ナレッジ
掲載月:2015年4月
PCI DSSに統合ログ管理システムが有用な理由とは?
セキュリティ対策
~PCI DSS とは?~
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準です。インターネットの普及によるネット決済の増加を受け、もともとクレジットカードのブランドごとにばらばらであったクレジットカード情報の保護することを目的とし、セキュリティ基準を業界全体で統一するため、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)によって策定されました。
PCI DSSは、クレジットカード事業者が保有する個人情報を対象にしたISMSやPマークといった情報セキュリティ基準とは異なり、事業者が保有するクレジットカード情報のみが対象となります。また、定められている要件についても、ISMSやPマークに比べ、PCI DSSは具体的に実務レベルまで定量的に定められています。この違いは、ISMSやPマークは企業側が主体性と自己責任意識を持ってルールを定めることを目的としているのに対し、PCI DSSは金銭的な事故につながる可能性が高いクレジットカード情報の保護を目的としている点にあります。
~クレジットカード業界以外で注目されるPCI DSS~
もともとPCI DSSは、クレジットカード事業者向けの個人情報保護を目的として策定されましたが、近年クレジットカード事業者以外にもPCI DSSを情報セキュリティ基準として採用する企業が増加しています。様々なサイバー犯罪が増え、情報漏えい事件が多発するなか、クレジットカード情報を企業が持つ機密情報に置き換えて捉え、具体的な情報セキュリティの実装が要求されるPCI DSSが情報セキュリティ基準として採用されているのです。PCI DSSはあらゆる環境に対応可能ですが、特に不正アクセスの標的になりやすいインターネット系やオープンシステム系を利用している企業に、セキュリティ対策を強化するためのガイドラインとして採用されています。
~PCI DSSの要件~
PCI DSSは、重要な機密データをネットワークを分離して適切に管理するため、大きく6つの「コントロールの目的」に分けられています。さらに、ネットワークアーキテクチャやソフトウェアデザイン、セキュリティマネジメント、ポリシーなどに関する基準が制定されており、12の要件に分かれています。また、12の要件がそれぞれ実務レベルまで細分化されており、すべての要件で約200項目あります。
特にログ管理に関わる部分として、要件10の「ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること」があります。この要件を満たすためには、カード会員データに関するネットワークすべてのログを収集し、監視することが求められています。
~PCI DSS 12の要件~
~特に負担の大きい「要件10.6」~
要件10について、詳細な内容を見ると下図のようになります。ここから各項目はさらに細分化され実務レベルにまで落とし込まれた要件が定義されています。ただ、そのなかでも担当者にとって負担が大きい部分は要件10.6です。
通常、ログの収集はほとんどの企業が監査対策として行っており、監査時の証跡としての活用や、社内で障害が起こった際に蓄積されたログ情報を利用し、原因の調査を行うことが一般的です。一方、PCI DSSでは毎日1回のレビューが義務付けられています。毎日1回のレビューとなると、特に大企業の場合は一日のログのボリュームが膨大な量になるため、担当者の負担は相当なものになります。
そういった問題を解決するため、レポートによる監視機能や異常なログ操作が発生した際にアラートを発する機能などを持つログ管理ソリューションを有効な手段として活用する企業が増えています。
- NAME
- 百瀬 崇(シピン)
- CAREER
- フリーライター。ITとビジネス全般を中心に取材・執筆活動を行う。特に情報通信業界での取材経験が豊富で、クラウドコンピューティングやスマートデバイスなどの記事をWebサイトや雑誌などで数多く発表。
掲載内容は、2015年4月現在のものです。