決済アプリケーションセキュリティ基準「PA-DSS」入門 第2回(4/4)

2010年9月30日10:05

第2回 カード会員データとセンシティブ認証データの保護(4)

NTTデータ・セキュリティ コンサルティング本部 PCI推進室 CISSP 川島祐樹

4. ペイメントアプリケーションの動作のログ

管理アクセスおよびすべての

カード会員データへのアクセスの記録

要件4は、PCI DSSの要件10に該当し、アクセスログの管理について要求している。また、要件3と同様、導入時点での状態(‟Out of the box”)でログ記録が有効になっていること(4.1)、また、アプリケーションが稼働する上で自動化された監査証跡が有効となること(4.2)が必要となる。また、4.1では‟すべての動作を個々のユーザに関連付けられるようにする必要があります”とあるが、これは要件3で各アクセスが一意のアカウントに割り当てられている事が大前提である。

では、ログ記録においては何を取得すれば良いのだろうか。これは、PCI DSSの要件10.2および10.3を参照する必要がある。要件10.2には、”どのようなイベントについて、ログを記録しなければならないかが記載されている。”

=====引用=====

10.2.1 カード会員データへのすべての個人アクセス

10.2.2 ルート権限または管理権限を持つ個人に依って行われたすべてのアクション

10.2.3 すべての監査証跡へのアクセス

10.2.4 無効な論理アクセス試行

10.2.5 識別および認証メカニズムの使用

10.2.6 監査ログの初期化

10.2.7 システムレベルオブジェクトの作成および削除

==============

何を記録しなければならないかはこのように記載されているが、特に10.2.7の”システムレベルオブジェクトの作成および削除”については、”システムレベルオブジェクトとは何なのか?”といった疑問が残るだろう。これについては、PCIセキュリティスタンダードカウンシルのサイトに掲載されているこのFAQがヒントとなるだろう。

=====引用=====

“Can you define what is meant by system-level objects in PCI DSS requirement 10.2.7?”

A system-level object is anything on a computer system required for its operation, including but not limited to application executable and configuration files, system configuration files, static and shared libraries & DLLs, system executables, device drivers and device configuration files and all 3rd party components added to make machine provide any of its’ services.

【抄訳】

システムレベルオブジェクトとは、アプリケーション実行ファイル、設定ファイル、システム設定ファイル、ライブラリ、デバイスドライバなどの、当該コンピュータシステムが稼働するために必要となるものすべてである

※引用元:

http://selfservice.talisma.com/display/2n/kb/article.aspx?aid=7317&n=1&s=

==============

また、上記のPCI DSS要件10.2サブ項目に対して、以下のログエントリを記録する必要がある。

=====引用=====

10.3.1 ユーザ識別

10.3.2 イベントの種類

10.3.3 日付と時刻

10.3.4 成功または失敗を示す情報

10.3.5 イベントの発生元

10.3.6 影響を受けるデータ、システムコンポーネント、またはリソースのIDまたは名前

==============

アプリケーションでこれらのログ記録を実装する際はもちろん、OSやデータベース等の設定に依存する際は、デフォルト設定では記録されるデータが証跡として不足することがあるため、OS、ミドルウェアに応じてこれらの項目が確実に記録されるよう設定を行う必要がある。

PA-DSS徹底解説第2回

次回予告

今回は、実際にPA-DSS要件で求められる内容に入り、要点を解説した。PA-DSSはページ数にしては少ないが、PCI DSSの要件を多く参照しており、審査においても参照先のPCI DSS要件を厳密に確認しなければならないため、実際に対応しなければならない項目はかなり多くなる。また、代替コントロールが採れない点や、アプリケーションが搭載されるハードウェアによる制限などもあり、要件の意図はPCI DSSと変わらないものの、対応するベンダにとっては難しいと感じられる点が多いかもしれない。今回の中程でも少しふれたが、アプリケーションベンダの内部だけで完結しない課題もあり、クレジットカード業界や国際カードブランド、PCI SSCなどの動きも注意して見ていただきたい。

次回は、アプリケーション開発と変更管理、ワイヤレスの実装、アプリケーションのテストについて要求されている要件5から要件7の解説を行う予定である。PCI DSSをご存じの方にとってはなじみ深いところと考えられるが、アプリケーションの開発ベンダ側の観点となっている。アプリケーション開発者の方だけではなく、PCI DSSを読んだことがある、もしくはPCI DSSに対応したことがある、している、という方にもご一読いただきたい。

⇒⇒第2回 カード会員データとセンシティブ認証データの保護(1)へ戻る

⇒⇒第2回 カード会員データとセンシティブ認証データの保護(2)へ戻る

⇒⇒第2回 カード会員データとセンシティブ認証データの保護(3)へ戻る

⇒⇒連載目次へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP