PR

図3●PCIコンプライアンスの導入手順
図3●PCIコンプライアンスの導入手順
 今回は,PCI DSSを順守する体制(PCIコンプライアンス)の一般的な導入プロセスを解説する。導入のポイントは,PCI DSSの適用範囲を正確に特定することだ。特に,カード会員データを保管・処理・伝送するすべての情報資産を特定することが重要である(図3)。

 これは,ISMSやプライバシーマークにおける資産の洗い出しと同様の作業であり,情報セキュリティ対策の基本となるものだ。だが,紙媒体やバックアップ媒体を含め,すべての該当資産を抽出することに注意が必要である。

自己問診票を使って調査する

 最初に「自己評価問診票」を用いた調査を実施することが望ましい。自己評価問診票は,PCI DSSの順守状況の調査を実施するためにPCI SSCが提供しているツールである。Webサイトから無償で入手できる。この問診票を利用して,現状のサービスやシステム構成の全体像を認識することが,導入プロセスを円滑にすることに役立つ。

 次に,PCI DSSの適用範囲を特定する。PCI DSSでは,適用範囲のことを「カード会員データ環境」と定義している。ISMS認証の場合と同様に,PCI DSSにおいても適用範囲を定義することは重要だと考えられるため,適用範囲定義書を作成し,カード会員データ環境を特定し,その境界を明確にすべきである。

 適用範囲を定義する際には,保護の対象となるデータやデータの保管場所,データを交換する利害関係者,そのアクセス経路を特定する必要がある。そのため,以下の対象を特定しておくことが重要だ。

(1)カード会員データを保管するシステム・コンポーネント
 データベース・システム,バックアップ用の電子媒体などが該当する。
(2)利害関係者
 お客様,ホスティング・プロバイダやプロセサを含むサービス・プロバイダ,開発業務の委託先などが該当する。
(3)カード会員データとセンシティブ認証データが伝送されるアクセス経路
 お客様環境との接続経路となるインターネット,各種の無線アクセス経路,サービス・プロバイダと接続するための専用線などが該当する。

 PCI DSSでは,「すべてのシステム・コンポーネントについて」という言葉が随所に使用されている。これは,カード会員データ環境の範囲内にあるすべてのシステム・コンポーネントを対象としている,ということを意図している。PCI DSSでは,カード会員データ環境下にあるシステム・コンポーネントに対して具体的な要件を課しているため,これに該当する範囲を極小化し,限定した範囲において対策を徹底することが重要となる。

経営陣,監査部門,事務局部門の参加が不可欠

 PCIコンプライアンスの体制を構築し,PDCAサイクルを維持するためには,業務を遂行する組織のほかに,少なくとも経営陣,監査部門,事務局部門を体制に組み入れる必要がある。

 経営陣の主な役割はセキュリティ・ポリシーの見直しであり,予算確保等の意思決定権限を有する立場の方が任命されるべきである。監査部門の主な役割は内部監査であり,業務を遂行する組織と利害関係のない部門に所属する方が任命されるべきである。事務局部門の主な役割は導入プロセスの推進であり,組織内においてコンプライアンス体制の構築に携わる部門に所属する方が任命されるべきである。また,業務を遂行する組織では,契約社員の管理,訪問者の管理,委託業者の管理,システムの管理(システム・アドミニストレータ)などの管理対象について,承認者を明確化する必要がある。

 次に,PCIコンプライアンスの構築,運営に必要となる各種の文書を作成する。文書類は,概ねISMSの要求事項において作成が求められているものと同様だが,技術的に詳細な項目まで含まれているという特徴がある。必要となる文書は,次のようなものがある。

(1)セキュリティ・ポリシー
(2)データの保管と廃棄に関するポリシー
(3)重要技術の使用ポリシー
(4)ファイアウォール設定基準
(5)システム・コンポーネント設定基準
(6)脆弱性対策基準
(7)インシデント対応計画
(8)暗号鍵管理手順書
(9)システムおよびソフトウエア設定変更管理手順書
(10)従業員識別に関する手順書
(11)権限の付与に関する手順書
(12)運用セキュリティ手順書
(13)セキュリティ事故対応手順書

建物や部屋の対処が必要になることも

 PCI DSSではファシリティ・マネジメントとして,施設・設備へのアクセス制御に関する要件や媒体の管理に関する要件などを定めている。このため,装置への物理的なアクセスを防止するための各種設備が必要となる。

 また,バックアップの媒体を安全に保存するための施設を整備する必要がある。物理的セキュリティ対策の実施には時間と予算が必要となることが多いため,事前に十分検討しておく必要がある。

基盤システムの再構築が必要になることも

 PCI DSSは,システムを構成するコンポーネントに対して具体的な管理策を示しており,システムの実装形態が明確である。そのため,対象となるシステムに対しては,それらの要求事項の確実な構築が要求される。

 特にネットワーク基盤を構成するシステム・コンポーネントについては,要求項目が多いため注意が必要である。基盤システムの構築の際に対象となる,代表的なシステム・コンポーネントは,次のようなものがある。

(1)ファイアウォール
(2)侵入検知および侵入防止システム(IDS/IPS)
(3)伝送経路の保護(VPN,SSL,IPSecなど)
(4)ウイルス対策
(5)ファイルの改ざん検知
(6)ログ管理システム
(7)アプリケーション・レイヤー・ファイアウォール

ソフトウエアの脆弱性回避策も具体的に示されている

 PCI DSSはアプリケーションの開発,保守業務において,発生する可能性のある脆弱性を回避するための具体的な管理策を示しており,システム上で稼働するアプリケーションの安全性を確保することを要求している。そのため,対象となるアプリケーションに対しては,それらの要求事項の確実な適用が要求されている。

 ソフトウエア・アプリケーションの開発では,カード会員データとセンシティブ認証データの取扱いに注意する必要がある。PCI DSSでは,最低限の要求仕様が具体的に規定されているため,開発において十分に考慮する必要がある。また,本番環境と開発環境,テスト環境を分離することを求めていることにも注意する必要がある。さらに,PCI DSSでは,具体的な脆弱性の項目を挙げて,対応することを求めている。これらの脆弱性項目は,2004年に米OWASP(The Open Web Application Security Project)が発表した脆弱性のトップ10として紹介されているものである。

豊田 祥一
ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部 コンサルティング部 部長
2005年11月,ネットワンシステムズ株式会社入社。前職において,iDCにおけるECシステムの運用業務に携わる。主にPKIを導入したインターネット・サービスの運用業務設計を担当。現職においては,ネットワーク・ベンダーの視点に基づくコンサルティング・ビジネスを推進。2006年より,PCI DSSに関するセミナー講師を実施。前宮内庁CIO補佐官。