前回はPCI DSSの構築について見てきた。ネットワークや物理的なセキュリティ、暗号化、認証など幅広い分野での要件と実装について理解できただろうか? 最終回の今回は、PCI DSSを遵守するための運用体制について解説していきたい。
ネットワーク監視およびテスト
次に運用管理における対策を見ていこう。まず、侵入検知/侵入防止システムあるいは認証用サーバといった、セキュリティ機能を果たすサーバを含むすべてのシステム構成要素を対象として、ログを監視しなければならない。
また、すべてのアンチウイルスが最新で正常に稼動していること、重要ファイルが改ざんされていないこと等を監視しなければならない。そのためには、つねに監視対象を明確にしておくとともに、その異常を検知するための情報を把握しておく必要がある。
具体的には内部・外部のネットワーク脆弱性スキャンテストを四半期ごと、およびネットワークの大きな変更の後に実施しなければならない。ここでいう大きな変更としては、たとえば、新しいシステム構成要素の導入、ネットワークトポロジの変更、ファイアウォールルールの修正、製品のアップグレードが対象となる。
さらに、ネットワークインフラとアプリケーションに対する、ネットワーク内外からのペネトレーションテストを1年に1回、およびインフラまたはアプリケーションの大きなアップグレードまたは変更の後に実施しなければならない。このペネトレーションテストは、ネットワーク層のテストとアプリケーション層のテストを含む(図12)。
図12 テスト区分と検査対象範囲の関係図
マネジメントセキュリティ
■セキュリティポリシーと各種手順
すべてのPCI DSSの要件に対応したセキュリティポリシーを作成し、公開、維持、配布することが求められている。セキュリティポリシーは、正式なリスク評価プロセスを含み、年次および環境変化時において見直しを実施しなければならない。
さらに、セキュリティポリシーに基づき、各種の手順書を整備しなければならない(リスト9)。たとえば、運用セキュリティ手順では、ユーザーアカウント保守手順で、ログレビュー手順について記述する必要がある。
リスト9 作成が求められている手順書例
・運用セキュリティ手順
・暗号鍵管理手順
・システム構成変更管理手順
・従業員と訪問者の識別に関する手順
・権限の付与に関する手順
・セキュリティ事故対応手順
・サービスプロバイダを管理するための手順
■責務の定義
セキュリティポリシーおよび手順においては、すべての従業員の情報セキュリティに関する責務を明確に定義することが求められている(リスト10)。自明のことではあるが、明文化のうえで責任所在を徹底することは、セキュリティ維持のための重要な要素である。
リスト10 情報セキュリティマネジメントの責務
・セキュリティポリシーおよび手順の確立、文書化および周知
・セキュリティ情報の監視、分析と周知
・セキュリティ事故対応と報告手順の確立、文書化および周知
・ユーザーアカウントの管理
・データに対するアクセス管理と制御
■重要技術の使用ポリシー
リモートアクセス、無線、媒体管理、PC管理、電子メールあるいはインターネット利用など、従業員が業務上使用する技術について、適切な使用を規定するためのポリシーを作成しなければならない(リスト11)。このポリシーは、これらの技術を従業員が誤って使用することによる事故の発生を防止することを目的としている。
リスト11 重要技術の使用ポリシー
・管理責任者による技術導入時の承認
・技術の使用に対する認証の導入
・対象装置の一覧と使用許可者の一覧の作成と維持
・装置の管理者情報と仕様用途の明示
・許容される使用方法の説明
・許容される設置方法の説明
■データの保管と廃棄に関するポリシー
保管するカード会員データを最小限に抑えるとともに、データの保管と廃棄に関するポリシーを作成する。さらに、保存する情報量と保存期間を、業務上、法律上、規制上必要な範囲に限定することが求められている(リスト12)。
リスト12 データの保護と廃棄に関するポリシー
・データ保存に関する法律上、規制上、業務上の要件
・具体的なカード会員データの保管に関する要件
・必要性がなくなった場合の、データの廃棄に関する要件
・カード会員データのすべての保管範囲
・カード会員データの保存状況を四半期毎に確認し、削除するためのプロセス
(次ページ、「マネジメントセキュリティ」-2に続く)
この連載の記事
-
第2回
TECH
PCI DSSのインフラを作る -
第1回
TECH
PCI DSSはなぜ注目される? -
TECH
管理者のためのPCI DSS講座 - この連載の一覧へ
