PCIデータセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)は、クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。 PCI DSSは、クレジットカード情報を取り扱う企業や組織を対象に策定したセキュリティ基準ですが、その内容は非常に包括的で実績のあるガイドラインと言えます。 一般企業でもセキュリティ対策に課題を感じている方には、PCI DSSを一読することで多くの実践的なアイデアが得られます。 クレジットカード情報の漏えいによりもたらされる信頼の損失・顧客離れ、売上減少、詐欺による損失、法的費用、罰金と罰則、失業(CISO, CIO, CEO)、廃業などといったビジネスリスクを緩和(Mitigatoin)することを目的としています。
ECサイトの場合は、最新のセキュリティ基準に則ってクレジットカード情報を取り扱っていることをアピールでき、EC事業者の信用やブランドの向上につながります。それに伴い、ECサイトをハッキングなどの不正アクセスから防御し個人情報漏えいのリスクを低減できます。また、万が一情報漏えい事故が発生しクレジットカード不正利用された場合は、PCI DSSに準拠したセキュリティ対策を実施しているECサイトであれば、事業者はクレジットカード会社からのペナルティなどを一部ですが免責される場合もあります。
一番のメリットは、サイバーセキュリティの脅威に伴うビジネスリスクの緩和(Mitigatoin)です。世界の専門家の意見が反映された技術面と運用面に関する実践的で実績のある包括的なセキュリティ対策の導入が可能です。PCI DSSに準拠したセキュリティ対策は、導入に伴うコストと期間の削減を実現します。
PCI DSS認証取得の方法は大きく分けて3つに分類されます。いずれか一つの適用ではなくカード情報の取り扱い規模や事業形態によって複数実施する必要があります。
種類 | 方法 | 事業規模 |
---|---|---|
訪問審査 |
PCI国際協議会によって認定された審査機関(QSA:Qualified Security Assessor)による訪問審査を受けて、認証を得ます。 QSAの一覧は、PCI国際協議会のサイトに掲示されています。 カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。 |
大規模 |
ASVスキャン |
WEBサイトから侵入されて、情報を盗み取られることがないか、 PCI国際協議会によって認定されたベンダー(ASV:Approved Scanning Vendor)のスキャンツールによって、 四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得ます。 ASVの一覧は、PCI国際協議会のサイトに掲示されています。 カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。 |
中規模 |
自己問診 |
PCI DSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、 すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、 一般加盟店などの事業者向けの方法です。 当初のVer1.0は、セキュリティに関するIT専門用語が並んでいて、 一般の商店経営者の方がこの設問を理解するのは、かなり大変な内容でした。 そこで2008年2月に改訂されたVer1.1では、一般加盟店やサービスプロバイダーなどの形態別に分けて制作され、 PCI DSSを理解いただけるよう、工夫されています。 日本語版は2008年10月からVISA-Japanのサイトに掲載されています。 |
小規模 |
訪問審査とはQSA(認定審査会社)の審査員が、実際にクレジットカード情報が取り扱われているシステムや業務を調査し報告を行うことです。訪問審査を受ける上で主に認識しておくべきことは以下の内容となります。QSA企業一覧は日本カード情報セキュリティ協議会(JCDSC)のQSA/ASV企業一覧のページに掲載されています。
項目 | 内容 |
---|---|
頻度 | 1年に1回 |
審査後 |
審査機関より各レポートを引き渡される ・ROC(Report on Compliance):報告書 ・AOC(Attestation of Compliance):準拠証明書 |
対応内容 | 契約先のアクワイアラーまたはカードブランドによるAOCの提出を求められた場合、すみやかに提出する。 |
【参考】PCI DSS準拠の方法とJCDSCによるサポート体制:日本カード情報セキュリティ協議会(JCDSC)
