前回はPCI DSSの概要や目的、そして要件などを整理してきた。クレジットカード業界だけではなく、インターネットビジネスに関わる多くのユーザーが関係することがわかっただろう。今回は具体的にPCI DSSを導入するための必要なセキュリティ技術やシステム要件、設定などインフラ全般について解説していきたい。
ネットワークセグメンテーション
PCI DSSのバージョンアップに伴う重要な改訂事項として、ネットワークセグメンテーションの明確化が挙げられる。PCI DSS評価の範囲を縮小する有効な方法として、ネットワークセグメンテーションが明示されたのだ。
適切なネットワークセグメンテーションを行なっていない場合には、すべての領域がPCI DSSの評価対象範囲に含まれることになる。そのため、内部ネットワークのファイアウォール、強固なアクセス制御ルールを要するルータ、およびネットワークの特定セグメントに対するアクセス制限を行なう技術的要素を用いて、ネットワークセグメンテーションを行なう。これにより、評価の対象範囲を小さく、コストと労力を軽減することが可能となる(図4)。
図4 ネットワークセグメンテーションの概念図
カード会員データ環境の範囲を縮小するために重要なことは、カード会員データの保存、処理および伝送に関連するプロセスと業務の必要性を正しく理解することである。不要なデータを排除し、必要なデータのみに統合することで、カード会員データの所在を可能な限り制限する。これにより、長期的視野に立った業務慣行の見直しが必要となるかもしれない。もちろん、この作業は非常に厄介なものであると思われるが、カード会員データ環境の範囲を縮小することの効果は、計り知れないものがある。
設計ではカード会員データを保存・処理、伝送しているシステムを、これらを実施していないシステムから隔離する。しかしながら、ネットワークセグメンテーションの個別の実装が適切かどうかは、与えられたネットワーク構成、技術の進歩、他の実装される可能性のある管理策といったものに左右される。そのため、システム管理者としては、日常における技術情報の収集とともに、対象とするネットワークにおいて重要な情報がどこに保存され、どこで処理を行なっており、その伝送経路がどのようになっているかについて把握する努力が必要となる。
物理セキュリティは入退室管理が基本
PCI DSSでは、建屋あるいはサーバルーム等の設計については、特に要件を定めていない。これは、すべての加盟店とプロセッサが守るべき最低基準とするには敷居が高いという判断に基づくものと思われる。その代わり、カード会員データ環境内のシステムヘの物理的アクセスを制限。監視するために、適切な施設の入館管理を実施し、訪問者を適切に識別することが求められている。
具体的にはIPネットワークと監視カメラを連動するシステムを導入することにより、画像データの管理を効率化することが有効である(図5)。訪問者に対しては、エリアに立ち入る際に事前許可を受け、識別するためのバッチ等の着用を義務付ける必要がある。
図5 監視カメラシステム構成例
また、訪問者の行動に関する記録を訪問者ログに残しておくことが求められている。訪問者ログには、訪問者の氏名や組織、物理的アクセスを確認した社員を記録。さらに法律による制限がない限り、少なくとも3ヵ月間保管しなければならない。そのため、ログの保管には注意が必要である。
(次ページ、「ネットワークセキュリティの要件」に続く)
この連載の記事
-
第3回
TECH
PCI DSSを遵守する運用体制 -
第1回
TECH
PCI DSSはなぜ注目される? -
TECH
管理者のためのPCI DSS講座 - この連載の一覧へ
