このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

閉じる
閉じる
閉じる
クレジットカード情報を取り扱う事業者に求められるセキュリティ要件とは?
ゼロトラストブログ vol. 13

クレジットカード情報を取り扱う事業者に求められる
セキュリティ要件とは?

~ PCI DSS要件へのゼロトラストアーキテクチャ活用を考察する (後編) ~

2024 7/12
PCI DSSが求めるセキュリティ要件に対し、ゼロトラストアーキテクチャをどう活用できるのか考察しておりますが、前編の記事はご覧いただけましたでしょうか。今回は後編として、要件5から要件12までの考察をゼロトラスト推進部の小川がご紹介します。PCI DSSはカード発行会社や決済代行事業者等のクレジットカードを取り扱う多くの事業者に対応が求められるため、クレジットカード情報の保護を検討されている事業者の皆さまはぜひご一読ください。前編ではPCI DSSの概要と要件1から要件4までの考察を記載していますので、まだご覧いただいていない場合は先に前編をご覧いただくことを推奨します。

ゼロトラストについてのおさらいは、こちらの記事を参照ください




PCI DSS要件 (振り返り)

PCI DSSは6つの項目と12の要件構成されており、対象となる範囲において、これらすべてを遵守する必要があります。

  • ※ 注意事項
    PCI DSS準拠や維持にはQSA (認定審査機関) による審査を受けるか、有資格者 (ISA:社内審査資格者) による自己問診が必要となり、本記事の内容は準拠を約束するものではありません。また審査においては各要件を満たしていることの証跡提出が求められますが、各社のIT環境により提出する証跡も変わります。PCI DSSの準拠、維持を目指すにあたっては、必ずQSA、もしくは有資格者に確認のうえ、各要件に応じたセキュリティ対策に取り組んでいただきますようお願いいたします。
6つの項目 12の要件
1. 安全なネットワークのシステムの構築と維持
  • [1] ネットワークセキュリティコントロールの導入と維持
  • [2] すべてのシステムコンポーネントにセキュアな設定を適用する
2. アカウントデータの保護
  • [3] 保存されたアカウントデータの保護
  • [4] オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
3. 脆弱性管理プログラムの維持
  • [5] 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
  • [6] 安全なシステムおよびソフトウェアの開発と維持
4. 強力なアクセス制御の実施
  • [7] システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲 (Need to Know) によって制限する
  • [8] ユーザーの識別とシステムコンポーネントへのアクセスの認証
  • [9] カード会員データへの物理アクセスを制限する
5. ネットワークの定期的な監視とテスト
  • [10] システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
  • [11] システムおよびネットワークのセキュリティを定期的にテストする
6. 情報セキュリティ・ポリシーの維持
  • [12] 組織の方針とプログラムによって情報セキュリティをサポートする

表1: PCI DSSの6つの項目と12の要件

各要件においてゼロトラストアーキテクチャを
どのように活用できるのか考察する (続き)

要件5: 悪意のあるソフトウェアからすべてのシステムおよびネットワーク保護する

対象システム操作するクライアント端末アンチウィルスソフト等を用いて悪意あるソフトウェアからの脅威対処していること、適切更新されること、検知する仕組みが維持されていることが求められます。

従来型のEPP (注1) による既知マルウェア対策することはもちろんですが、EDR (注2) を導入することで未知マルウェアについても対策することができるほか、監視検知観点でSIEM (注3) を活用し、他リソースから収集したログとの相関分析実施することで、より高度状態にすることができます。

また本要件ではフィッシング攻撃対策を講じていることも求められます。スプーフィング (注4) 対策はもちろんですが、万が一侵入を許してしまった際の対処として、EDRやSASE製品具備するWEBフィルタリング機能、ネットワーク型のアンチウィルス機能も有効です。

SIEMによるログ収集、分析。EDRで未知のマルウェアにも対処。

要件6: 安全システムおよびソフトウェア開発維持

システム開発においてセキュアコーディング適切コードレビューが行われているのか、WEBに公開されるシステムであれば、WAF (注5) などを用いたセキュリティ対策やその対策維持されているか定期的検査必要となります。また対象システム本番環境開発環境明確分離されていることも求められます。本番環境開発環境明確分離するには、SASE製品によるマイクロセグメンテーション (注6)活用が考えられます。導入したエージェント単位でのアクセス制御可能となるため、従来型セグメンテーションより厳密環境分離実現可能です。

