ナレッジ

掲載月:2015年4月

PCI DSSに統合ログ管理システムが有用な理由とは?

セキュリティ対策

~PCI DSS とは?~

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準です。インターネットの普及によるネット決済の増加を受け、もともとクレジットカードのブランドごとにばらばらであったクレジットカード情報の保護することを目的とし、セキュリティ基準を業界全体で統一するため、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)によって策定されました。

PCI DSSは、クレジットカード事業者が保有する個人情報を対象にしたISMSやPマークといった情報セキュリティ基準とは異なり、事業者が保有するクレジットカード情報のみが対象となります。また、定められている要件についても、ISMSやPマークに比べ、PCI DSSは具体的に実務レベルまで定量的に定められています。この違いは、ISMSやPマークは企業側が主体性と自己責任意識を持ってルールを定めることを目的としているのに対し、PCI DSSは金銭的な事故につながる可能性が高いクレジットカード情報の保護を目的としている点にあります。

~クレジットカード業界以外で注目されるPCI DSS~

もともとPCI DSSは、クレジットカード事業者向けの個人情報保護を目的として策定されましたが、近年クレジットカード事業者以外にもPCI DSSを情報セキュリティ基準として採用する企業が増加しています。様々なサイバー犯罪が増え、情報漏えい事件が多発するなか、クレジットカード情報を企業が持つ機密情報に置き換えて捉え、具体的な情報セキュリティの実装が要求されるPCI DSSが情報セキュリティ基準として採用されているのです。PCI DSSはあらゆる環境に対応可能ですが、特に不正アクセスの標的になりやすいインターネット系やオープンシステム系を利用している企業に、セキュリティ対策を強化するためのガイドラインとして採用されています。

~PCI DSSの要件~

PCI DSSは、重要な機密データをネットワークを分離して適切に管理するため、大きく6つの「コントロールの目的」に分けられています。さらに、ネットワークアーキテクチャやソフトウェアデザイン、セキュリティマネジメント、ポリシーなどに関する基準が制定されており、12の要件に分かれています。また、12の要件がそれぞれ実務レベルまで細分化されており、すべての要件で約200項目あります。

特にログ管理に関わる部分として、要件10の「ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること」があります。この要件を満たすためには、カード会員データに関するネットワークすべてのログを収集し、監視することが求められています。

~PCI DSS 12の要件~

I 安全なネットワークの構築・維持
要件1 カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件2 システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと
II カード会員データの保護
要件3 保存されたカード会員データを安全に保護すること
要件4 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
III 脆弱性を管理するプログラムの整備
要件5 アンチウィルス・ソフトウェアを利用し、定期的に更新すること
要件6 安全性の高いシステムとアプリケーションを開発し、保守すること
IV 強固なアクセス制御手法の導入
要件7 カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件8 コンピュータにアクセスする利用者毎に個別のID を割り当てること
要件9 カード会員データへの物理的アクセスを制限すること
V 定期的なネットワークの監視およびテスト
要件10 ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
要件11 セキュリティ・システムおよび管理手順を定期的にテストすること
VI 情報セキュリティ・ポリシーの整備
要件12 情報セキュリティに関するポリシーを整備すること

~特に負担の大きい「要件10.6」~

要件10について、詳細な内容を見ると下図のようになります。ここから各項目はさらに細分化され実務レベルにまで落とし込まれた要件が定義されています。ただ、そのなかでも担当者にとって負担が大きい部分は要件10.6です。

通常、ログの収集はほとんどの企業が監査対策として行っており、監査時の証跡としての活用や、社内で障害が起こった際に蓄積されたログ情報を利用し、原因の調査を行うことが一般的です。一方、PCI DSSでは毎日1回のレビューが義務付けられています。毎日1回のレビューとなると、特に大企業の場合は一日のログのボリュームが膨大な量になるため、担当者の負担は相当なものになります。

そういった問題を解決するため、レポートによる監視機能や異常なログ操作が発生した際にアラートを発する機能などを持つログ管理ソリューションを有効な手段として活用する企業が増えています。

要件10

10.1 システム・コンポーネントに対するすべてのアクセス(特にルートなどアドミニストレータ権限を持つユーザーによるもの)を、個々のユーザーとリンクするための手順を確立する。
10.2 すべてのシステム・コンポーネントに対して、以下のイベントを追跡するための自動監査証跡を導入する。
10.3 すべてのシステム・コンポーネントにおいて、イベントごとに少なくとも次の監査証跡を記録する。
10.4 すべての重要なシステム・クロックと実際の時刻を同期させる。
10.5 監査証跡は、改変できないように保護する。
10.6 すべてのシステム・コンポーネントのログを、少なくとも一日1回はレビューする。
ログのレビューの対象は、intrusion detection system(IDS)とauthentication, authorization, and accounting protocol(AAA)サーバ(例:RADIUS)のようなセキュリティ機能を果たすサーバを含む。
10.7 監査証跡履歴は、少なくとも1年は保管、最低3カ月間はオンラインで閲覧利用できるようにする。
ライター
NAME
百瀬 崇(シピン)
CAREER
フリーライター。ITとビジネス全般を中心に取材・執筆活動を行う。特に情報通信業界での取材経験が豊富で、クラウドコンピューティングやスマートデバイスなどの記事をWebサイトや雑誌などで数多く発表。

掲載内容は、2015年4月現在のものです。

CONTACT

お問い合わせ
資料請求はこちら

テキストのコピーはできません。