2010年12月1日7:00
QSAに聞くVersion2.0のポイント~(3)NRIセキュアテクノロジーズ
――御社がQSAとして活動する上での強みを簡単にお答えください。
審査機関としての訪問審査のみならず、技術、システム、マネジメントと幅広い分野に精通したセキュリティ専門家が、要件への適否を杓子定規に判断するのではなく、その組織における適切なリスクアプローチに基づき、PCI DSSの効果を最大化することを目的としたご支援が可能です。
――PCI DSSが新バージョンに移行になりますが、新バージョンをご覧になった感想をお答えください。
メジャーバージョンアップの割には、大幅な変更はないというのが印象です(2年サイクルから3年サイクルに制度変更になったことに伴う、数字合わせという部分もあるのでは)。
全体として、要件の中に手段が含まれていた部分が切り離され、例示という位置づけになっているものが多く、要件の内容がより明確になりました。
――新バージョンに移行になり、緩和された部分で特に注目される点につきましてお答えください。
暗号キーの変更期間について、柔軟な対応が可能となった点(要件3.6.4)、不正な無線アクセスポイントを検出するための手段について、いくつかの方法が提示された点(要件11.1)、及びリモートアクセス時におけるローカルハードドライブへのPANの保存ついて、緩和された点(要件12.3.10)等があげられます。
――新バージョンに移行になり、強化された部分で特に注目される点につきましてお答えください。
脆弱性に関して、自社環境に照らしたリスクの順位付けを行うプロセスを確立すること(要件6.2)及び「高」ランクに位置づけられた脆弱性への対応(要件6.5)が必要となった点、リモートアクセス時における2因子認証として、知識認証(パスワード等)、所有物認証(トークン等)、本人の特徴による認証(生体認証等)のうち2つを使用することが明確化(要件8.3)された点があげられます。
――上記の点を踏まえ、来年以降、QSAとして審査は行いやすくなると考えられますか?また、QSA部会などで議論が必要になる点などがあるようでしたらお答えいただけると助かります。
Version 2.0では、審査時に使用するテスト手順に関して、要求する対象(文書化、実装、運用等)によって明確に分離されるようになりましたので、分かりやすくなりました。
QSAには、「あいまいさ」を残さない対応が期待されていると感じます。QSA部会においても、これまでの要件解釈を再確認し、こうした期待に応える対応を推進することが求められると思われます。
