2010年12月1日9:15
決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(3/3)
要件11. 公共ネットワークでのセンシティブトラフィックの暗号化
公共ネットワーク経由でカード会員データを送信する場合、暗号化する必要がある
要件11は、PA-DSSのバージョン1.2.1の要件12にあたる。いくつかの表現が修正されているが、要件の内容に大きな変更点はない。
決済アプリケーションからカード会員データを公共ネットワーク経由で送信することがある場合、カード会員データは暗号化する必要がある。暗号化の方法は、強固な暗号技術を使用する必要はあるが、どのレイヤで暗号化するかは特に定められていない。要件上はIPSEC、VPN、SSL/TLSが挙げられていることから、経路を暗号化することが前提となっているように読め、PA-DSSに準拠するためにはこれで問題ない。ただし、PCI SSCが公開したPoint to Point Encryptionガイドラインや、PCI DSSに限らずセキュリティ対策の観点として、カード会員データはアプリケーションから暗号化するべきである。
URL: https://www.pcisecuritystandards.org/security_standards/documents.php
(Initial Roadmap: Point to Point Encryption and PCI DSS)
なお、本要件で言及される”公共ネットワーク”とは、インターネットのほかに無線LAN環境や、モバイルネットワーク環境についても同様であるため、特にモバイル決済を行う端末のPA-DSS対応を行う際は特に、本要件への対応が必要だろう。
要件12. すべてのコンソール以外の管理アクセスの暗号化
管理アクセスは暗号化し、盗聴されないよう保護する必要がある
本要件はタイトルにあるとおり、コンソール以外の管理アクセスの暗号化を求めているものであり、PA-DSS v1.2.1における要件13にあたる。本要件でも表現に軽微な修正があっただけで、特に要件上の変更はない。
決済アプリケーションが、業務機能以外に管理用のインタフェースを持っている事は珍しくない。例えば、POS端末やECサイトの決済アプリケーションでも、通常の店員やエンドユーザが目にする画面とは別のインタフェースが裏側にあり、管理を行う事があるだろう。こういった管理アクセスのインタフェースがある場合、その通信は先述の公共ネットワーク経由のカード会員データ伝送時等と同様、暗号化を施す必要がある。ただし管理アクセスについては、とくに公共ネットワークに限らず、内部ネットワーク間の通信であっても暗号化する必要がある。要件の注釈には”Telnetやrloginを使用してはならない”とあるが、これらを使わなければ良いというわけではなく、IDやパスワード等の認証の要素、および認証後に伝送されるデータについてもすべて暗号化されるプロトコルを使用する必要がある。例えばWebの管理インタフェースがあるのであれば、HTTPではなく、SSL/TLS(HTTPS)を使用する必要がある。
まとめと次回予告
決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回
今回はPA-DSSの要件8~12(PA-DSSバージョン1.2.1における要件8~13)を解説した。各要件とも、項目が少なく、逆に具体性が薄いため、イメージがつきにくい部分ではあるが、現実的な環境を想定し、PCI DSSやその他のガイドライン等も参考にしながら、漏れのないように対応する必要がある。また、PCI DSSとPA-DSSはバージョンアップされ、より要件の意図が読み取りやすくなったため、是非新しい要件と手順書をご一読いただきたい。
次回は最終回として、要件13(PA-DSSバージョン1.2.1における要件14)を解説する。この要件はPCI DSSに紐づくものではなく、PA-DSS独特の要件であるとともに、実際に認定取得する場合に非常に重要な要件である。技術的な要求事項は含まれず、管理面や責任範囲に関する内容となるが、PA-DSSの基本的な考え方を復習できる要件でもあるため、最後のまとめとしてご期待いただければ幸いである。
⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(1/3)へ戻る
