2010年9月15日8:20
PCI DSS対象範囲の特定(2)
ネットワークセグメンテーションの例を示す。右図には、社内にインターネットに接続されたシステムがあり、データベースにカード会員データを保管してあるような環境を想定している。
この形式の内部ネットワーク(INTセグメント)に、メンテナンス用のPCが何台か接続され、さらに通常業務のPCもつながれていれば、「フラットネットワーク」としてカード会員データ環境用に含まれてしまう。このケースは実際によくある。
PCをすべてフラットなネットワークに置く必要がないのであれば、メンテナンス用PCはネットワークを分離すればいい。ファイアウォールを置いてメンテナンス用のネットワークセグメントと、いわゆる通常業務のパソコンのネットワークをセグメンテーション(分離)する(※点線囲み)。もちろん通常業務用のネットワークセグメントからカード会員データ環境にアクセスできないファイアウォールのポリシーになっていることが前提となるが、これでリスクはメンテナンス用のPCに限定され、通常業務用のPC、ネットワーク、その利用者の教育などPCI DSSに準拠するコストが削減できる。つまり、ネットワークセグメンテーションは、リスクとコストを下げる有効な手段なのである。
仮に現有のカード会員データ環境は広くても、ネットワークセグメンテーションにより狭めることが可能だ。具体的な対象範囲の決め方だが、オンサイト監査を受けている場合は、一般的には監査の前に予備調査の工程が設けられるため、ここで線引きすることが多い。自己問診の場合は、契約するアクワイアラもしくは準拠支援のコンサルティング会社などとの協議で決定する。
リスクとコストを下げるには、カード会員データを扱う環境を、どんどん狭めていくことだ。究極のリスク低減は、データそのものを持たないこと。リスクゼロである。非対面の加盟店が選択する方法の1つとして、インターネット決済代行事業者が提供する「非保持(画面遷移型)」サービスの利用が挙げられる。この形式のサービスでは、すべてのカード会員データを決済代行事業者に預け、加盟店は所有しない。
※本記事は「PCI DSS Version1.2徹底解説」の一部分をご紹介したものです。
