2008年
「PCI データセキュリティ基準完全対策」 出版記念セミナー~当日の内容
書籍の紹介とPCI DSSの要件解説
セキュリティ事業推進本部 コンサルティング部 部長
豊田 祥一
【Profile】
2005年にネットワンシステムズ入社。前職において、iDCにおけるECシステムの運用業務に携わり、主にPKIを導入したインターネット・サービスの運用業務設計を担当。現職においては、ネットワーク・ベンダーの視点に基づくコンサルティング・ビジネスを推進。2006年より、PCI DSSに関するセミナー講師を実施。前宮内庁CIO補佐官。
■なぜPCI DSSなのか
ネットワンシステムズはもともとネットワーク構築を手がけてきたいわゆる物販会社であり、セキュリティの商材をお客様にどう説明するかということは我々の大きな一つのミッションです。このPCI DSSはお客様に対して、セキュリティ商材がどこをカバーリングするものかということを、非常に良く説明しています。
ネットワンシステムズでは、営業のツールとして、グローバルスタンダードのPCI DSSやその他ISO基準のコンサルティングをミックスし、お客様に提案していく、というところからPCI DSSの取り組みを始めています。
ネットワンシステムズでは、営業のツールとして、グローバルスタンダードのPCI DSSやその他ISO基準のコンサルティングをミックスし、お客様に提案していく、というところからPCI DSSの取り組みを始めています。
■本書の意義
本書の意義は3つあります。
1. PCI データセキュリティ基準の要求事項の解説
PCI DSSは、PCIという言葉をエンタープライズと置き換え、エンタープライズ DSSとするといろいろな業種業態に適用できます。その観点からPCI DSSの要求事項を解説しております。
2. オンライン上での情報の保護という視点における情報セキュリティ対策の解説
PCI DSSの大きな特徴としてネットワークセキュリティに非常に大きな重点を置いています。今日のクレジットカードの流通形態を考えると、オンライン上での漏洩に対して、どのように対処していくかということが非常に重要となります。
3. サプライチェーンに着目した情報セキュリティ対策の解説
実務基準に落ちたところで、グループ会社を含めて、いわゆるコンプライアンスを徹底していく、といったサプライチェーンの観点からPCI DSSを解説しております。
1. PCI データセキュリティ基準の要求事項の解説
PCI DSSは、PCIという言葉をエンタープライズと置き換え、エンタープライズ DSSとするといろいろな業種業態に適用できます。その観点からPCI DSSの要求事項を解説しております。
2. オンライン上での情報の保護という視点における情報セキュリティ対策の解説
PCI DSSの大きな特徴としてネットワークセキュリティに非常に大きな重点を置いています。今日のクレジットカードの流通形態を考えると、オンライン上での漏洩に対して、どのように対処していくかということが非常に重要となります。
3. サプライチェーンに着目した情報セキュリティ対策の解説
実務基準に落ちたところで、グループ会社を含めて、いわゆるコンプライアンスを徹底していく、といったサプライチェーンの観点からPCI DSSを解説しております。
■本書の構成
第1章 PCIDSS の概要と構成
第2章 PCI DSSの要件解説
第3章 PCI DSSの監査
第2章 PCI DSSの要件解説
第3章 PCI DSSの監査
□第1章 PCIDSS の概要と構成
1-1.カード業界
1-2.PCIDSSに関連するセキュリティ対策の動き
1-3.PCIDSSとは
PCI DSSの概要、6つのカテゴリと12の要件を解説しております。
1-4.国内における法律やガイドライン、そのほかセキュリティ基準との関係
ISMSとPCIDSS、あるいは、個人情報保護法について重点的に解説しております。
また、両者の観点の違いや、各種ガイドラインとの比較検討を行っております。
ISMSはマネージメントを、PCI DSSは管理策を重視しております。
1-5.AIS・SDP遵守の確認手続き(バリデーション)
