PR

図4●PCIコンプライアンスの運用手順
図4●PCIコンプライアンスの運用手順
 PCI DSSの運用のポイントは,従業員あるいは契約社員の情報セキュリティに関する責務を明確にすることだ。PCI DSSでは,セキュリティ・ポリシーの定期的な見直しを求めており,構築すれば終了ということではなく,継続的な改善が必要となる。

 前回の導入プロセスに続き,今回は運用と改善のプロセスについて概説する。さらに,順守確認(バリデーション)の仕組みについて解説する(図4)。


従業員から誓約書を取得する

 PCI DSSの運用に関しては,一般的なマネジメント・システムの運用に準じて実施すれば問題ない。ただし,要件ごとに目標となる数値が具体的に規定されていることに注意が必要である。

 教育の実施の際に,対象となるすべての従業員から,セキュリティ・ポリシーおよび担当業務の手順の理解に関する誓約書を取得しなくてはならない。さらに,インシデント対応計画にのっとりセキュリティ侵害の対応責任者に対して訓練を実施する必要がある。

 PCI DSSでは,各種のシステム・ログおよび物理的なログ(入退室の記録など)を監査証跡として取得することを求めているので,日常の運用の中で確実にそれらのログが取得されるような設定,手順を確立しなくてはならない。監査証跡には保存期間が規定されているものもあるため,注意が必要である。

 PCI DSSでは,定期的に実施すべき作業が規定されていることにも注意が必要である。例えば,要件8.5.5では,休眠状態のユーザー・アカウントの除去を90日に1回以上の頻度で実施することが求められている。暗号鍵の変更やファイルの改ざん検知など,他のいくつかの項目において,実施の頻度が具体的に規定されている。

 脆弱性検査としては,要件11.2でネットワーク脆弱性スキャンを,要件11.3でペネトレーション・テストを実施することが求められている。特に四半期ごとの外部のネットワーク脆弱性スキャンは,認定されたスキャン・ベンダー(ASV)によって行われなければならないというところまで決められている。

セキュリティ・ポリシーは年に1回見直す

図5●PCIコンプライアンスの改善手順
図5●PCIコンプライアンスの改善手順
 PCI DSSでは,改善プロセス(内部監査,マネジメント・レビューおよび改善処置)の実施を明示して求めてはいないが,要件12.3でセキュリティ・ポリシーの年次の見直しと環境変更時の変更を求めていることから,改善プロセスを実施する必要がある(図5)。

 一般的なマネジメント・システムの場合と同様に,内部監査を行い,前述した脆弱性検査の結果も含めてマネジメント・レビューのインプット情報とし,改善処置を実施することが必要となる。

VISAやMasterCardがプログラムを提供

 PCI DSS が策定される以前から,VISAやMasterCardは,リスク管理プログラムを設定して加盟店などに参加を義務付けていた。VISAのプログラムはAIS(Account Information Security),MasterCardのプログラムはSDP(Site Data Protection)と呼ばれている。AISやSDPでは,取り扱うクレジットカード情報の平均取扱い件数に応じて,PCI DSSへの準拠を確認するためのバリデーションを受けることを要求している。以下は,AISプログラムの例である(表1)。

表1●VISA AISバリデーション(サービス・プロバイダ)の場合
VISAアカウントの月間平均取扱件数 バリデーションの内容
1万件未満 問診票による自己診断
1万~5万件 問診票による自己診断
四半期ごとの脆弱性スキャニング・テスト
5万件超 問診票による自己診断
四半期ごとの脆弱性スキャニング・テスト
訪問調査

(1)問診票による自己診断  PCI DSSへの準拠性を確認するための,自己評価問診票を用いたバリデーションである。問診票は,オンラインで無料提供されている。問診票は2項選択方式の質問から成っており,各企業で集計された回答はオンラインでバリデーション・プログラムに登録され,バリデーション結果は評価レポートにて通知される。

(2)四半期ごとのスキャニング・テスト  インターネットに接続されているネットワーク機器,サーバ機器類に対する,外部・遠隔地からの脆弱性スキャニング・テストによるバリデーションである。脆弱性が発見された場合,それを示した診断レポートが認定スキャニング・ベンダー(ASV)から発行され,不適合の場合には是正するための勧告がなされる。

(3)訪問調査  認定セキュリティ審査機関(QSA)によって実施される,第三者によるオンサイト調査である。公開された監査手順に従って,PCI DSSの順守状況が審査される。

豊田 祥一
ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部 コンサルティング部 部長
2005年11月,ネットワンシステムズ株式会社入社。前職において,iDCにおけるECシステムの運用業務に携わる。主にPKIを導入したインターネット・サービスの運用業務設計を担当。現職においては,ネットワーク・ベンダーの視点に基づくコンサルティング・ビジネスを推進。2006年より,PCI DSSに関するセミナー講師を実施。前宮内庁CIO補佐官。