PCI DSS準拠とは?
PCI DSS(Payment Card Industry Data Security Standard)は、金融関連の機密データを取り扱う事業者を対象としたセキュリティ基準です。クレジットカードの利用機会が増え、クレジットカードに関連した詐欺や偽造も増加しました。PCI DSSは、セキュアなクレジットカードの支払いプロセスを担保し、人々の認証情報を保護することによって、利用者からの信頼の維持することを目的としています。PCI DSS基準は、VisaとMasterCardによって策定されました。
PCI DSS準拠の対象となる事業者は?
クレジットカード情報を保存または処理する事業者が、PCI DSSに従う義務があります。例えば、小売業者、銀行、その他の金融関連のサービスプロバイダーなどが、PCI DSS準拠の対象となります。
PCI DSSに準拠するには?
基本的な準拠レベルを満たすには、ネットワークを保護し、システム、デバイス、アプリケーションに定期的にパッチを適用する必要があります。また、システムおよびネットワークにおけるイベントの監査レコードを作成・保管する体制も、要件に含まれています。組織がクレジットカードの認証情報を格納しており、より高いコンプライアンス水準を満たす必要がある場合は、第三者の監査企業に協力してもらうことで、認証取得に向けた取り組みを簡素化できます。
準拠しない場合に事業者に及ぶ影響は?
事業者がPCI DSSに準拠しない場合には、重い罰則が課されます。なぜなら、そのような事業者は、ネットワークセキュリティの侵害や組織外へのデータ流出に対して脆弱であるからです。さらに、保護されたデータを悪用するハッカーの攻撃を受けやすくなります。そして、事業における損失や、最も危惧すべきである顧客からの信用失墜にもつながる可能性があります。
販売業者や決済代行会社がPCI DSS準拠を維持するためには?
PCI DSS基準に準拠するには、事前に準拠状況のチェックを実施ください。これにより、現状と、準拠のための要件を把握できます。また、事前のチェックによって、監査目的で記録を提出する前に、ログ管理プロセスを綿密に計画できます。次のような対策が必要です。
- カード会員のデータを保管するためのセキュアな環境を構築・管理する
- 実行中のアプリケーション、特にネットワーク内で機密情報が含まれているシステムを継続的に監視する
- 強力なアクセス制御チェックを実施する
- ネットワークを定期的に監視・評価する
- セキュリティシステムと実行中のプロセスを定期的に監視・評価する
- 組織内の情報セキュリティ基準を維持する
PCI DSS準拠のためにどのネットワーク構成要素を継続的にチェックすればいい?
PCI DSSに準拠するには、クレジットカード保有者の必要な情報を処理するサーバーと、クレジットカード保有者のデータにリンクされているアプリケーションをチェックする必要があります。ネットワーク構成要素には、ファイアウォール、スイッチ、ルーター、無線アクセスポイント、すべてのネットワークデバイスとセキュリティデバイスが含まれます。「サーバー」は、Webサーバー、機密情報を格納するデータベース、ターミナルアクセスポイントを指します。
ログ管理とPCI DSSはどのように関連する? なぜ組織はログ管理を導入する必要があるのか? なぜログ管理が、業界基準を満たすためのセキュリティポリシーの不可欠な要素なのか?
主な理由は、ログ管理がPCI DSS準拠に向けた実用的なアプローチであるからです。PCI DSSでは、イベントログデータの収集、監査、管理に重点が置かれています。さらに、ネットワーク上のセキュリティ関連情報に対するすべてのユーザーアクセスを追跡し、監視することも要件に含まれています。このような課題は、自動ログ管理ツールによって簡単に解決できます。
PCI DSSの監査チェックリスト
監査企業は、監査対応のために、次のような整備が必要であるとアドバイスしています。
- システム内のイベントやアクティビティを追跡・監査するためのログ管理ソリューションをデプロイすること。設定済みの準拠レポート機能を備えた強力なログ管理ツールを使用すれば、PCI DSSの要件に関連するイベントを手動で分類する手間を省けます。このようなツールは、セキュリティ問題をリアルタイムに特定し、PCI DSSポリシー準拠に必要な修正・管理を自動的に報告することによって、リスクの発生ついて注意喚起します。
- 更新および分析されたログを監査目的で提供し、監査の頻度を上げ、セキュリティを強化すること。
- レポート生成のプロセスを迅速化し、大量のログデータから要点をまとめたレポートを作成すること。
- 既存の不備やセキュリティループホールを特定すること。PCI DSSの要件に照らし合わせ、セキュリティの不足点を解消すること。
EventLog Analyzerの監査機能で、PCI DSSの10と11の要件を十分に満たすことが可能
PCI DSSの10と11に規定されているログ管理の要件を簡潔に言うと、イベントログの収集、継続的なログの監視、分析です。
このうち、PCI DSSの要件10では、次のようなログ管理の収集機能と監視機能に重点が置かれています。
- ユーザー固有のアクセスを特定し、ログに記録すること
- すべてのシステム要素をチェックの対象とし、動的な監査証跡機能を実装して、あらゆるアクティビティを追跡すること。対象となるアクティビティは、ネットワーク内のすべての機密データに対する、すべてのユーザーによるログイン、ログオフ、ファイルの読み取り/書き込みアクセス、修正、削除、ログオンの成功と失敗。
- ログデータのセキュリティを確保し、変更できないようにすること
次のように、要件11では、ファイル完全性の確保(SIEMの導入)の重要性が強調されています。 - 重要な機密ファイルに対する変更や不審なアクティビティ、または明らかなシステム攻撃について、システム管理者に通知すること
- 重要なファイルを週単位で比較すること
EventLog Analyzerは、各種のPCI DSS準拠レポートを生成でき、イベントログ管理に関する上記の要件を満たすことができます。PCI DSSの要件に関するEventLog Analyzerのレポートの詳細については、 こちらをクリックしてください。