クレジットカード番号等の機微な個人情報を取り扱う事業者のなかには、従来の境界型防御にてセキュリティを担保している事業者の方もまだ多いかと思いますが、昨今のクラウドサービスの普及により情報資産が分散し、境界型防御でのセキュリティ担保が難しくなってきていることから、すべての通信を信頼しないゼロトラストセキュリティも注目されています。今回は前編として、PCI DSSの概要と要件1から要件4までの考察をお届けします。なお、本記事ではPCI DSSのVer4.0を基に記載しています。
- ※ 注意事項
PCI DSS準拠や維持にはQSA (認定審査機関) による審査を受けるか、有資格者 (ISA:社内審査資格者) による自己問診が必要となり、本記事の内容は準拠を約束するものではありません。また審査においては各要件を満たしていることの証跡提出が求められますが、各社のIT環境により提出する証跡も変わります。PCI DSSの準拠、維持を目指すにあたっては、必ずQSA、もしくは有資格者に確認のうえ、各要件に応じたセキュリティ対策に取り組んでいただきますようお願いいたします。
PCI DSS (Payment Card Industry Data Security Standard) は、クレジットカード国際ブランド5社 (VISA, Mastercard, JCB, American Express, Discover) が共同で策定した情報セキュリティ基準であり、クレジットカード情報を保護するための具体的な要件が定義されています。PCI DSSは保護すべきクレジットカード情報をアカウントデータとして以下のように定義しており、これらの情報を保存、処理、伝送するすべての事業者 (クレジットカード発行事業者はもちろん決済代行事業者等も含まれる) が対象となります。
PCI DSSは6つの項目と12の要件で構成されており、対象となる範囲において、これらすべてを遵守する必要があります。
次項より各要件に対して、ゼロトラストアーキテクチャをどのように適用できるのか考察します。
本項では各要件においてゼロトラストアーキテクチャをどのように活用できるかを考察します。
要件1: ネットワークセキュリティコントロールの導入と維持
ファイアウォール等によりアカウントデータを取り扱う環境へのアクセスが制御されていること、その制御ポリシーが適切に管理されていることが求められます。従来は物理機器による制御が中心でしたが、SASE (注2) 製品に含まれるFWaaS (注3) の機能やSDP (注4) の機能とIDaaS (注5) やMDM (注6) との連動機能を活用することで、これらのアクセス制御をより高度なものにすることが可能です。
不要なIPアドレス、ポートからのアクセスを遮断することはもちろん、ゼロトラストアーキテクチャを活用し、権限のないユーザーからのアクセス自体を遮断することや権限はあってもデバイスのセキュリティパッチが未適用であれば遮断するといった対応を行うことで、より要件の趣旨に即したアクセス制御を実現することが可能となります。
要件2: すべてのシステムコンポーネントにセキュアな設定を適用する
ハードウェアやOSに設定されているデフォルトアカウント等を排除していること、退職者等のアカウントを不要になった時点で速やかに削除または無効化するといった運用が実施されていること、不要なサービスやプロトコルが無効化されていることが求められ、準拠審査においてこのような設定となっていること、運用管理がなされていることの証明が必要となります。
IDaaSによるSSO (注7) やアカウントの一元管理機能であれば利用者の利便性向上とアカウント管理運用の効率化が可能です。人事システムなどとIDaaSを連動し、入社や異動、退職といったアカウントのライフサイクルに沿った権限変更、無効化などのID管理を自動化することで、運用効率化と併せて履歴などの提出が求められる審査業務の効率化、セキュリティ向上に役立ちます。
情報セキュリティ10大脅威 2024 (注2) でも「内部不正による情報漏えい等の被害」は3位であり、不要なアカウントを速やかに削除する等の管理運用を厳格に実施することは、情報漏えい対策としても無視できないものとなります。
アカウントデータの保存を最小限にとどめることや、アカウントデータは各処理において暗号化することが求められます。
アカウントデータを暗号化して保存することについて、対象システムのサーバー上ではローカルに保存しないことや、ミドルウェアによる暗号化が対策として考えられますが、クライアント側はIRM (注8) やDLP (注9) による持ち出し防止の対策を施すことで、よりセキュアな状態とすることが可能です。ファイルの参照、加工といった業務を行う際、その中にアカウントデータが含まれる場合には要件を満たす必要があるため、対象データを含むファイル等に対してIRMによるアクセス権限やコピー禁止等の操作権限を設定すること、想定してないデータの移動をネットワーク型のDLPにて監視することは情報漏えいを前提とした対策として有効です。
またアカウントデータが通過する通信経路も暗号化されていることが求められますので、システムとクライアント間の通信経路のセキュリティの担保として、SDPによる通信経路の暗号化、アクセス制御の活用も有効です。
要件4: オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
アカウントデータが閉域網等ではない通信経路を通る場合、強力な暗号化が施されていることが求められ、例えば業務アプリケーションを利用する執務室で無線LANを利用しているような場合、無線LANアクセスポイントへ暗号化等の対策が必要となります。
ニューノーマルな働き方が増え、社外でも当たり前に仕事をする昨今のビジネス環境において無線LANの利用も当たり前になっていますので、利用する無線LAN環境に適切なセキュリティ対策を施すことと併せて、MDMにより未許可の無線LANの利用を制限することが有効です。また本要件においてもSDPによるアクセス制御機能の活用が見込め、SDP機能を具備するSASE製品の多くは、クライアントからシステムまで暗号化された通信経路を構築し、ユーザーごとにアクセス制御を設定できることから、無線LANアクセスポイント利用時の認証設定、無線LANを通る通信の暗号化、アクセス制御と多層的なセキュリティ対策を構築できます。
前編ではPCI DSSの要件1から要件4に対して、ゼロトラストアーキテクチャをどのように活用できるのかを検討し、以下のように活用することができるのでは、と考察しました。
次回は要件5から要件12において、ゼロトラストアーキテクチャをどのように活用できるのか考察いたしますので、後編もぜひご覧ください。本ブログがPCI DSS準拠に向けたセキュリティ対策検討の一助となれば幸いです。