2010年9月15日8:10
PCI DSS対象範囲の特定(1)
PCI DSSの準拠を進める上で重要なポイントは、まず対象範囲の設定である。どこからどこまでが自社の準拠する範囲なのか?下記の記述はその定義である『PCI DSS v1.2 要件とセキュリティ評価手順』から引用したもの。要約すると、「カード会員データを含むネットワーク、サーバ、アプリケーション、すべてをPCI DSSの対象範囲と考える」ということだが、実際に範囲を設定する際のこの線引きはなかなか難しい。このような声は数多くPCI SSCにも上げられているが、サーバやネットワークの構成は各社によって異なるため、これ以上、基準内で具体的な定義を定めることも困難と考える。
PCI DSSの対象範囲『PCI DSS v1.2 要件とセキュリティ評価手順』
PCI DSS セキュリティ要件は、すべてのシステムコンポーネントに適用される。システムコンポーネントとは、カード会員データ環境に含まれる、またはこれに接続するすべてのネットワークコンポーネント、サーバ、またはアプリケーションとして定義される。カード会員データ環境とは、カード会員データまたはセンシティブ認証データを保有するネットワークの一部である。ネットワークコンポーネントにはファイアウォール、スイッチ、ルーター、ワイヤレスアクセスポイント、ネットワーク機器、その他のセキュリティ機器などが含まれるが、これらに限定されるわけではない。 サーバタイプには、Web、アプリケーション、データベース、認証、メール、プロキシ、ネットワークタイムプロトコル(NTP)、ドメインネームサーバ(DNS)などが含まれるが、これらに限定されるわけではない。 アプリケーションには、内部および外部(インターネット)アプリケーションなど、すべての市販およびカスタムアプリケーションが含まれる。
監査の前段階で「準拠の対象範囲をここで区切りたいが、よいか?」といった質問をよく受ける。ISMSの場合、適用範囲の考え方は組織による任意の設定が比較的柔軟に行えるため、類似する基準としてPCI DSSでも任意に設定できるとする誤解がある。ISMSとPCI DSSの範囲設定の考え方は根本的に異なる。PCI DSSでは、仮に準拠する組織側がリスクがないと判断しても、カード会員データを取り扱っている範囲、もしくはそこに接続されているフラットネットワークはすべてが含まれる。ネットワークレイヤからアプリケーションのレイヤまですべてが対象だ。
対象範囲の「拠点」についても注意が必要だ。例えば、インハウスのコールセンターも、カード会員データにアクセスして参照するなら、対象範囲に含まなければならない。店舗も同様だ。POSレジが設置されて、カード会員データが伝送されるのであればPCI DSSの対象範囲に入る。ただしコールセンターにおける参照やデータ処理の前工程でカード会員データの一部をトランケーションなどの手段で判読不能とし、その拠点で複合できない場合は対象範囲には含まれない。
オンサイト監査を受審する場合も同様に、対象範囲の設定は初期段階ではもっとも重要な作業である。コンサルティングサービスを使うとしても、監査を受ける企業が独自に対応を進めるとしても、事前に認定セキュリティ評価機関(QSA)との間で合意をとっておくことを強く推奨する。対象範囲に漏れがあったとしたら、追加範囲の設備やソフトウェア導入なども含め、追加コストがかかることになりかねないからだ。
なお監査の対象範囲を任意で設定することはできないが、カード会員データを扱うネットワークを意図的に狭くすることは有効な手法だ。要はカード会員データを扱うネットワークが狭ければ狭いほど、扱う部門が少なければ少ないほどカード会員データが漏えいするリスクは下がり、準拠企業の投資額やコンサルティング/監査費用などを削減することが可能であるという理屈だ。PCI SSCは基準の中でも、「ネットワークセグメンテーション」などの手法を使って、カード会員データ環境、すなわちPCI DSSの対象範囲をどんどん狭めていくことを推奨している。こうした要因からも対象範囲の設定は、最初に取り組むべき作業なのである。
※本記事は「PCI DSS Version1.2徹底解説」の一部分をご紹介したものです。
