2010年11月09日12:19
PCI DSS Ver.2.0の要件を解説~BSIグループジャパン(2)
要件11.1は検出方法を柔軟化
要件6は脆弱性に対するリスクベースの採用を盛り込む
要件11.1の四半期に一度の無線アクセスポイントの存在、及び許可されていない無線アクセスポイントの検出のためのテスト方法についても改定された。1.2では無線アナライザもしくはIPS/IDSを導入して技術的な確認が必要だったが、物理的なサイトの検査、ネットワークコントロール(NAC)が追加され、要件が緩和された。
=====================
・ 無線ネットワークスキャン(無線アナライザ)
・物理的なサイトの検査
・ネットワークアクセスコントロール(NAC)
・無線IDS/IPSの導入
※青字は追加された部分
=====================
要件の発展的改定としては、脆弱性に対するリスクベースの採用が盛り込まれた。2012年6月30日までは必須ではないが、同7月1日からは必須となる。
要件6.2は新たなセキュリティを特定して、当該のリスクランキングを割り当てることを確認しなければならなくなった。
リスクのランク付けに関しては要件6.5の安全なコーディングガイドライン、要件11.2の脆弱性スキャニングテストにも影響している。例えば、要件6.5.6の安全なコーディングのガイドラインについては要件6.2の定義にしたがって「High」とランク付けされた脆弱性のあるコーディングを防止しなければならない。また、要件11.2.1bのテスト手順では、スキャンレポートをレビューし、スキャンプロセスに合格結果が得られるまで、または要件6.2の定義にしたがって、「High」とランク付けされたすべての脆弱性が解決するまで、再スキャンすることが含まれていることを検証しなければならない。
数多くの要件が明確化
PCI DSS対応の3つの新技術についても解説
新バージョンでは、内容が明確になってわかりやすくなった部分が数多くある。例えば要件1.1.5では、安全でないサービス、プロトコル、ポートの例示として、FTP、Telnet、POP3、IMAP及びSNMPが追加された。また要件1.3のインターネットとカード会員データ環境の境界についても明確化された。要件1.3.5については、1.2ではカード会員データ環境からインターネットへの発信トラフックはすべて禁止されていたが、2.0ではカード会員データ環境からインターネットへの許可を得ていない発信トラフィックは禁止することとなった。また、要件1.3.6では動的パケットフィルタリングの実装状況検証のためのポートスキャナを使用することとなっていが、これを削除した。
要件3.2のイシュアのセンシティブ認証データ保管については、事業上の正当化ができ、データが安全に保管されていれば、センシティブ認証データを保管することが許可された。
要件6.5に関しては従来、安全なWebコーディングに関する条件であったが、非Webアプリケーションを含んだ安全なコーディングに関する要件となった。要件8のレジに対する認証に関わるPA-DSSとの整合化については、「1回にカード番号を1件ずつアクセスするだけのPOSペイメントアプリケーションについては、要件8の一部の要件(8.1、8.2、8.5.8-8.5.15)に適用することを意図していない」、という注記が加わった。カード会員データ環境へのリモートアクセスポリシーの柔軟化(要件12.3.10)については青字の部分が追記され、より明確な要件となった。
====================
要件12.3.10
PCI DSS要件・・・リモートアクセステクノロジ経由の場合でカード会員データにアクセスする場合、業務上の必要性が定義され、明示的に許可されていない限り、ローカルハードドライブおよびリムーバブル電子メディアへのカード会員データのコピー、移動、保存を禁止する。
テスト手順
12.3.10.a 使用ポリシーで、リモートアクセステクノロジ経由でのアクセス時に、ローカルハードドライブおよびリムーバル電子メディアへのカード会員データのコピー、移動、または保管が禁止されていることを確認する。
12.3.10.b 特定の許可を与えられた従業員に対して、使用ポリシーにおいて、PCI DSS要件に沿ったカード会員データの保護が要求されていることを確認する。
※青字は追加された部分
====================
米川氏は、PCI DSSの最新技術動向であるカード会員データを暗号化したポイントから、複合化するポイントまで読み取り不能な状態を保つ「Point-to-Point Encryption」、ICチップカード技術に基づくクレジットカード、デビットカードの国際標準仕様である「EMV」、PCI SSCが提案する新しいID管理手法である「Tokenization」についても解説した。
講演の最後には、BSIグループジャパン営業本部 営業マネージャー 部長 武藤敏弘氏がPCI DSSの国内での浸透状況について説明した。今年に入り、同社がオンサイトレビューを実施した企業の数は二十数社。最近は三菱UFJニコスが準拠を果たすなど、対応企業も増えており、サービスプロバイダを中心に問い合わせも多いという。
※PCI DSS Ver2.0の「要件とセキュリティ評価手順」については日本語版はまだ発行されていません。要件の翻訳についてはBSIグループジャパンが行った内容を掲載しています。
