2011年12月6日8:00
「PCI DSS Virtualization Guidelines」について解説
ネットワンシステムズは、2011年12月5日、「PCI DSSに関する最新情報と情報セキュリティ最新動向」について説明会を行い、2011年6月にPCI SSCからリリースされた仮想化に関するガイドライン「PCI DSS Virtualization Guidelines」について、ネットワンシステムズ サービス事業グループ プロフェッショナルサービス本部 フェロー 山崎文明氏が解説した。
リリースの前から強い関心を集める
ガイドラインでは11の仮想化のリスクを紹介
PCI DSSの管理団体であるPCI SSCから、2011年6月に仮想化に関するガイドライン「PCI DSS Virtualization Guidelines」がリリースされた。これは、カード会員情報を取り扱う加盟店やサービスプロバイダはもちろん、一般の企業でも参考になるという。
PCI SSCでは、ガイドラインをSupplements(参考文書)と呼んでおり、これまでトークナイゼーション、EMV、Encryption(End-to-Endの暗号化)などのSupplementsがリリースされている。また、ワイヤレスに関してはブルートゥースも定義されるようになったため、新たにアップデートされた。
PCI DSS Virtualization Guidelinesは、リリースの前から強い関心を集めていたという。ガイドラインの策定は、トレンドマイクロ、シトリックスなどが名を連ねるVirtualization SIG(Special Interest Group)で検討してきた内容が取りまとめられている。
ガイドラインには、「仮想環境にも、PCI DSS要件は適用されている」「仮想化は、便利だが、新たなリスクがもたらされている」「仮想化環境は多岐にわたり、単一の方法ではうまくいかない」という3つの原則が挙げられている。
ガイドラインの構成としては「Introduction」からはじまり、「Virtualization Overview」で仮想化の考え方や技術、スコープの影響をまとめている。また、「Risk for Virtualized Environments」で仮想環境のリスク、「Recommendations」で推奨事項、特に混合モードやクラウドコンピューティングについて記載されている。さらに、「Conclusion」、「Acknowledgements」、細かい要件ごとに仮想化利用時の考慮事項を記載した「Appendix- Virtualization Considerations for PCI DSS」と続く。
仮想化では、今まで存在したリスクが残ったうえで、特有のリスクが追加される。例えば、仮想マシンにセキュリティホールがある問題があるが、長期間放置された仮想マシンのポリシー違反が懸念される。同様に仮想マシンの不正な構成変更や設定のミス、仮想マシンの不正配置や配置ミスのようなセキュリティリスクがある。仮に、ハイパーバイザ、あるいは仮想マシンを操ることができる管理者権限が第三者に悪用された場合、一瞬にしてサーバをストップすることができてしまう。加えて、ネットワークのトラフィックの可視化の難しさ、仮想マシン間での不正アクセスやワームの伝搬、同一のハイパーバイザ内でのシステム間分離の困難さなどが挙げられる。
そのような点を考慮し、ガイドラインでは、仮想化に伴うリスクを11にまとめている(図)。
混合モードの使用は避け、ハイパーバイザのセキュリティ管理が必要
仮想化の運用ルールの作成と周知の徹底を
同ガイドラインの1つ目のポイントとしては、同じハイパーバイザ上に、カード情報を扱う仮想マシンとカード番号を扱わない仮想マシンが搭載される混合モード(Mixed Mode)を使用しないことだ。従来のPCI DSSの解釈通り、同じハイパーバイザ上にカード会員情報を扱わないシステムがあってもPCI DSSに準拠しなければならない。また、同一のハイパーバイザ上に、セキュリティレベルの異なる仮想マシンを原則として置かないことも指摘している。例えば、ログ生成する仮想マシンとログを取得・保存する仮想マシン、暗号化を行う仮想マシンと暗号鍵を管理する仮想マシンは求められるセキュリティレベルが異なるので別の仮想ホストに置かなければならない。また、カード番号を扱うセグメントは別セグメントとして仮想サーバにまとめることがポイントだ。
PCI DSSは多層防御の考えで要求事項がまとめられているが、仮想化ではシステムセキュリティとネットワークセキュリティの境界があやふやになる。そのため、2つ目のポイントとして、ハイパーバイザのセキュリティ管理を挙げた。ハイパーバイザには非常に高い権限が集中するため、ハイパーバイザへのアクセスアカウントは慎重に制御する必要があるという。
1つの例として、役割ベースのアクセス制御(RBAC)と職務分離の実現が挙げられる。「サーバ管理者とネットワーク管理者」「セキュリティ管理機能」「ハイパーバイザ管理の仮想マシン自身のOS管理」の最低でも3つの職務分掌が必要であるとした。また、ハイパーバイザに関しては、2因子認証を使ったアクセス、パッチの即時適用、デフォルト設定の回避といったように、通常のサーバ管理よりも高いセキュリティ対策を行うことが重要だ。
3番目のポイントが仮想化の運用ルールの作成と周知である。例えば、休眠した仮想マシンが環境に残る、あるいは容易に仮想マシンがイメージとしてコピーされる可能性がある。そのため、バックアップ、稼働中の仮想マシン、非稼働のマシンについて、外部媒体を含め適切な管理を行う必要がある。仮想化は新しい技術であり、運用管理のベストプラクティスが確立していない面もある。実際、ネットワンシステムズがコンサルティングを行った企業でも構成管理と変更管理の手順が定まっていないケースが見受けられたそうだ。その意味でも運用者、管理者に対する追加の教育やトレーニングの実施が必要であるとしている。
山崎氏は、PCI SSC PO Japan連絡会の会長を務めるが、「PO Japan連絡会でも仮想化についての勉強会を実施しましたが、その際にPCI DSSの準拠が求められる参加企業からは、自分たちが今までとってきた考えが間違いではなかったことを確認できたというコメントがあった」というように、実務レベルで活用が可能なガイドラインであるとしている。
