■教育訓練
すべての従業員にカード会員データセキュリティの重要性を認識させるため、正規のセキュリティ認識プログラムを実施しなければならない。情報セキュリティを維持するうえで、教育訓練はきわめて重要な要素である。そのため、従業員がその責務をまっとうするために必要となる知識および力量が提供することを目的とし、その役割に応じた教育訓練が実現できるよう、カリキュラム等の検討が必要となる(図13)。
図13 教育カリキュラムの策定例
■脆弱性管理と変更管理
インターネット上無料で利用可能な警告サービスに加入するなど、最新の脆弱性対策を適切に実施するために、新しく見つかったセキュリティ脆弱性を特定するためのプロセスを確立しなければならない。システム管理者であれば当然のことではあるが、各ベンダーが提供しているセキュリティ情報に関するメーリングリストに参加する、等の方法により最新情報を入手することが求められている。
また、システム構成要素のすべての変更は、変更管理手順に従う必要がある。この手順には、変更の影響範囲、管理者の承認、運用機能のテストおよび回復手順について記述しなければならない。
■媒体管理
カード会員データが記録されたすべての紙媒体および電子媒体は、安全な場所に保管しなければならならない。さらに、少なくとも年に1回現地を確認し、在庫の状況と保管場所の安全性について確認する必要がある。
また、媒体の配送についても厳格に管理する必要があり、媒体を安全なエリアの外へ持ち出す場合には、管理権限者の承認を得た上で、追跡可能な配送手段を使用する必要がある。
カード会員データが記録された媒体は、業務上あるいは法律上不要になった場合に適切に廃棄しなければならないが、廃棄方法についても注意が必要となる。紙媒体については、裁断や焼却、パルプ状に溶解することで、情報の再構成ができないようにしなければならない。一方、電子媒体については、業界基準に基づくデータ消去手法を用いるか、媒体を物理的に破壊することで、データの再構成ができないようにしなければならない。
■インシデント対応計画
システム侵害に対して、即座に対応できるように準備するために、インシデント対応計画を導入し、少なくとも1年に1回はテストを実施しなければならない(図14)。
図14 インシデント対応計画
ここでいうインシデントとは、システム侵害を対象としている。そのため、昨今のクレジットカード情報の大量漏えい事件の発生を鑑みると、各種のインジェクション攻撃やウイルスが原因となるカード会員データの漏えいに対処するための計画を作成する必要がある。また、インシデント対応計画立案の際には、利害関係者、特に国際カードブランドとの情報連携について十分に考慮する必要がある(リスト13)。
リスト13 インシデント対応計画
・インシデント対応における役割、責務、情報連携体制
・国際カードブランドヘの即時報告を含む情報連携方針
・具体的なインシデント対応方針
・業務復旧と事業継続のための手順
・データのバックアップ手順
・報告に関する法的要件の分析
・すべての重要なシステム構成要素を網羅し、対応していること
・関連機関とアクワイアラヘの通知
・国際カードブランドが提供するインシデント対応手順に準拠していること
■委託先の管理
カード会員データをプロセッサと共有する場合は、プロセッサを管理するためのポリシーと手順を確立し、維持する必要がある。委託先からの情報漏えいが多発している現状を考慮すると、このように委託先を管理することは非常に重要である。まずは委託先との契約を見直し、PCI DSSの要件を満足するものであるかを確認することが必要である(リスト14)。
リスト14 プロセッサ管理の手順
・プロセッサのリストの保持
・契約内容の確認
・実態調査を含む契約締結プロセスの構築
・契約遵守のための継続的な監視
(次ページ、「ITネットワークセキュリティISO/IEC 18028の概要」に続く)
この連載の記事
-
第2回
TECH
PCI DSSのインフラを作る -
第1回
TECH
PCI DSSはなぜ注目される? -
TECH
管理者のためのPCI DSS講座 - この連載の一覧へ
