クレジットカード情報を取り扱う事業者に求められる
セキュリティ要件とは？

PCI DSSは6つの項目と12の要件で構成されており、対象となる範囲において、これらすべてを遵守する必要があります。

対象システムや操作するクライアント端末にアンチウィルスソフト等を用いて悪意あるソフトウェアからの脅威に対処していること、適切に更新されること、検知する仕組みが維持されていることが求められます。

従来型のEPP (注1) による既知のマルウェアに対策することはもちろんですが、EDR (注2) を導入することで未知のマルウェアについても対策することができるほか、監視、検知の観点でSIEM (注3) を活用し、他リソースから収集したログとの相関分析を実施することで、より高度な状態にすることができます。

また本要件ではフィッシング攻撃対策を講じていることも求められます。スプーフィング (注4) 対策はもちろんですが、万が一侵入を許してしまった際の対処として、EDRやSASE製品が具備するWEBフィルタリング機能、ネットワーク型のアンチウィルス機能も有効です。

システム開発においてセキュアコーディングや適切なコードレビューが行われているのか、WEBに公開されるシステムであれば、WAF (注5) などを用いたセキュリティ対策やその対策が維持されているか定期的な検査が必要となります。また対象システムの本番環境、開発環境が明確に分離されていることも求められます。本番環境と開発環境を明確に分離するには、SASE製品によるマイクロセグメンテーション (注6) の活用が考えられます。導入したエージェント単位でのアクセス制御が可能となるため、従来型のセグメンテーションより厳密な環境分離を実現可能です。

また各システム開発や維持運用におけるアクセスログをSIEMにて収集・分析することで、「開発担当者が許可なく本番環境を操作している」といった、想定していない動作の検知にも役立ちます。　

Need to Know (注7) の考え方に基づき、重要なデータへのアクセス権が業務上必要な範囲に限定されていることが求められ、この要件は保守委託先などの第三者に貸与しているアクセス権にも適用されます。アカウントごとの適切な権限設定はもちろんですが、さらなるセキュリティ強化としてIDaaSやSDP (注8) の機能を活用することが考えられます。IDaaSに具備されるPIM (注9)、PAM (注10) といった機能を活用し、不要なユーザーはシステムにすら到達しない、アクセスできるユーザーも役職や部門等により利用できる機能を厳密に管理するといった対策のほか、アクセスを許可された従業員についても、許可された時間のみアクセス権を付与することで、より要件に合致したセキュアな状態を実現できます。

またMDMの機能を組み合わせ、そのアカウントが利用できるPC自体を制限してしまう対策も有効です。

要件2でも記載したアカウントのライフサイクルに応じた管理が実施されていることのほか、アカウントロックなどのアカウント保護措置を講じていること、重要データを含むシステムへのアクセスは多要素認証を実施し、正規ユーザーを装ったアクセスを防ぐことが求められます。

多要素認証はIDaaSの得意とする機能であり、PCI DSS要件ではネットワーク、システム/アプリケーションのどこかでMFA (注11) を活用できれば要件を満たせることから、IDaaSで対象システムにアクセスする際に多要素認証を行えれば、要件を満たすセキュアな状態を構築することが可能となり、対象システムのみ多要素認証を求めるといった利便性に配慮した設定も可能となります。

データセンターや執務室への物理的なアクセス制限として、入退室システムのアクセス権設定やアクセス記録の取得と保存を行い、許可されていない個人によるアクセスを防ぐこと、入退室ログや監視カメラの映像を記録していること、入退室の申請フロー整備状況について問われます。

直接的な活用ではありませんが、アプリケーションのログと入退室記録を組み合わせたSIEM/統合ログ管理による相関分析は不正アクセスを迅速に検知する上で有効です。疑わしい状態の検知、対処にSIEM/統合ログ管理を用いることで、よりセキュアな状態を構築可能となります。

また本要件ではアカウントデータを含むバックアップを取得している場合、その物理媒体やディスクの管理についても言及されるため、保管場所の入退室記録等も併せてSIEM/統合ログにて集約し、管理することが必要です。

システムやデータへのアクセスログを記録し、そのログが保存、監視、分析されていることや、時刻同期がなされていること、ログ収集システム等を含むセキュリティ管理システムについても保護されていることが求められます。

PCI DSSではログ保管についても最低1年間、うち即参照できる状態で3カ月と具体的に保存期間も提示されていますが、SIEMを活用すれば、通常のSyslogサーバー同様に保存や参照等に関わる要件を満たせるほか、一元管理や相関分析といった、一歩踏み込んだログ管理と活用が可能となります。

またSIEMなどのログ管理システム、時刻同期サーバーに対しても要件7に記載したようなアクセス権限設定を行い、攻撃者の活動記録隠ぺいを防ぐことが必要です。

Approved Scanning Vender (認定スキャンベンダー) による定期的な脆弱性診断の実施と、発覚した脆弱性の早急な是正が必要です。

攻撃者は常に脆弱性を有するシステム、パッチが適用されていないシステムを捜索しており、脆弱性をついて攻撃を仕掛けます。

PCI DSSの審査では対象システムへ脆弱性診断適用状況が求められますが、迅速なパッチ適用はシステムを問わず重要なセキュリティ対策となりますので、デバイスへの適用状況の把握にMDMなどの機能を活用することを推奨します。

PCI DSSを適用している範囲が文書化され、定期的な見直しが行われていることや、組織としてのセキュリティポリシーが定義されていること、セキュリティ教育が実施されていることが要求されます。
各要件で触れたルールや運用が、各規定、設計書等に反映されている必要があり、ゼロトラストアーキテクチャを活用した対策を施す場合、その対処についても漏れなく文書化が必要です。

後編では要件5から要件12について、どのようにゼロトラストアーキテクチャを活用できるのかを検討し、以下のように活用することができるのでは、と考察しました。

また前後編に渡り考察しましたPCI DSSの12要件にゼロトラストアーキテクチャをどのように活用できるのかを表にすると以下のとおりとなります。

PCI DSSの準拠には各システムや各社IT環境に応じた対策が必要となり、準拠状態の維持には、毎年維持審査をクリアすることも必要です。また常に要件を満たす形での運用継続と、規定や設計書等の文書類を常に最新化していることも重要ですので、文書やシステムの最新化と併せて、必要に応じたプロダクトやツール、アウトソースの活用によるセキュリティ強化をご検討ください。本ブログがPCI DSS準拠に向けたセキュリティ対策検討の一助となれば幸いです。