PCI DSS
クレジットカード情報の保護基準 PCI DSS準拠におけるエンカレッジ・テクノロジの貢献
PCI DSSとは
PCI DSSは、多発するクレジットカード情報の漏えい・流出事件を受け、国際カードブランドが共同で策定したセキュリティ基準です。クレジットカードを取り扱うすべての業種・業態(カード会社、決済会社、対面、非対面加盟店など)の企業に、本基準への準拠が要請されています。
また、法的な整備も進められ、2016年12月に割賦販売法の改正案が成立、2018年6月1日より施行されました。これにより、加盟店に対するクレジットカード情報の適切な管理が義務付けられることになり、その具体的な基準としてもPCI DSS準拠が経済産業省の発行する文書に記載されています。
PCI DSS基準はセキュリティ脅威の変化などに合わせて定期的な見直しが実施されており、2022年3月にV4.0が発表され2024年3月末までに旧バージョンから完全移行されています。
PCI DSS要件
PCI DSSは、下表に示す300以上の副要件で構成される12の主要件からなっており、求められる範囲が広範です。また、他のガイドラインと比較し、各要件がより具体的である点が特徴です。
安全なネットワークの構築と維持 | 1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
---|---|
カード会員データの保護 | 3. 保存されたカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
脆弱性管理プログラムの整備 | 5. すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する 6. 安全性の高いシステムとアプリケーションを開発し、保守する |
強固なアクセス制御手法の導入 | 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する 8. システムコンポーネントへのアクセスを識別・認証する 9. カード会員データへの物理アクセスを制限する |
ネットワークの定期的な監視およびテスト | 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 11. セキュリティシステムおよびプロセスを定期的にテストする |
情報セキュリティポリシーの整備 | 12. すべての担当者の情報セキュリティに対応するポリシーを維持する |
管理者ユーザーのアクセス制御、認証および証跡保全は重要な要件
その多数の要件の中の要素として、「カード情報に対するユーザーのアクセス制御」および「アクセス内容の証跡の保全」があります。当然ながら、以下の要素は重要です。
- 許可されたユーザーだけが許可された範囲に限定してカード情報にアクセスできること
- そのための認証は必ず特定のユーザーを識別した上で行われること
- カード情報に対するアクセスの証拠となる証跡が正しく保管され、不正アクセスの有無などをチェックできる仕組みを整備すること
PCI DSSではそれぞれの要素を要件7 (アクセス制御)、要件8(認証)、要件10(証跡保全)として定義しています。
このアクセス制御、認証および証跡の3つの要件を考える際、ユーザー(アカウント)の種別を正しく識別し、それぞれのユーザー求められる要件の内容と対応方法を検討することが重要です。
(1)消費者ユーザー
カードホルダーなどが提供されたシステムを通して、自身のカードに関連する情報の参照などをするユーザー
(2)一般ユーザー
ヘルプデスク、データ入力オペレーションなどカード関連システムを操作して、業務を行う社内ユーザー
(3)管理者ユーザー
カード情報を扱うシステムの保守・メンテナンスを目的にアクセスを行うユーザー
(4)システムユーザー
カード情報を扱う他のシステムと連携するためにアクセスをする関連システム
上記のユーザーのうち消費者ユーザーと一般ユーザーは、カード関連システムのロジックにてカバーすべき範囲として、システムの要件に盛り込み開発する必要があります。
一方、システムに対して、開発・保守および運用を実施する管理者ユーザーは、システムの維持管理を目的にアプリケーションのロジックを介さず、直接OSやデータベースにアクセスします。しかも、業務上、高い権限を有する管理者アカウント(特権アカウント)を使用するため、求められる要件をOSやデータベースの標準機能だけで満たすことは困難な場合があります。
さらに、2024年4月移行より全面的に適用が開始となったV4.0では、これまで対象外の扱いであったシステムユーザーが利用するシステムアカウント(サービスアカウント)についても、新たに要件の対象に加えられました。システムアカウントのID、パスワードがスクリプトやパラメーターファイルに平文で記載されていたり、定期的なパスワード変更がなされていないことによって発生するセキュリティリスクがより顕在化してきたためとなります。
弊社は、この管理者ユーザーやシステムユーザーに対する制御・認証強化および証跡管理を実現するソフトウェアを提供し、お客様のPCI DSS準拠をご支援しています。
弊社製品によるPCI DSS準拠に対する具体的な貢献点
ESS AdminONE:管理者アクセスとシステムアカウントに対する要件を網羅的にカバー
ESS AdminONEは、管理者アクセスに関連する要件7、8、10、を網羅的にカバーする特権ID管理ソフトウェアです。
- 申請・承認ベースの管理者アクセス&パスワードレスアクセスを実現
- 複雑性を持った完全にランダムな文字列で生成されたパスワードを自動で定期変更
- 特権アカウントを承認された期間に限定し、作業者アカウントとのシングルサインオンによる紐づけを行うことで、共有アカウントであっても使用者を特定可能
- アクセス経路における多要素認証の適用
- 管理者ユーザーによる操作内容の動画による克明な記録
また、V4.0から新たに設けられたシステムアカウント(サービスアカウント)のハードコーディング禁止・暗号化、定期パスワード変更などの要件については、ESS AdminONEが提供するAPIを介して動的にパスワードを取得する仕組みにすることで、対応することが可能です。
ESS REC:管理者ユーザーによるアクセス内容の証跡保全
ESS RECは、管理者ユーザーが特権アカウントを使用して対象システムにアクセスし行った操作を動画とテキストによって克明な記録を取得、保存する証跡管理ソフトウェアです。
Windowsプラットフォームのシステムでは、GUI(デスクトップ)を用いて操作を行いますが、行った操作は必ずしも標準のイベントログに記載されるわけではありません。行った操作を動画ですべて記録することで、テキスト形式のログには残らない管理者ユーザーのアクセス内容について、一挙手一投足まで確認することができます。
また、UNIX/Linuxのコマンドログ、GUIログにも対応しておりますので、プラットフォームに依存しない統合的な証跡管理を実現します。
- 申管理者ユーザーのすべての操作内容を動画とテキストで克明に保存
- ルール定義による監査ポイントの独自設定
- 強固な暗号鍵による証跡データの改ざん防止
システム自体がPCI DSSの各要件を満たす仕様として開発
ESS AdminONE、ESS RECは、上記のように提供する機能によってPCI DSS要件を満たす一方、ESS AdminONE、ESS REC管理サーバーがPCI DSSの対象として、各要件を満たす仕様で開発されています。(製品として対応すべき範囲、運用面で対応すべき範囲についてはお客様責任となります)
お問い合わせ