VISAあるいはマスターカードの認証基準とPCI DSSとの関係、さらに確認手続きについて述べております。
1-6.PCIコンプライアンスの実現
PCI DSS の要件の記載事項を分解し、PCI DSS に準拠したマネージメントシステムの実現手順を、PDCAサイクルに関連付けて解説しています。
ISMSの本文ではマネージメントシステムについてPDCA をどうまわしたらいいか、後半では詳細管理策のところで、どういった細かい管理策を決めていくべきか、というような記載がなされています。
これに対しPCI DSSでは、要件自体がセキュリティの分野、カテゴリごとに分かれていますので、必ずしもPDCAサイクルに基づいて書いておりません。このため本書では、作成すべき文章及び記録類とシステムコンポーネントを類型化するとともに、要件に対してどのように対応すべきかという点について、PDCAサイクルに則った形で整理し、記述しています。
1-2.PCIDSSに関連するセキュリティ対策の動き
1-3.PCIDSSとは
PCI DSSの概要、6つのカテゴリと12の要件を解説しております。
1-4.国内における法律やガイドライン、そのほかセキュリティ基準との関係
ISMSとPCIDSS、あるいは、個人情報保護法について重点的に解説しております。
また、両者の観点の違いや、各種ガイドラインとの比較検討を行っております。
ISMSはマネージメントを、PCI DSSは管理策を重視しております。
1-5.AIS・SDP遵守の確認手続き(バリデーション)
VISAあるいはマスターカードの認証基準とPCI DSSとの関係、さらに確認手続きについて述べております。
1-6.PCIコンプライアンスの実現
PCI DSS の要件の記載事項を分解し、PCI DSS に準拠したマネージメントシステムの実現手順を、PDCAサイクルに関連付けて解説しています。
ISMSの本文ではマネージメントシステムについてPDCA をどうまわしたらいいか、後半では詳細管理策のところで、どういった細かい管理策を決めていくべきか、というような記載がなされています。
これに対しPCI DSSでは、要件自体がセキュリティの分野、カテゴリごとに分かれていますので、必ずしもPDCAサイクルに基づいて書いておりません。このため本書では、作成すべき文章及び記録類とシステムコンポーネントを類型化するとともに、要件に対してどのように対応すべきかという点について、PDCAサイクルに則った形で整理し、記述しています。
□第2章 PCI DSSの要件解説
ルータ、スイッチ、ファイアウォール等により構築された基盤システムの上に、IDS、IPS、ウィルス対策といったセキュリティ対策機能を実装していく必要があります。PCI DSSの要件は技術的要素が強く、具体的製品によって対策を実現すべきものが多く含まれています。このため、各製品の技術に長けた担当者が要件解説を行っております。
PCI DSS の6つのカテゴリは、守るべきセキュリティの観点を示しているという意味で重要な概念です。
2-1、2. 安全なネットワークの構築維持(要件1、2)
2-3、4. カード会員データの保護(要件3、4)
2-5、6. 脆弱性を管理するプログラムの整備(要件5、6)
2-7、8、9. 強固なアクセス制御手法の導入(要件7、8、9)
2-10、11. 定期的なネットワークの監視およびテスト(要件10、11)
2-12. 情報セキュリティポリシーの整備(要件12)
2-13. ホスティングプロバイダへのPCI DSSの適用(付録A)
2-14. 代替コントロール(付録B)
PCI DSS の6つのカテゴリは、守るべきセキュリティの観点を示しているという意味で重要な概念です。
2-1、2. 安全なネットワークの構築維持(要件1、2)
2-3、4. カード会員データの保護(要件3、4)
2-5、6. 脆弱性を管理するプログラムの整備(要件5、6)
2-7、8、9. 強固なアクセス制御手法の導入(要件7、8、9)
2-10、11. 定期的なネットワークの監視およびテスト(要件10、11)
2-12. 情報セキュリティポリシーの整備(要件12)
2-13. ホスティングプロバイダへのPCI DSSの適用(付録A)
