クレジットカード会員データを取り扱う企業では、すでに2024年3月末からPCI DSS v4.0の運用が始まっているかと思います。
ただし、ベストプラクティス要件(※)については、2025年3月末までの猶予期間が設けられており、多くの企業がこの要件への対応を進めている最中ではないでしょうか。
本記事では、PCI DSS v3.2.1からv4.0への移行を予定している企業や、新たにPCI DSS v4.0の基準達成を目指す企業に向けて、「システムの安定稼働のために重要となるマイルストーン4」にフォーカスし、ベストプラクティス要件を含めた「専門性の高いツールの導入が必須」となるポイントに対応可能なソリューションをご紹介します。
- ベストプラクティス要件:バージョンアップによって企業に大きな負担がかかる新要件に対して、特定の期日までの猶予期間を設ける措置。期限までは対応していなくても不適合にならないが、その期日以降は正式な要件になるという考え方。
目次
1:【PCI DSS v4.0対応】ベストプラクティス要件一覧
PCI DSSでは、準拠への取り組みを進めながら、組織やシステムを段階的に脅威から保護できるよう、6つのリスクベースのマイルストーンが定められています。
そのため、バージョンアップに伴うベストプラクティス要件についても、このマイルストーンに沿って実施することが望ましく、リスクベースで分類されていることから、ソリューションを検討する際の「製品ごとの準拠寄与率を比較する基準」としても活用できます。
特にマイルストーン4には、v3.2.1からv4.0へのアップデートに伴いベストプラクティス要件となった要件10.4.1.1「監査ログの自動レビュー」をはじめ、既存の運用に大きな変更が求められる、いわゆる「負担の大きい項目」が含まれています。
navigate_next参考: 【PCI Security Standards Council】PCI DSS 準拠を追求するための優先的アプローチ(PDF)
表1.PCI DSS へのコンプライアンスの取り組みを優先するためのマイルストーン(『PCI DSS に対する優先アプローチ』より)
| マイル ストーン |
ゴール |
|---|---|
| 1 | センシティブ認証データを保存せず、カード会員データの保持を制限します。 このマイルストーンは、侵害された事業体の主要なリスク領域を対象としています。 覚えておいてください - 機密認証データやその他のアカウント データが保存されていない場合、侵害の影響は大幅に軽減されます。 必要がない場合は、保管しないでください。 |
| 2 | システムとネットワークを保護し、システム侵害に対応できるように準備をします。 このマイルストーンは、ほとんどの侵害へのアクセス ポイントと対応プロセスを制御します。 |
| 3 | 安全なペイメントアプリケーション。 このマイルストーンは、アプリケーション、アプリケーション プロセス、およびアプリケーション サーバーの制御を対象としています。これらの領域の脆弱性は、システムへの侵害やカード会員データへの不正なアクセスの機会をぞう服します。 |
| 4 | システムへのアクセスを監視および制御します。 このマイルストーンの対応により、ネットワークおよびカード会員データ環境に対して、誰が、何を、いつ、どのようにしてアクセスしたかについての検知を実現できます。 |
| 5 | 保存されたカード会員データを保護します。 ビジネス プロセスを分析し、プライマリ アカウント番号を保存する必要があると判断した組織にとって、このマイルストーンは、保存されたデータの主要な保護メカニズムを対象とします。 |
| 6 | 残りの準拠活動の取り組みを完了し、すべての管理が整っていることを確認します。 このマイルストーンは、PCI DSS 要件を完了し、カード会員データ環境を保護するために必要な、残りの関連ポリシー、手順、プロセスをすべて完了することです。 |
本ページにて紹介するソリューションではマイルストーン4に含まれる要件のうち、以下表2.の赤地箇所について全体または細目について準拠に寄与することが可能です。
表2.優先マイルストーン4の項目一覧とベストプラクティス要件の件数
〇:本記事製品の導入により準拠が見込まれる │ ×:本記事製品は準拠に寄与しない │ ※:一部細目の準拠に寄与し得る
| 要件通番 | 要件詳細 | 適正 | ベストプラクティス 要件数 |
|---|---|---|---|
| 7.2 | システムの構成要素やデータへのアクセスが適切に定義され、割り当てられています。 | × | 該当なし |
| 7.3 | システムの構成要素やデータへのアクセスは、アクセスコントロールシステムによって管理されます。 | ※ | 該当なし |
| 8.3.8 | 認証の方針と手順が文書化され、以下を含む全ユーザーに伝達されています。(以下略) | × | 該当なし |
| 8.3.11 | 物理的または論理的セキュリティトークン、スマートカード、または証明書などの認証要素が使用される場合は、以下が適用されます。(以下略) | × | 該当なし |
| 8.6 | アプリケーションおよびシステムアカウントの使用、および関連する認証要素を厳密に管理する。 | × | 3項目有り |
| 10.2 | 監査ログが実装され、異常や疑わしい活動の検出、及びイベントのフォレンジック分析がサポートされます。 | 〇 | 該当なし |
| 10.3 | 監査ログが破壊や不正な改ざんから保護されていること。 | 〇 | 該当なし | 10.4 | 監査ログをレビューし、異常または疑わしいアクティビティを識別することができる。 | 〇 | 2項目有り |
| 10.5 | 監査ログの履歴を保持し、分析に利用できるようにしている。 | 〇 | 1項目有り |
| 10.6 | 時刻同期仕組みが、すべてのシステムで一貫した時刻設定をサポートすること | × | 該当なし |
| 10.7 | 重要なセキュリティ制御システムの障害を迅速に検知し、報告し、応答することができます。 | ○ | 1項目有り |
| 11.2 | 無線アクセスポイントが特定され、監視され、未許可の無線アクセスポイントに対処する。 | ※ | 該当なし |
| 11.5.2 | 変更検出仕組み(例えば、ファイル整合性監視ツール)は、以下のように展開される。(以下略) | 〇 | 該当なし |
| 付録A1.1 | マルチテナント型サービス事業者は、すべての顧客環境及びデータを保護し、分離する。 | × | 2項目有り |
| 付録A1.2.1 | 監査ログ機能が、以下を含むPCI DSS要件10と一致する各顧客の環境に対して有効化されています。 | 〇 | 該当なし |
〇:本記事製品の導入により準拠が見込まれる │ ×:本記事製品は準拠に寄与しない │ ※:一部細目の準拠に寄与し得る
特に、v4.0へのバージョンアップに伴いベストプラクティス要件として追加された項目については対応期日が迫っていることやシステムの抜本的な見直しが見込まれることから対応を急いでいることと思います。
上記表2.赤枠箇所のうちベストプラクティス要件に含まれている項目は以下の通りとなります。ここでは各項目における対応の鬼門とその方法について解説します。
| 要件番号 | 内容 |
|---|---|
| 要件10.4.1.1 | 監査ログのレビューを行うために、自動化されたメカニズムが使用されている。 |
| 要件10.4.2 | その他全てのシステムコンポーネントのログを定期的にレビューする。 |
| 要件10.5 要件10.7 |
監査ログの履歴は保持され、分析に利用できる状態にする。監査ログの履歴を少なくとも12カ月間保持し、少なくとも直近の3カ月間は分析のために直ちに利用できるようにする。重要なセキュリティ制御システムの障害を迅速に検知し、報告し、応答することができます。 |
| 要件3.5.1.2 ※マイルストーン5で本ソリューションにて達成が見込まれる要件 |
ディスクレベルまたはパーティションレベルの暗号化(ファイル、列、フィールドレベルのデータベース暗号化ではない)を使用して PAN を読み取り不能にする場合、以下のようにのみ実装される。 リムーバブル電子メディア上 リムーバブルでない電子メディアに使用する場合 以上のいずれかの場合、要件 3.5.1 を満たす別のメカニズムで PAN も読み取り不能にする。 |
2:「監査ログ」へどのように対応すべきか
要件10.4.1.1および要件10.5は、ファイルログ、WebログおよびユーザーログといったPCの操作ログが必要であり、MylogStarで取得できます。そのうえで、監査においては大量のログを確認する必要があるため、不正アクセスを見落とさないように監査ログレビューの自動化が求められ、少なくとも直近の3カ月間は分析のために直ちに利用できる環境が求められています。
これらの要件に対応するソリューションとして、ログ収集ソフトとSIEM(※)の導入が不可欠です。SIEMもさまざまなソリューションがリリースされていますが、弊社ではMylogStarとインフォサイエンス社が提供するLogstorageとの連携パックが用意されており、例えばこれからログ収集ソフトとSIEM を導入されたい場合や、既にMylogStarを導入されている場合にも、スムーズに導入していただくことが可能です。
- SIEMとは、「Security Information and Event Management」の略。セキュリティ機器やネットワーク機器などのログを一元的に管理してリアルタイムに分析することで、セキュリティ上の脅威や問題を早期に発見するためのソリューションの一つ。
navigate_nextLogstorageについて
3:「ディスク暗号化不可」へどのように対応すべきか
要件3.5.1.2では、リムーバブル電子媒体以外、つまり、DB機能やログ管理機能などを持つサーバ機について、ディスク暗号化は使用してはならない、とされています。では、現在ディスク暗号化を利用してPANを暗号化しているサーバ機に対して、どういった対策を取れば良いのでしょうか?
ディスク暗号化が不可となった理由
本要件では、ディスク/パーティション暗号化はリムーバブルメディアに限定されています。なぜリムーバブルメディアのみに限定されたのでしょうか?
その理由は、サーバが起動している状態では、OSの管理者権限がバックドアや内部犯行により奪取され、悪用されるとPANの漏洩を防ぎにくいためです。BitLockerなどの、ディスクアレイ装置の暗号化機能を使っている場合を例に挙げてみましょう。BitLockerによるディスク暗号化は、企業のWindows PCでも標準としているところも増えているかと思います。BitLockerは、ディスクは暗号化していますが、OSからディスクへのアクセスする際、自動的に復号されるため、利用者は復号を意識する事なくデータを読み取る事ができます。
しかしこれは、OSにログインしさえすれば、誰でも復号してデータを読み込める事になるため、ディスク暗号化によるデータへ防御機能は極めて低い状態であるとも言えます。
また、例えばサーバ上でユーザーAのみにPANの閲覧を限定したくとも、OSの管理者権(Administrator、root等)を持ったユーザーからの閲覧は防ぐことができません。
PCI DSS v4.0では上記に理由より、ディスク暗号化によるデータ保護は脆弱な点を保有するため利用不可となりました。
要件3.5.1.2に対応する暗号化とは
対策としてまず考えられるのは、ファイル暗号化、アプリケーションデータ暗号化およびDBMSによるデータ暗号化という3種類の暗号化方式のいずれかの実装です。
MylogStarの連携製品である株式会社データクレシスが提供するDataClasysはこの中でいうと、ファイル暗号化のDRM/IRM製品に位置しております。他のDRM/IRM製品との違いとして、下記があります。
1点目は、他の多くのDRM/IRM製品は対応しているアプリケーションがMicrosoft Word、Microsoft Excel、Microsoft PowerPoint、Adobe Readerなどに限定されていますが、DataClasysはほとんどのアプリケーションを対象に暗号化したまま、編集、印刷などの操作と制限ができるDRM機能を有していること。
2点目としては、企業や行政などの組織で利用されることを前提に権限管理できるよう設計されており、ファイル単位でグループや個人の権限をひとつひとつ設定する面倒な作業の必要はなく、異動や組織変更にも柔軟に対応可能であること。
また、OSとは別の管理機能であるため、例えば管理者(Administrator,rootなど)がファイルの中身を閲覧できない(復号権限がない)状態でも、ファイルのバックアップなどの作業が可能です(運用と業務の分離がシンプル)。
navigate_nextDataClasysについて
まとめ
今回はPCI DSS v4.0におけるベストプラクティス要件について、PCI DSS準拠におけるマイルストーン4およびそのベストプラクティス要件について対応可能な製品をご紹介しました。
PCI DSS準拠にお悩みの際や詳細な資料をお求めの際は下記よりお気軽にお問い合わせください。
この記事を書いた人
株式会社ラネクシー MylogStar担当者
20年以上にわたりログと向き合い、活用方法を模索し続けているMylogStarの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!
