2010年12月1日9:10
決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(2/3)
要件9. カード会員データをインターネット接続のサーバに保存してはならない
カード会員データが含まれるデータは、DMZ環境と分離された内部ネットワークに保存する
本要件のバージョン2.0における変更点は、軽微な用語の修正のみで、インパクトのある変更はない。本要件では、”データベースサーバ”や”Webサーバ”が要件に記載されており、決済Webアプリケーションが想定されている。ただし同様にインターネットに直接接続する環境に配備される決済アプリケーションであれば、対応しなければならないと考えて良いだろう。
インターネットに直接アクセス可能、もしくはインターネットから直接アクセスされる環境には、カード会員データは保管してはならない。もし、ECサイトのような決済アプリケーションがDMZに実装されるのであれば、そのバックエンドとなるデータベースサーバは、同一ホスト上や、同一セグメント上に配置してはならず、必ずDMZとは厳密に分離された内部ネットワークに配置する必要がある。これは、不特定多数ユーザからのアクセスを受ける環境にカード会員データが保管されてしまっていると、ひとつのリスクが発生しただけで簡単に侵害を受けてしまうためである。
また、直接決済アプリケーションがカード会員データを保管しないとしても、関連するサーバにそのような構成を要求する、といった事もあってはならない。もし、決済アプリケーションに関連する部分でカード会員データを保存することがあるならば、内部ネットワークに保存すること、もしくはDMZと分離された内部ネットワークに保存することを阻害する構成とならないよう注意する必要がある。
要件10. ペイメントアプリケーションへの安全なリモートアクセスの促進
安全なリモートアクセスとリモート更新
本要件は、PA-DSSバージョン1.2.1における要件10と要件11がマージされ、新しい要件10が構成されている。もともと、旧要件10がリモートからの決済アプリケーションの更新、旧要件11がリモートアクセス全般に関する要求事項であったため、うまく要件が統合されたといえる。また、ここで2つの要件が統合されたため、これより後の要件番号は1ずつずれることになる。
本要件では、”リモートアクセス”という用語がつかわれるが、リモートアクセスの定義については用語集から引用すると、以下のようになっている。
===引用===
“Access to computer networks from a remote location, typically originating from outside the network. An example of technology for remote access is VPN.”
========
ネットワーク外部の拠点からのアクセスのことをリモートアクセスとしている。つまり、内部ネットワーク間の通信はリモートアクセスとみなされないため、インターネット環境や、信頼できないネットワークからのアクセスがないのであれば、要件10の多くの項目が対象外となる場合もあるだろう。
要件10では、大きくわけて3つのポイントがある。それぞれ、以下に解説する。
■決済アプリケーションは、関連する環境におけるニ要素認証の実装を阻害してはならない(10.1)
PCI DSSでは、カード会員データが扱われる環境に対してリモートアクセスが行われる場合、ニ要素認証を使用することが要求される。決済アプリケーションは、このニ要素認証の実装に干渉してはならない。つまり、決済アプリケーションがインストールされていることが原因で、ニ要素認証が実装できない、といった事が発生しないようにする必要がある。
ただし、 “干渉しない事を証明する”というのは難しい。これは、例えば情報漏洩事故が発生した疑いがある時に、事故が発生したことを証明するのは簡単だが、発生していないことを証明するのは非常に難しいことであるのと同様だ。ひとつのやり方としては、”リモートアクセスを実装する場合は、このように実装すること”とひとつの具体例を挙げてしまう方法もあるだろう。
■決済アプリケーション自体にリモートアクセス可能な場合、リモートアクセスを安全に実装する(10.2)
決済アプリケーションに直接リモートからアクセスする場合は、そのリモートアクセス方法も安全に実装しなければならない。安全に実装する、というのはつまり、ニ要素認証を実装するということである。決済アプリケーションへのリモートアクセスでは、IDとパスワードに加えて、スマートカード、トークン、PIN等を使用してアクセスするための方法を実装しておく必要がある。
■決済アプリケーションがリモートから更新される場合、その仕組みを安全に実装する必要がある(10.3)
決済アプリケーションをリモートからバージョンアップする場合、バージョンアップを行う時間帯のみ、リモートアクセスの仕組みを有効にする必要がある。また、常時接続で接続された環境の場合は、ファイアウォール等でアクセス制御を行う必要がある。
⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(3/3)へ
