PCI-DSS要件10の順守

Windowsイベントログ・Syslog対応 ログ管理ソフト

EventLog Analyzer を利用した、PCI-DSS要件10の順守

EventLog Analyzerを使用してPCI DSS 要件 10を順守

PCI DSS 要件 10 : ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡し、監視すること

PCI DSS 要件 10 は、PCI DSSの順守要件の中で最も重要な要件の一つです。というのは、ネットワークのセキュリティとアクセスについて明確に述べているからです。これは、IT部門にとって最も重要なことです。この要件は、ネットワークリソースやカード会員データに関するすべてのユーザーの操作をカバーしています。ネットワーク上のすべての操作は監視されており、どのようなセキュリティ違反であってもシステム・操作・ログによって的確に原因を追究することができます。

PCI-DSSコンプライアンス監査レポート
PCI-DSSコンプライアンス監査レポート

EventLog Analyzer のPCIコンプライアンスレポートは、組織がPCI DSS 要件 10を順守することを支援します。ネットワークのアクセス・ログを一括処理するレポートとそのレポートをわかりやすく提示するインターフェースを提供しているEventLog Analyzerのレポート機能により、PCI DSSをたやすく順守することができます。

  • PCI DSS 要件 10.1:システム・コンポーネントへのすべてのアクセス(とくに、root権限のような管理権限でなされたアクセス)を個々のユーザーにリンクするプロセスを確立すること
  • PCI DSS 要件 10.2:すべてのシステム・コンポーネントに監査証跡保管機能を実装して次のイベントを再現すること :
  • PCI DSS 要件 10.5 : 監査証跡を安全に保護し、変更されないようにすること

PCI DSS 要件 10.1 :

内容

システム・コンポーネントへのすべてのアクセス(とくに、root権限のような管理権限でなされたアクセス)を
個々のユーザーにリンクできるプロセスを確立すること
実施要事項

システム・コンポーネントはネットワークの重要な構成要素であり、システム・コンポーネントに対する変更はいかなるものでもネットワーク全体に影響を及ぼします。本要件を順守するためには、システム・コンポーネントへのアクセスをすべて記録することに注意する必要があります。したがって、好ましくない変更を行なった操作はすべて、システム・コンポーネントへアクセスして変更を行なった特定のユーザーまで追跡できなければなりません。本要件は、管理権限を有するユーザーのアクセスについて特別に重視しています。というのは、管理権限を有するユーザーが行なった変更により、ネットワークに非常に大きな問題を派生させる可能性があるからです。

実施方法

本要件を順守するためには、システム・コンポーネントへのアクセスをすべて厳重に監視し、追跡しなければなりません。ネットワーク全体のユーザーすべての操作、とくに管理権限のユーザーは常に監視下に置く必要があります。このデータを含めて、関連した情報を分離できれば、PCI DSS 要件 10.1は容易に順守できます。

これを達成するために、EventLog Analyzer は2種類のレポートを提供します。

オブジェクトアクセスレポートは、使用された資格情報の詳細とともに特定のオブジェクトにアクセスしたユーザーを列挙します。PCI DSSの観点から、このデータは有益です。というのは、オブジェクトアクセスに関する必要な情報がそのデータに入っているからです。このレポートをフィルタリングしてシステム・コンポーネントにアクセスしたユーザーを表示するようにすると、PCI-DSSの本要件を順守するために必要な情報が得られることになります。

PCI-DSSオブジェクトアクセスレポート
PCI-DSSオブジェクトアクセスレポート

個別ユーザーアクションレポート は、異なる視点からのデータ、すなわちネットワーク上の各ユーザーの操作を提供します。ユーザーがシステムレベルのコンポーネントにアクセスしていた場合、このレポートをフィルタリングするとネットワーク上の管理権限のユーザーの操作を知ることができます。このレポートにより、前述のレポートで収集したデータを裏づけることができます。

PCI-DSS個別ユーザーアクションレポート
PCI-DSS個別ユーザーアクションレポート

このページのトップに戻る

PCI DSS 要件 10.2 :

内容
すべてのシステム・コンポーネントに監査証跡保管機能を実装し、次のイベントを再現すること
実施要事項

本要件は、その上位要件の隠された目的を補強する役目があります。システム・コンポーネントへのアクセスをすべて監視し、追跡することは重要ですが、マニュアルで実施すると退屈で手間のかかるプロセスで、見過ごしなどが発生する余地があります。このような欠点を避けるために、要件 10.2では2つの条件を述べています。

