決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(2/3)

2010年12月1日9:10

決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(2/3)

要件9. カード会員データをインターネット接続のサーバに保存してはならない

カード会員データが含まれるデータは、DMZ環境と分離された内部ネットワークに保存する

本要件のバージョン2.0における変更点は、軽微な用語の修正のみで、インパクトのある変更はない。本要件では、”データベースサーバ”や”Webサーバ”が要件に記載されており、決済Webアプリケーションが想定されている。ただし同様にインターネットに直接接続する環境に配備される決済アプリケーションであれば、対応しなければならないと考えて良いだろう。

インターネットに直接アクセス可能、もしくはインターネットから直接アクセスされる環境には、カード会員データは保管してはならない。もし、ECサイトのような決済アプリケーションがDMZに実装されるのであれば、そのバックエンドとなるデータベースサーバは、同一ホスト上や、同一セグメント上に配置してはならず、必ずDMZとは厳密に分離された内部ネットワークに配置する必要がある。これは、不特定多数ユーザからのアクセスを受ける環境にカード会員データが保管されてしまっていると、ひとつのリスクが発生しただけで簡単に侵害を受けてしまうためである。

また、直接決済アプリケーションがカード会員データを保管しないとしても、関連するサーバにそのような構成を要求する、といった事もあってはならない。もし、決済アプリケーションに関連する部分でカード会員データを保存することがあるならば、内部ネットワークに保存すること、もしくはDMZと分離された内部ネットワークに保存することを阻害する構成とならないよう注意する必要がある。

要件10. ペイメントアプリケーションへの安全なリモートアクセスの促進

安全なリモートアクセスとリモート更新

本要件は、PA-DSSバージョン1.2.1における要件10と要件11がマージされ、新しい要件10が構成されている。もともと、旧要件10がリモートからの決済アプリケーションの更新、旧要件11がリモートアクセス全般に関する要求事項であったため、うまく要件が統合されたといえる。また、ここで2つの要件が統合されたため、これより後の要件番号は1ずつずれることになる。

本要件では、”リモートアクセス”という用語がつかわれるが、リモートアクセスの定義については用語集から引用すると、以下のようになっている。

===引用===

“Access to computer networks from a remote location, typically originating from outside the network. An example of technology for remote access is VPN.”

========

ネットワーク外部の拠点からのアクセスのことをリモートアクセスとしている。つまり、内部ネットワーク間の通信はリモートアクセスとみなされないため、インターネット環境や、信頼できないネットワークからのアクセスがないのであれば、要件10の多くの項目が対象外となる場合もあるだろう。

要件10では、大きくわけて3つのポイントがある。それぞれ、以下に解説する。

■決済アプリケーションは、関連する環境におけるニ要素認証の実装を阻害してはならない(10.1)

PCI DSSでは、カード会員データが扱われる環境に対してリモートアクセスが行われる場合、ニ要素認証を使用することが要求される。決済アプリケーションは、このニ要素認証の実装に干渉してはならない。つまり、決済アプリケーションがインストールされていることが原因で、ニ要素認証が実装できない、といった事が発生しないようにする必要がある。

ただし、 “干渉しない事を証明する”というのは難しい。これは、例えば情報漏洩事故が発生した疑いがある時に、事故が発生したことを証明するのは簡単だが、発生していないことを証明するのは非常に難しいことであるのと同様だ。ひとつのやり方としては、”リモートアクセスを実装する場合は、このように実装すること”とひとつの具体例を挙げてしまう方法もあるだろう。

■決済アプリケーション自体にリモートアクセス可能な場合、リモートアクセスを安全に実装する(10.2)

決済アプリケーションに直接リモートからアクセスする場合は、そのリモートアクセス方法も安全に実装しなければならない。安全に実装する、というのはつまり、ニ要素認証を実装するということである。決済アプリケーションへのリモートアクセスでは、IDとパスワードに加えて、スマートカード、トークン、PIN等を使用してアクセスするための方法を実装しておく必要がある。

■決済アプリケーションがリモートから更新される場合、その仕組みを安全に実装する必要がある(10.3)

決済アプリケーションをリモートからバージョンアップする場合、バージョンアップを行う時間帯のみ、リモートアクセスの仕組みを有効にする必要がある。また、常時接続で接続された環境の場合は、ファイアウォール等でアクセス制御を行う必要がある。

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(3/3)へ

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(1/3)へ戻る

⇒⇒連載目次へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP