2010年12月1日9:05
決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(1/3)
第4回 PA-DSS要件8~12の解説
決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回
はじめに
10月28日、PCI SSCよりPCI DSSのバージョン2.0が公開された。これに合わせて、PA-DSSのバージョン2.0も公開されている。PCI DSSバージョン2.0における変更点については、ひとことで表すと”大きな変更点はなく、多くの要件で明確化が図られている”といえるだろう。PA-DSSはもともと、PCI DSSから派生してアプリケーション実装向けに再構成されているものであるため、PCI DSSと同じく、要件が大幅に変更された、もしくは判断基準が大きく増減した、といった点はないと考えて良いだろう。
しかし、PA-DSSでは文書構成が大きく変わった点がある。PA-DSSは前回まででも言及していた通り、多くの要件でPCI DSSの要件が参照されていたが、これがPA-DSSの要件、テスト手順の中に取り込まれた。つまりPA-DSSの要件を読み解いていくには、都度PCI DSSも参照していく必要があったが、今回のバージョンアップで参照先の内容はPA-DSSのテスト手順自体に取り込まれたため、基本的にはPCI DSSを参照することなく、PA-DSSの要件、テスト手順で完結する作りとなっている(図1)。これは対応するベンダにとっても、アプリケーション審査を行うPA-QSAにとっても、作業を進める上では大変便利になったと言えるだろう。
なお、本連載は要件1~14の順に解説を行っていたが、バージョン2.0のアップデートにおける再構成で、要件番号がひとつ減り、1~13となった(図2)。幸い、ここまで解説した部分については要件番号(大項目)の変更はなかったため、このまま要件8から解説する。ベースはバージョン2.0として、バージョンアップで変更があった部分についてはその都度触れていくこととする。
要件8. 安全なネットワーク実装の促進
決済アプリケーションは、導入先環境のPCI DSS準拠を阻害してはならない
要件8は、要件、テスト手順は1項目のみであり、バージョン2.0においても特に変更点はない。PCI DSS準拠環境で動作し、当該決済アプリケーションがPCI DSS準拠状況を阻害してはならない、という意図の要件である。例えば、PCI DSSで求められている対策として、アンチウィルスソフトウェアの導入があるが、この決済アプリケーションが動作するためにアンチウィルスソフトウェアをインストールしてはならない、といったソフトウェア仕様だと、本要件に抵触するおそれがある。関連するPCI DSS要件として、1、3、4、5、6が挙げられているので、各要件で何が求められているかをおさらいしてみよう。
●要件1…ファイアウォール、ルータの安全な構成
●要件3…保存するカード会員データの判読不能化
●要件4…公共ネットワークを伝送するカード会員データの暗号化
●要件5…アンチウィルスソフトウェアの導入と管理
●要件6…開発プロセスにおけるセキュリティと、パッチの適用
例えば、決済アプリケーションが下記のような特徴を持ってしまっていると、上記PCI DSS要件に対応できなくなり、PCI DSS準拠を阻害することになるため、本要件を満たす事ができなくなってしまう。
●決済アプリケーションが動作するために、ゲートウェイにおけるアウトバウンドの通信を遮断できない
●決済アプリケーションが、カード会員データをハードディスクに平文で保存する
●決済アプリケーションが、インターネットを通じて、FTPを使用してサーバにカード会員データを送信する
●決済アプリケーションがうまく動かなくなるためアンチウィルスソフトウェアを導入できない
●決済アプリケーションをインストールしている端末で、OSのパッチを適用できない
要件は1項目であるものの、要求事項の内容は幅が広く、対応する具体的なイメージが湧きにくい要件ではあるが、加盟店環境のPCI DSS準拠を促進する、というPA-DSSの本来の目的をあらわしている要件といえる。決済アプリケーションの開発におけるテスト環境では、PCI DSSに準拠する事を意識し、上記要件に抵触しないようにするアプローチを明文化するのが良いだろう。
⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(2/3)へ