  • アクセスを追跡するプロセスの自動化
  • アクセスの証拠としてイベントの再現ができること

本要件にはサブセクションが置かれており、そこでは完全に準拠するためになにをすべきかが詳細かつ明快に示されています。

このページのトップに戻る

PCI DSS 要件 10.2.1 :

内容

個々のユーザーがカード会員データにアクセスすること

実施要事項

言うまでもなく、カード会員データへのアクセスはすべて厳重に監視されなければなりません。人為的なミスによってデータが失われていないことを保証するために、このプロセスもまた自動化される必要があります。カード会員データへのすべてのユーザーアクセスについての全情報を掌握していることにより、確実にPCI DSS 要件 10.2.1を順守することができます。

実施方法

本要件はシンプルな要件で、順守するのも容易です。ログインしたときに行なった操作を含めて、特定のリソースにアクセスしたユーザーのすべてのアクセスを記録する必要があります。

EventLog Analyzer は、本要件の順守を支援する詳細な内容の2種類のレポートを提供します。

成功したユーザーログオンレポート は、ユーザー名、タイムスタンプ、アクセスしたリソースなどの詳細を含むネットワークへのログインに成功した全ユーザーのリストを提供します。これらのすべての情報により、PCI DSS 要件 10.2.1で規定された情報である、ネットワークの保護領域にアクセスした全ユーザーのリストが簡単に作成できます。

PCI-DSS成功したユーザーログオンレポート
PCI-DSS成功したユーザーログオンレポート

個別ユーザーアクションレポート は、ユーザーごとにアクセスしたリソースのデータを提供します。このレポートをさらにフィルタリングしてネットワークの重要なリソースにアクセスしたユーザーのみを示すようにデータに絞り込めば、PCI DSS 要件 10.2.1の順守に使用することができます。

PCI-DSS個別ユーザーアクションレポート
PCI-DSS個別ユーザーアクションレポート

このページのトップに戻る

PCI DSS 要件 10.2.2 :

内容

root権限または管理権限を有するユーザーが行なったすべてのアクション

実施要事項

管理権限を有するユーザーはネットワーク上の重要な情報に到達するかぎを保持しています。これらのユーザーは、ネットワークの最重要領域にアクションを行なうことができる最強の権限を持っています。管理権限を有するユーザーによってカード会員データが重大な損傷を受けないようにするため、およびPCI DSSを順守するためには、管理権限を有するユーザーが行なったすべてのアクションを追跡できることが必要です。

実施方法

管理権限を有するユーザーが実行したすべてのアクションが極詳細なレベルまで記録されていれば、本要件を順守していることが証明できます。これには、ユーザー名、リソースのアクセスされた領域、その間の変更内容と操作、ユーザーが費やした時間とその間に行なわれた変更や操作などが含まれますが、これに限定されるものではありません。

EventLog Analyzer には、本要件の順守を支援する 個別ユーザーアクションレポート が備わっています。このレポートでは、各ユーザーが自身のログインの資格情報を使って実行したすべての操作を一覧表示します。本レポートのデータをフィルタリングして管理権限を有するユーザーの情報だけを表示したり、さらに絞り込んでカード会員データを保管する重要領域へのアクセスのみを表示したりすることにより、PCI DSS 10.2.2要件に準拠するために必要な情報を抽出することができます。

PCI-DSS個別ユーザーアクションレポート
PCI-DSS個別ユーザーアクションレポート

このページのトップに戻る

PCI DSS 要件 10.2.4 :

内容

無効な論理アクセスの試み

実施要事項

どのようなリソースでも、簡単なものでもごく普通のものであっても、あるいはカード会員データのような重要なものであっても、リソースにアクセスするためにすべてのユーザーはネットワークにログインする必要があります。ログオン成功は、ユーザーが難なく楽々とネットワークにログインできたことを示します。一方、無効なログオンの試みは、全部がそうではないとしても、ネットワークの重要な領域への不正なアクセスを試みた兆候かも知れません。そのような操作を追跡することにより、ある種の差し迫った脅威を回避することができます。とくに無防備なユーザーが存在する場合や特定の時間帯に限って操作が実行されている場合は、そのような操作の傾向調査を続けることが重要です