また各システム開発維持運用におけるアクセスログをSIEMにて収集分析することで、「開発担当者許可なく本番環境操作している」といった、想定していない動作検知にも役立ちます。 

SDP マイクロセグメンテーションの設定

要件7: システムコンポーネントおよびカード会員データへのアクセスを、業務上必要適用範囲 (Need to Know)  によって制限する

Need to Know (注7) の考え方に基づき、重要データへのアクセス権が業務上必要範囲限定されていることが求められ、この要件保守委託先など第三者貸与しているアクセス権にも適用されます。アカウントごとの適切権限設定はもちろんですが、さらなるセキュリティ強化としてIDaaSやSDP (注8) の機能活用することが考えられます。IDaaSに具備されるPIM (注9)、PAM (注10) といった機能活用し、不要ユーザーシステムにすら到達しない、アクセスできるユーザー役職部門等により利用できる機能厳密管理するといった対策のほか、アクセス許可された従業員についても、許可された時間のみアクセス権を付与することで、より要件合致したセキュア状態実現できます。

またMDMの機能を組み合わせ、そのアカウント利用できるPC自体制限してしまう対策有効です。

PIM/PAMを用いて対象機器に予定された時間のみ有効な特権アクセス権を付与

要件8: ユーザー識別システムコンポーネントへのアクセス認証

要件2でも記載したアカウントライフサイクルに応じた管理実施されていることのほか、アカウントロックなどアカウント保護措置を講じていること、重要データを含むシステムへのアクセス多要素認証実施し、正規ユーザーを装ったアクセスを防ぐことが求められます。

多要素認証はIDaaSの得意とする機能であり、PCI DSS要件ではネットワークシステム/アプリケーションのどこかでMFA (注11) を活用できれば要件を満たせることから、IDaaSで対象システムアクセスする際に多要素認証を行えれば、要件を満たすセキュア状態構築することが可能となり、対象システムのみ多要素認証を求めるといった利便性配慮した設定可能となります。

対象システムはID/PASSに加えて、ワンタイムパスワード等の多要素認証を求める。対象外システムの認証は従来通り

要件9: カード会員データへの物理アクセス制限する

データセンター執務室への物理的アクセス制限として、入退室システムアクセス権設定アクセス記録取得保存を行い、許可されていない個人によるアクセスを防ぐこと、入退室ログ監視カメラ映像記録していること、入退室申請フロー整備状況について問われます。

直接的活用ではありませんが、アプリケーションログ入退室記録を組み合わせたSIEM/統合ログ管理による相関分析不正アクセス迅速検知する上で有効です。疑わしい状態検知対処にSIEM/統合ログ管理を用いることで、よりセキュア状態構築可能となります。

また本要件ではアカウントデータを含むバックアップ取得している場合、その物理媒体ディスク管理についても言及されるため、保管場所入退室記録等も併せてSIEM/統合ログにて集約し、管理することが必要です。

SIEMによる入退室ログ収集、分析

要件10: システムコンポーネントおよびカード会員データへのすべてのアクセスログ記録し、監視すること

システムデータへのアクセスログ記録し、そのログ保存監視分析されていることや、時刻同期がなされていること、ログ収集システム等を含むセキュリティ管理システムについても保護されていることが求められます。

PCI DSSではログ保管についても最低1年間、うち即参照できる状態で3カ月と具体的保存期間提示されていますが、SIEMを活用すれば、通常のSyslogサーバー同様保存参照等に関わる要件を満たせるほか、一元管理相関分析といった、一歩踏み込んだログ管理活用可能となります。

またSIEMなどのログ管理システム時刻同期サーバーに対しても要件7に記載したようなアクセス権限設定を行い、攻撃者活動記録隠ぺいを防ぐことが必要です。

SIEMによるアクセスログの収集、分析

要件11: システムおよびネットワークセキュリティ定期的テストする

Approved Scanning Vender (認定スキャンベンダー) による定期的脆弱性診断実施と、発覚した脆弱性早急是正必要です。

攻撃者は常に脆弱性を有するシステムパッチ適用されていないシステム捜索しており、脆弱性をついて攻撃仕掛けます。

PCI DSSの審査では対象システム脆弱性診断適用状況が求められますが、迅速パッチ適用システムを問わず重要セキュリティ対策となりますので、デバイスへの適用状況把握にMDMなどの機能活用することを推奨します。

