PR

 PCI DSSは,クレジットカードのカード情報および取引情報を保護するために,六つの目的と,それに関する12個のデータ・セキュリティ要件を定めている。各要件では,要求事項を実現するための詳細な管理策を規定している。今回は,要件5と要件6の概要について説明する。

要件5 アンチウィルス・ソフトウェアを利用し,定期的に更新すること
要件6 安全性の高いシステムとアプリケーションを開発し,保守すること

 この二つの要件の目的は「脆弱性を管理する仕組みを維持すること」である。この目的を実現するために,それぞれ「ウイルス対策」と「安全性の高いシステム開発・保守」を定めている。

 ソフトウエアの脆弱性を攻撃するウイルスなど悪意のあるソフトウエアは,従業員のメール利用,Webサイトの閲覧などの行為により内部ネットワークに持ち込まれる。システムを悪意のあるソフトウエアから保護するためには,悪意のあるソフトウエアを検知・除去・防護できるアンチウイルス・ソフトウエアの導入が基本となる。また,ウイルス対策の実施状況の確認やウイルスの発生状況を事後に確認するために,監査ログを取得することも必要である。

5.1 ウィルスによる影響を受けやすいすべてのシステム(特にPCとサーバ)には,アンチウィルス・ソフトウェアを導入する。
注:ウィルスに影響を受けやすいシステムには,一般的にはUNIXベースのオペレーティング・システムやメインフレームを含まない。

 一般的にコンピュータ・ウイルスと呼ばれているものには,「ウイルス」「ワーム」「トロイの木馬」などがある。その種類や攻撃手法は多種多様化している。また,近年のウイルスは巧妙で悪質な攻撃手法が増え,ウイルスによる脅威は衰えない状況である。そのため要件5.1では,ウイルスによる影響を受けやすいすべてのシステムに対し,アンチウイルス・ソフトウエアを導入し,システムの安全性確保を要求している。ウイルスに対する防御手段は様々あり,表1のように大別できる。

表1●ウイルスからの防御手段の分類
クライアントPCおよびサーバーでの防御 クライアント対策 クライアントPCのローカルディスクにウイルスが保存されたり,ウイルスが活動を行ったりした際に,ウイルスを検知し,駆除・削除する
ファイル・サーバー,グループウエア対策 ファイル・サーバー,グループウエア・サーバー上にウイルスが混入することを防御したり,活動を行った際にウイルスを検知し駆除・削除したりする
ゲートウェイでの防御 ゲートウェイ対策 インターネットへの出入り口やネットワーク経路上でのメールやWebページの閲覧,ファイルのダウンロードで侵入するウイルスを検知し,防御する。主にHTTP,SMTP,POP3,FTPといったプロトコルに対して,ウイルスの検出,駆除・削除,通信のブロックなどを行う
ネットワーク対策 ネットワーク経由で感染するウイルス(ワーム)を防御する

 要件5.2では,アンチウイルス・ソフトウエアのプログラム(検索エンジンやパターンファイルなど)が常に最新の状態であることに加え,監査ログの取得を定めている。監査ログに記録する情報および保管期間に関しては,要件10で定めている。

5.2 すべてのアンチウィルス・メカニズムが最新版で,正常に稼動しており,監査ログが生成できることを確認する。

アンチウイルス・ソフトの導入だけでは不十分

 要件5.1では,“ウイルスによる影響を受けやすいすべてのシステムには,アンチウイルス・ソフトウエアを導入する”とあるが,それだけでは現実の環境においては十分な対策と言えない場合もある。例えば,何らかの不具合によりアンチウイルス・ソフトウエアが正常に動作しない場合や,未許可のコンピュータがネットワークに接続されるといった不測の事態が発生することがあるからだ。

 そのため,効果的な防御を実現するためには複数の種類の対策も併せて検討したほうがよい。例えば,コンピュータやサーバーが接続されているネットワーク経路上に,ウイルス侵入/感染拡大を防御するための「ゲートウェイ型」「ネットワーク型」のウイルス対策をそれぞれ講じることにより,よりセキュアな環境を実現できる。図1に,社内ネットワークにおけるウイルス防御策を示す。

図1●社内ネットワークにおけるウイルス防御策
図1●社内ネットワークにおけるウイルス防御策

表2●関連製品
分野 メーカー/ベンダー 製品/サービス
ゲートウェイ型ウイルス対策 トレンドマイクロ InterScan Web Security Appliance
ネットワーク型ウイルス対策 シスコシステムズ Cisco ASA 5500シリーズ
アンチウイルス・ソフトウエア トレンドマイクロ ウイルスバスターコーポレートエディション
シマンテック Endpoint Protection
マカフィー VirusScan Enterprise

宇都 政樹
ネットワンシステムズ セキュリティ事業推進本部 コンサルティング部 第2チーム
大手ITベンダー傘下のグループ企業を経て,2008年1月,ネットワンシステムズ入社。前職では,ネットワーク・エンジニアとして,大手総合商社のネットワーク・インフラの構築・維持・保守を担当。現在はセキュリティ・コンサルタントとして,主に企業向けネットワーク脆弱性検査サービスに従事。