実施方法

本要件で要求されているように、すべての無効なアクセスの試みは記録される必要があります。また、人為的なミスの可能性を回避するために、このプロセスは自動化する必要があります。さらに、ログオン成功およびログオン失敗の両方に関する情報は、お互いに排他的な事象なので、データの検証に役立ちます。

EventLog Analyzer は、本要件の順守を支援する上述の詳細な情報を提供するために、2種類のレポートを提供します。

ログオンレポート は、ネットワークに対するすべてのログオンの操作を表示します。また、そのデータから失敗したログオンの試みを分離することもできます。このレポートをさらに調査することによって、どのようなユーザー名を使ってどのようなときにネットワークリソースへのアクセスに失敗したかの詳細について知ることができます。

PCI-DSSログオンレポート
PCI-DSSログオンレポート

成功したユーザーログオンレポート は、ネットワークへのログインに成功したすべてのユーザーを、ユーザー名やタイムスタンプ、アクセスしたリソースなどとともに表示します。この情報は、ユーザーログオンの失敗レポートと比較検証できる詳細なデータを提供します。これにより、PCI DSS 要件. 10.2.4の順守をさらに徹底することができます。

PCI-DSS成功したユーザーログオンレポート
PCI-DSS成功したユーザーログオンレポート

このページのトップに戻る

PCI DSS 要件 10.2.6 :

内容

監査ログの初期化

実施要事項

監査ログはネットワーク上のすべての操作の永続的な証拠です。重要なリソースに関する管理操作を追跡する場合には、監査ログに含まれている情報が非常に重要となります。監査ログを削除してしまうと、すべてのアクセスに関する証拠が永久に失われてしまいます。したがって、監査ログの削除は常に追跡する必要があり、ユーザーは監査ログのすべての削除について責任を負わなければなりません。また、すべてのユーザーがこの重要なタスクを実行できる権限を持っているわけではないということを保証する必要があります。この権限は、ネットワークの管理要員の一部に限定されていなければなりません。

実施方法

個々の監査ログの削除に関連するすべてのデータを自動的に記録するプロセスを作動させておきます。データは、ユーザー名やタイムスタンプ付の完全なものでなければなりません。

EventLog Analyzer には、とくに本要件を満足するレポートが標準で備わっています。削除された監査ログレポート は、監査ログを削除したユーザーの一覧と削除時のタイムスタンプを表示します。このレポートが提供する情報は、PCI DSS 要件 10.2.6の順守に役立ちます。

PCI-DSS削除された監査ログレポート
PCI-DSS削除された監査ログレポート

このページのトップに戻る

PCI DSS 要件 10.2.7 :

内容

システムレベルのオブジェクトの作成と削除

実施要事項

システムレベルのオブジェクトは概念的なデータの集合で、システムやネットワークの作動を制御します。システムレベルのオブジェクトへのすべてのアクセスを監視する必要がありますが、そのようなオブジェクトの作成や削除などの重要なタスクには特別な注意が必要です。PCI DSSの観点からシステムレベルのオブジェクトの重要性を考慮して、そのようなデータの集合へのアクセスを制限する必要があり、またそのようなオブジェクトにアクセスするユーザーの操作は厳重に監視する必要があります。

どのような操作も監視を回避することができないことを保証する完璧な方法は、システムレベルのオブジェクトに関するすべての操作を、そのようなオブジェクトにアクセスしたユーザーやそのユーザーの権限、タイムスタンプなど必要な情報すべてとともに、ログ記録することです。これらのデータは、システムレベルのオブジェクトの作成や削除があった場合、細かく調査するためにさらに深く掘り下げることができます。

EventLog Analyzer には、この点に関して役に立つ オブジェクトアクセスレポート があります。オブジェクトアクセスレポートは、ネットワーク上のすべてのオブジェクトとそれにアクセスしたユーザーを列挙します。このレポートのさらにきめ細かな情報により、各ユーザーの正確な操作が表示できます。このレポートからシステムレベルのオブジェクトだけを分離してそれらオブジェクトに関する操作を抽出することにより、PCI DSS 要件 10.2.7の順守を証明するために必要なデータを引き出すことができます。

PCI-DSSオブジェクトアクセスレポート
PCI-DSSオブジェクトアクセスレポート

このページのトップに戻る

PCI DSS 要件 10.5 :