認定スキャンベンダー (ASV) による脆弱性診断を定期的に実施する

要件12: 組織方針プログラムによって情報セキュリティサポートする

PCI DSSを適用している範囲文書化され、定期的見直しが行われていることや、組織としてのセキュリティポリシー定義されていること、セキュリティ教育実施されていることが要求されます。
各要件で触れたルール運用が、各規定設計書等反映されている必要があり、ゼロトラストアーキテクチャ活用した対策を施す場合、その対処についても漏れなく文書化必要です。


  • 注1) EPP (Endpoint Protection Platform) とは、エンドポイント端末 (個々のコンピュータースマートフォンなどの接続デバイス) を、マルウェアなど脅威侵入から保護するためのセキュリティソリューション
  • 注2) EDR (Endpoint Detection and Response) とは、エンドポイント端末 (個々のコンピュータースマートフォンなどの接続デバイス) を監視し、不審な振る舞いを検知して対処するためのツールサービス
  • 注3) SIEM (Security Information and Event Management) とは、セキュリティ機器ネットワーク機器などからログを集めて一元管理し、相関分析によってセキュリティインシデント自動的発見するためのソリューション
  • 注4) スプーフィングとは、信頼のおける知人会社組織になりすまし、情報を盗むサイバー攻撃
  • 注5) WAF (Web Application Firewall) とは、WEBアプリケーション前面ネットワーク配置し、脆弱性悪用した攻撃検出低減する対策
  • 注6) マイクロセグメンテーションとは、ネットワークを細かい単位区切り、許可された利用者端末のみが接続できるようにするネットワーク設計手法
  • 注7) Need-to-Knowの原則とは、組織における情報管理基本原則の一つで、その情報必要とする人にのみ情報に接する権限を与えるという考え方。
  •  
  • 注8) SDP (Software Defined Perimeter) とは、アクセス制御ソフトウェア実現することで、物理的境界では防ぎきれない脅威対処する技術
  • 注9) PIM (Privileged Identity Management) とは、特権ロール (役割) を厳格管理し、管理必要役割必要なときに、組織内承認されてから割り当てる機能
  • 注10) PAM (Priviledged Access Management) とは、特権アクセス監視検出防止するため、誰が特権アカウント使用しているか、およびログインした状態で何をしているかを可視化する機能
  • 注11) MFA (Multi-Factor Authentication) とは、利用者本人認証において、複数の異なる原理認証手段を組み合わせて用いることにより精度安全性を高める手法

まとめ

後編では要件5から要件12について、どのようにゼロトラストアーキテクチャ活用できるのかを検討し、以下のように活用することができるのでは、と考察しました。

また前後編に渡り考察しましたPCI DSSの12要件ゼロトラストアーキテクチャをどのように活用できるのかを表にすると以下のとおりとなります。

要件 ID
IDaaS/MFA、SSO
エンドポイント
EDR/MDM
アプリケーション
CASB/PIM/PAM
データ
IRM/DLP
ネットワーク
SASE (SDP)
運用監視
SIEM
1 - - -
2 - - - - -
3 - - - -
4 - - - -
5 - - -
6 - - - - -
7 - - -
8 - - - - -
9 - - - - -
10 - - - - -
11 - - - - -
12 上記を含むセキュリティ要件、運用、ルールを社内規定や設計書等に反映する

PCI DSSの準拠には各システム各社IT環境に応じた対策必要となり、準拠状態維持には、毎年維持審査クリアすることも必要です。また常に要件を満たす形での運用継続と、規定設計書等文書類を常に最新化していることも重要ですので、文書システム最新化と併せて、必要に応じたプロダクトツールアウトソース活用によるセキュリティ強化をご検討ください。本ブログがPCI DSS準拠に向けたセキュリティ対策検討一助となれば幸いです。


ご参考

前後編のブログにてご紹介しておりますSASEやEDR等のゼロトラストアーキテクチャですが、導入に関するコンサルティングから導入後の運用支援までKDDIでご提供することが可能です。
こちらの記事もぜひご覧ください。


執筆者プロフィール

小川 智章 (おがわ ともあき)
イシュアの情報システム部に14年在籍し、複数の構築案件PMやインフラ責任者としてアプリケーション、インフラ、ネットワーク構築に係るさまざまな案件の上流工程に従事、2023年4月にKDDIへ入社。
現在は、ゼロトラストを中心としたITインフラのコンサルティングを担当。

本サービスへのお問い合わせ

KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。

ホワイトペーパー

最新のイベント・セミナー情報



ピックアップ