2-14. 代替コントロール(付録B)
□PCI DSS の中で実装が難しい部分とは
◆非コンソールアクセス(要件2)
PCI DSSでは非コンソールアクセスの暗号化を要求しているため、例えばtelnet で管理している場合には、SSH等に変更しなければなりません。このため、SSH のプログラムを全サーバーに適用する、または管理用の専用システムを導入するという大規模な対策が必要となる場合があります。
◆カード番号の暗号化(要件3)
データベースに格納されたカード番号の暗号化は、システムに対する影響度合いが非常に高いです。パフォーマンスをいかに落とさずに暗号化するかに対しては、データベースのデータ格納方式等の見直しが必要な場合があり、抜本的に暗号化のやり方というものを設計し直すような場合も出てくる可能性があります。また要件に則った鍵の管理の徹底も大変です。
◆1ヶ月以内のセキュリティパッチ適用(要件6)
セキュリティパッチの適用というのは、基本的にはシステムの変更になるため、パッチ適用後の正常稼動を確認する十分な検証作業が必要不可欠です。このため、1ヶ月以内に適用するという要求事項はインパクトが強いと思われます。
◆WAFの導入(要件6)
Web アプリケーションに対してコードレビューをするか、もしくはWAF の導入が要求されています。特に、WAF の導入に関しては、負荷分散装置やSSLアクセラレーター等の付随するシステムコンポーネントとの整合性がありますので、十分な注意が必要となります。
◆ログ管理システム(要件10)
ログサーバの導入には、収集、解析、アラートの発報等の総合的なログ管理というものが要求されており、非常に厄介です。スコープをなるべく小さくして、要求事項を満足させるログを少なくした上で、システム導入を検討することが必要となります。
◆ファイルの改ざん検知(要件11)
ファイル完全性監視ソフトウェアを使用して、ログデータ等の重要ファイルの改ざんを検知し、監視することを求めています。この要求事項も、システムへのインパクトが大きい部分です。
PCI DSSでは非コンソールアクセスの暗号化を要求しているため、例えばtelnet で管理している場合には、SSH等に変更しなければなりません。このため、SSH のプログラムを全サーバーに適用する、または管理用の専用システムを導入するという大規模な対策が必要となる場合があります。
◆カード番号の暗号化(要件3)
データベースに格納されたカード番号の暗号化は、システムに対する影響度合いが非常に高いです。パフォーマンスをいかに落とさずに暗号化するかに対しては、データベースのデータ格納方式等の見直しが必要な場合があり、抜本的に暗号化のやり方というものを設計し直すような場合も出てくる可能性があります。また要件に則った鍵の管理の徹底も大変です。
◆1ヶ月以内のセキュリティパッチ適用(要件6)
セキュリティパッチの適用というのは、基本的にはシステムの変更になるため、パッチ適用後の正常稼動を確認する十分な検証作業が必要不可欠です。このため、1ヶ月以内に適用するという要求事項はインパクトが強いと思われます。
◆WAFの導入(要件6)
Web アプリケーションに対してコードレビューをするか、もしくはWAF の導入が要求されています。特に、WAF の導入に関しては、負荷分散装置やSSLアクセラレーター等の付随するシステムコンポーネントとの整合性がありますので、十分な注意が必要となります。
◆ログ管理システム(要件10)
ログサーバの導入には、収集、解析、アラートの発報等の総合的なログ管理というものが要求されており、非常に厄介です。スコープをなるべく小さくして、要求事項を満足させるログを少なくした上で、システム導入を検討することが必要となります。
◆ファイルの改ざん検知(要件11)
ファイル完全性監視ソフトウェアを使用して、ログデータ等の重要ファイルの改ざんを検知し、監視することを求めています。この要求事項も、システムへのインパクトが大きい部分です。
□第3章 PCI DSSの監査
第1章では、構築をする側として読み取れるプロセスとなります。第3章は、監査側として必要となるプロセスですので、見比べていただくと良いかもしれません。