内容
監査証跡を安全に保護し、変更されないようにすること
実施要事項

監査証跡は、ログベースのインフラストラクチャの操作に関する継続的かつ明確な証拠です。ログの変更は、ネットワークに関するアクセスと操作の基本となる証拠が永久に失われるということを意味します。セキュリティの観点からは、それは重大な抜け穴になります。というのは、監査証跡がわずかでも変更されると、セキュリティ違反が追跡不能になるからです。PCI DSSの観点およびカード会員データの重要性から見ると、監査証跡の変更は、カード会員データの改ざん者がだれにも気づかれずに逃げ去ることができるということになります。したがって、カード会員データを安全に保ちかつ操作をすべて簡単に追跡できるようにするために、PCI DSSでは監査証跡は変更してはならないと規定しています。PCI DSS 要件 10.5では、これを2つのレベルで記述しています。

  • 監査証跡の閲覧制限
  • 監査証跡の不正アクセスからの保護

これらの要件は、要件 10.5のサブセクションで詳述されています。

このページのトップに戻る

PCI DSS 要件 10.5.1 :

内容

監査証跡の閲覧は、業務上必要な要員に限定すること

実施要事項

再三再四述べているように、監査ログはネットワークの重要なオブジェクトで、そこにすべての操作が安全に保管されています。重要な情報が保管されていることを考慮して、PCI DSSでは、閲覧を含むこれらのファイルへのアクセスを業務上の必要性があり管理権限のある特定のユーザーに限定するよう規定しています。これにより、監査証跡の最高度の安全性と事故に責任を負わなければならないユーザーの範囲を狭くすることを保証します。

実施方法

許認可やアクセス制御技法などにより、監査証跡にだれがアクセスできてだれができないかの線引きをするとともに、監査人にそのようなシステムが存在しているということを証明できることが重要です。

EventLog Analyzer は、オブジェクトアクセスレポート によって、組織のPCI DSS順守を証明することを支援します。このレポートでは、監査証跡にアクセスしたユーザーに関するデータを提供します。そのデータと組織のアクセス制御ポリシーを照らし合わせることにより、業務上必要性のある人間にのみ監査証跡へのアクセスを認可しており、それ以外の人間が当該リソースにアクセスしていないということを監査人に証明できます。

PCI-DSSオブジェクトアクセスレポート
PCI-DSSオブジェクトアクセスレポート

このページのトップに戻る

PCI DSS 要件 10.5.2 :

内容

不正な変更から監査証跡ファイルを保護すること

実施要事項

本要件は直前の要件を拡張するものです。要件 10.5.1は監査証跡の閲覧について述べていますが、本要件では不正な変更にまで拡張しています。このレポートで、監査証跡に迫るセキュリティ上の潜在的な脅威を封じ込めます。要件 10.5.1の拡張として、本要件では、さらに進んで監査証跡の閲覧を認められた人間からも監査証跡を安全に保護するようにしています。

実施方法

本要件の順守は、二段階で行なわれます。第一段階は、認可されていない人間が決して監査証跡にアクセスしていないことを証明することです。その結果、監査証跡に変更が加えられていないことが確信できます。第二段階は、正当な権限を認可された新規のユーザーの場合であっても、監査証跡にアクセスしたユーザーはそのアクセスが認可されているということを証明することです。

EventLog Analyzer は、上述した詳細情報をすべて提供して本要件の順守を支援するために、2種類のレポートを提供します。

オブジェクトアクセスレポート は、すでに何回も登場していますが、ネットワークオブジェクトにアクセスしたユーザーの詳細情報を提供します。このレポートをフィルタリングしてどのユーザーが監査証跡にアクセスしたかを割り出すと、PCI DSS Section 10.5.2の順守を証明するリストが得られます。

PCI-DSSオブジェクトアクセスレポート
PCI-DSSオブジェクトアクセスレポート

監査ポリシーの変更レポート は、新規のユーザーが監査ログデータにアクセスを認可されたことを示します。本レポートにより、オブジェクトアクセスレポートの新しいエントリを検証することができます。

PCI-DSS監査ポリシーの変更レポート
監査ポリシーの変更レポート

PCI DSS 要件 10に適合するこれらの多様で広範なレポートにより、組織は間単にPCI DSSを順守することができます。