代替策という考えが取り入れられ、なんらかのやむを得ない理由でオリジナルの要件が遵守できない場合、その要件が意図している「本当の意味での要件」を満たしていれば、それを代替策として認められるようになりました。
ただし、その判断はQSAPによって行われるものであり、リスク分析、業務要件の明文化を前提に、オリジナルの要件と同等以上の効果を持つ対策である必要があります。
最後に監査人によるまとめとご報告として、不適合箇所の指摘とその理由についてご説明します。監査人の提示する結果に納得できない点があれば意義を申し立てることができます。
監査人の視点をひと言で表現すれば「カード会員データが守られているか」ということになりますが、このことはPCIDSSに記載された要件の文言が守られているかを機械的にチェックするということではありません。「その要件が意図しているのは何か?」、「どのような脅威、脆弱性に対してどのような対応策を採らなければならないのか」といった本質に基づいて総合的な判断を行い、監査を進めていくということを意味しています。
PCIDSSのバージョン1.1では代替策という考えが取り入れられ、なんらかのやむを得ない理由でオリジナルの要件が遵守できない場合、その要件が意図している「本当の意味での要件」を満たしていれば、それを代替策として認められるようになりました。
ただし、その判断はQSAPによって行われるものであり、リスク分析、業務要件の明文化を前提に、オリジナルの要件と同等以上の効果を持つ対策である必要があります。
最後に監査人によるまとめとご報告として、不適合箇所の指摘とその理由についてご説明します。監査人の提示する結果に納得できない点があれば意義を申し立てることができます。
■PCIDSS要件と監査のポイント
それでは実際にPCISSSの要件に沿って、監査のポイントを、ごくかいつまんでご紹介します。
まず、セキュアなネットワークの構築と運用についてですが、業務上、必要最小限の設定であることを確認します。具体的にルーターを例に取ると設定標準、各ルーターの設定をドキュメント上で確認し、それぞれが正しく実装されているかを実機の設定と照らし合わせていきます。
まず、セキュアなネットワークの構築と運用についてですが、業務上、必要最小限の設定であることを確認します。具体的にルーターを例に取ると設定標準、各ルーターの設定をドキュメント上で確認し、それぞれが正しく実装されているかを実機の設定と照らし合わせていきます。
次に、カード会員の情報の保護についてスコープとの関係を絡めた形でご紹介します。
あるサーバーから別のサーバーへ16桁のカード番号を送信する場合、送信元のサーバーでPCIDSSに準拠したトランケーション処理を行っているかどうかによって、スコープの対象となるかどうかが判断されます。逆にいえば、送信元のサーバーでトランケーションを行うことで、送信先のサーバー、およびその伝送路をスコープ外とすることができるのです。またこれは、不要な伝送や保管を行わないという考え方の、一つの例ともいえます。
そして、ネットワークの定期的な監視とテストについては、ログを適切に監視し、保管されているかどうかを確認しますが、これは統合管理されているかどうかを問うものではありません。
もちろん統合管理されていることが望ましいのですが、複数のログサーバー等に分散されていても、「いつ」「誰が」「何を」したのかがわかるよう、必要なログが適切に管理できていればかまいません。
また、定期的なテストについては、年に4回の外部からの認定スキャンベンダーによる脆弱性スキャンと内部からのスキャン、および年1回のペネトレーションテストが義務づけられています。脆弱性スキャンとペネトレーションテストの違いは、脆弱性スキャンが単に脆弱性の有無を確認するだけなのに対して、ペネトレーションテストでは発見された脆弱性が侵入等の深刻な問題となるかどうかを検証する点にあります。
もちろん統合管理されていることが望ましいのですが、複数のログサーバー等に分散されていても、「いつ」「誰が」「何を」したのかがわかるよう、必要なログが適切に管理できていればかまいません。
また、定期的なテストについては、年に4回の外部からの認定スキャンベンダーによる脆弱性スキャンと内部からのスキャン、および年1回のペネトレーションテストが義務づけられています。脆弱性スキャンとペネトレーションテストの違いは、脆弱性スキャンが単に脆弱性の有無を確認するだけなのに対して、ペネトレーションテストでは発見された脆弱性が侵入等の深刻な問題となるかどうかを検証する点にあります。
■いかにしてスコープを狭めるかが最大のポイント
PCIDSS準拠にあたっては、要件への対応よりも先に、適切なセグメンテーションと保持・伝送するデータについての精査を行い、できる限りスコープを狭めておくことが最も重要であると考えます。
不要なデータを持たない、渡さないということを徹底することにより、PCIDSS準拠およびその後の運用管理のコストや手間を削減することができ、結果としてよりセキュアな環境を構築することになるからです。
最後になりますが、NTTデータ・セキュリティ株式会社では、監査に先だって現状での達成度を評価する予備調査を承り、準拠のポイントを押さえ、PCIDSSの理解を深めるお手伝いをしております。
不要なデータを持たない、渡さないということを徹底することにより、PCIDSS準拠およびその後の運用管理のコストや手間を削減することができ、結果としてよりセキュアな環境を構築することになるからです。
最後になりますが、NTTデータ・セキュリティ株式会社では、監査に先だって現状での達成度を評価する予備調査を承り、準拠のポイントを押さえ、PCIDSSの理解を深めるお手伝いをしております。
