2010年9月30日10:05
第2回 カード会員データとセンシティブ認証データの保護(4)
NTTデータ・セキュリティ コンサルティング本部 PCI推進室 CISSP 川島祐樹
4. ペイメントアプリケーションの動作のログ管理アクセスおよびすべてのカード会員データへのアクセスの記録
要件4は、PCI DSSの要件10に該当し、アクセスログの管理について要求している。また、要件3と同様、導入時点での状態(‟Out of the box”)でログ記録が有効になっていること(4.1)、また、アプリケーションが稼働する上で自動化された監査証跡が有効となること(4.2)が必要となる。また、4.1では‟すべての動作を個々のユーザに関連付けられるようにする必要があります”とあるが、これは要件3で各アクセスが一意のアカウントに割り当てられている事が大前提である。
では、ログ記録においては何を取得すれば良いのだろうか。これは、PCI DSSの要件10.2および10.3を参照する必要がある。要件10.2には、”どのようなイベントについて、ログを記録しなければならないかが記載されている。”
=====引用=====
10.2.1 カード会員データへのすべての個人アクセス
10.2.2 ルート権限または管理権限を持つ個人に依って行われたすべてのアクション
10.2.3 すべての監査証跡へのアクセス
10.2.4 無効な論理アクセス試行
10.2.5 識別および認証メカニズムの使用
10.2.6 監査ログの初期化
10.2.7 システムレベルオブジェクトの作成および削除
==============
何を記録しなければならないかはこのように記載されているが、特に10.2.7の”システムレベルオブジェクトの作成および削除”については、”システムレベルオブジェクトとは何なのか?”といった疑問が残るだろう。これについては、PCIセキュリティスタンダードカウンシルのサイトに掲載されているこのFAQがヒントとなるだろう。
=====引用=====
“Can you define what is meant by system-level objects in PCI DSS requirement 10.2.7?”
A system-level object is anything on a computer system required for its operation, including but not limited to application executable and configuration files, system configuration files, static and shared libraries & DLLs, system executables, device drivers and device configuration files and all 3rd party components added to make machine provide any of its’ services.
【抄訳】
システムレベルオブジェクトとは、アプリケーション実行ファイル、設定ファイル、システム設定ファイル、ライブラリ、デバイスドライバなどの、当該コンピュータシステムが稼働するために必要となるものすべてである
※引用元:
http://selfservice.talisma.com/display/2n/kb/article.aspx?aid=7317&n=1&s=
==============
また、上記のPCI DSS要件10.2サブ項目に対して、以下のログエントリを記録する必要がある。
=====引用=====
10.3.1 ユーザ識別
10.3.2 イベントの種類
10.3.3 日付と時刻
10.3.4 成功または失敗を示す情報
10.3.5 イベントの発生元
10.3.6 影響を受けるデータ、システムコンポーネント、またはリソースのIDまたは名前
==============
アプリケーションでこれらのログ記録を実装する際はもちろん、OSやデータベース等の設定に依存する際は、デフォルト設定では記録されるデータが証跡として不足することがあるため、OS、ミドルウェアに応じてこれらの項目が確実に記録されるよう設定を行う必要がある。
PA-DSS徹底解説第2回
次回予告
今回は、実際にPA-DSS要件で求められる内容に入り、要点を解説した。PA-DSSはページ数にしては少ないが、PCI DSSの要件を多く参照しており、審査においても参照先のPCI DSS要件を厳密に確認しなければならないため、実際に対応しなければならない項目はかなり多くなる。また、代替コントロールが採れない点や、アプリケーションが搭載されるハードウェアによる制限などもあり、要件の意図はPCI DSSと変わらないものの、対応するベンダにとっては難しいと感じられる点が多いかもしれない。今回の中程でも少しふれたが、アプリケーションベンダの内部だけで完結しない課題もあり、クレジットカード業界や国際カードブランド、PCI SSCなどの動きも注意して見ていただきたい。
次回は、アプリケーション開発と変更管理、ワイヤレスの実装、アプリケーションのテストについて要求されている要件5から要件7の解説を行う予定である。PCI DSSをご存じの方にとってはなじみ深いところと考えられるが、アプリケーションの開発ベンダ側の観点となっている。アプリケーション開発者の方だけではなく、PCI DSSを読んだことがある、もしくはPCI DSSに対応したことがある、している、という方にもご一読いただきたい。
⇒⇒第2回 カード会員データとセンシティブ認証データの保護(1)へ戻る
⇒⇒第2回 カード会員データとセンシティブ認証データの保護(2)へ戻る