PCI SSCによって認定されたベンダー(ASV: Approved Scanning Vendor)によって実行される外部ネットワークからの脆弱性スキャンのことです。ASVスキャンは、4半期に1度の頻度でインターネットに公開されている全てのサーバに対して、ASVによって合格(PASS)レポートが発行されるまで繰り返し実施する必要があります。ASV認定スキャンベンダーは日本カード情報セキュリティ協議会(JCDSC)のQSA/ASV企業一覧のページに掲載されています。
PCI DSS 要件11.2に関する内容 | スキャンの方法・対応内容・対象 |
---|---|
「ASV Program Guide」で定められている セキュリティレベルを満たしているか確認する |
アカウント推測攻撃やサービス不能攻撃などは実施対象外ではあるが、 業界標準のセキュリティレベルを満たしているか確認する |
PCI DSS対象システムが所持している 全てのグローバルIPアドレスが対象 |
カード情報を取り扱っていないシステムでも、 扱っているシステムと同一のセグメントに設置されている場合はスキャン対象となる |
【参考】PCI DSS準拠の方法とJCDSCによるサポート体制:日本カード情報セキュリティ協議会(JCDSC)
PCI SSCが作成したPCI DSS SAQ(自己問診票)では設問が300問以上に及び、しかも業態ごとに多くの種類に分かれている複雑なものです。初めて取り組みを実施する企業は難しい内容になっているため、日本カード情報セキュリティ協議会(JCSDC)はPCI DSS(Ver.3.2)に基づいて独自に主要なポイントを50問に集約したPCI DSS簡易診断表を作成しています。PCI DSS準拠に向けて取り組むための目安として利用することが好ましい内容です。
PCI DSSが適用される企業や組織は、加盟店、プロセサー、アクワイアラー、イシュア、サービスプロバイダが該当します。その他にも、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または送信する、すべての事業体に適用されます。
PCI DSSのセキュリティ要件は、カード会員データ環境(CDE)に含まれる、または接続されるすべてのシステムコンポーネントに適用され、6つの目標とそれに対応する12の要件より構成されています。
PCI DSSの目的はシンプルで、よって非常に力強い内容になっていると感じます。保護すべきデータは何か?どのように保護すべきか?の見解が、業界として統一的なガイドラインとして示されています。目標に対する要件をまとめた表をご覧ください。
目標 | 要件 |
---|---|
安全なネットワークと システムの構築と維持 |
1.カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
カード会員データの保護 |
3.保存されるカード会員データを保護する 4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
脆弱性管理プログラムの維持 |
5.すべてのシステムをマルウェアから保護しウイルス対策ソフトウェアまたはプログラムを定期的に更新する 6.安全性の高いシステムとアプリケーションを開発し保守する |
強力なアクセス制御手法の導入 |
7.カード会員データへのアクセスを、業務上必要な範囲内に制限する 8.システムコンポーネントへのアクセスを識別・認証する 9.カード会員データへの物理アクセスを制限する |
ネットワークの定期的な 監視およびテスト |
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 11.セキュリティシステムおよびプロセスを定期的にテストする |
情報セキュリティポリシーの維持 | 12.すべての担当者の情報セキュリティに対応するポリシーを維持する |
【参考】PCI Security Standards Council, LLC:Payment Card Industry(PCI)データセキュリティ基準/要件とセキュリティ評価手順
PCI DSS準拠の要件は1から12存在します。当社で提供しているセキュリティサービスはPCI DSS要件6の一部と11の一部に該当します。尚PCI DSSを完全に準拠するには、その他ツールやセキュリティ手順が必要となり非常にハードルの高い内容となります。日本カード情報セキュリティ協議会(JCDSC)が公開しているPCI DSS準拠に向けて(参考資料集)では対応するソリューション表やコンサル、実績会社一覧などを公開しています。
アイティーエムが提供するペネトレーションテストは、PCI DSS要件11.3が条件である事に対し、見つかった脆弱性を用いて、システム権限の取得を試みるテストまで実施します。プラットフォーム脆弱性診断(ネットワークツール診断)、脆弱性手動診断サービス(ネットワーク手動診断)はPCI DSS要件11.2に対しフルサポートを実施します。Webアプリケーション脆弱性診断(ツール診断)は、要件6.6の一部をサポートし、脆弱性手動診断サービス(Webアプリケーション手動診断)はフルサポートで実施します。
詳しい内容は以下の「PCI DSS要件表」と「サービス対応表」を比べて御覧ください。
要件 | 内容 |
---|---|
要件11.3 | 年に一度および大幅な変更後のペネトレーションテスト |
要件11.2 | 内部と外部ネットワークの脆弱性スキャンを少なくとも四半期に一度およびネットワークでの大幅な変更 (新しいシステムコンポーネントのインストール、ネットワークトポロジの変更、ファイアウォール規則の変更、 製品アップグレードなど)後実行する。 |
要件6.6 | 一般公開されているWebアプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法によって、既知の攻撃から保護されていることを確認する。
|
【参考】PCI Security Standards Council:PCI DSS 準拠を達成するための優先的なアプローチ
サービス名 | 該当するPCI DSS要件 | 追記事項/診断項目 |
---|---|---|
ペネトレーションテスト | 要件11.3等のガイドラインに基づくペネトレーションテスト | 見つかった脆弱性を用いて、 システム権限の取得を試みるテスト |
プラットフォーム脆弱性診断 (ネットワークツール診断) |
要件11.2:内部ネットワークの脆弱性スキャンテストをフルサポート | |
脆弱性手動診断サービス (ネットワーク手動診断) |
要件11.2:内部ネットワークの脆弱性スキャンテストをフルサポート | |
Webアプリケーション脆弱性診断 (ツール診断) |
要件6.6:Webアプリケーション脆弱性テストを一部サポート | |
6.5.1インジェクションの不具合 |
SQLインジェクション ディレクトリトラバーサル コマンドインジェクション 改行インジェクション リンクインジェクション HTTPレスポンス分割 |
|
6.5.5不適切なエラー処理 |
エラー処理 情報公開 コメント 強制ブラウジング システム情報の開示 不要なメソッド |
|
6.5.7クロスサイトスクリプティング | クロスサイトスクリプティング | |
6.5.8不適切なアクセス制御 |
強制ブラウジング ディレクトリリスティング Robots.txt ディレクトリ存在の確認 |
|
脆弱性手動診断サービス (手動診断) |
要件6.6:Webアプリケーション脆弱性テストをフルサポート |
アイティーエムのセキュリティーサービスはそれぞれのPCI DSS要件に対して対応できるサービスを提供しています。システムに存在するプラットフォームやWebアプリケーションで守るべき箇所はどこかを把握し、各サービスを組みわせて実施することで継続的なセキュリティ対策が実現できます。
企業や団体が情報セキュリティに取り組む目的は、セキュリティにおける脅威と脆弱性が存在するためです。リスクアセスメント(特定・分析・評価)をすることで講じるべき対策が見えてきます。また情報セキュリティの可用性を意識する上で、災害に備えてシステムバックアップを実施することも必要です。
アプリケーションエンジニアがアプリケーションセキュリティに取り組む目的は、アプリケーションに潜む脆弱性を攻撃者が悪用し、アプリケーション内に保管されている情報資産を窃取することを防止するためです。
ペネトレーションテストとは、システム全体の観点でサイバー攻撃耐性がどのくらいあるかを試す為に、悪意のある攻撃者が実行するような方法に基づいて実践的にホワイトハットハッカーがシステムに侵入することです。
踏み台サーバを準備し、このサーバより内部のネットワーク経由で存在する各ホストに対して、権限獲得や権限昇格、セグメント分離の不備を突いて重要なシステムへの侵入、データ漏えいの可否をテストをすることがPCI DSSで定義されている内部ペネトレーションテストです。詳しくは下のボタンより図解で説明しているページを御覧ください。
セキュリティ診断・脆弱性診断サービスは、お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。
当社で提供する脆弱性診断サービスの具体例の一部です。様々なWebサイト/Webアプリケーションのタイプやシステム構成に分けて考え実施します。
「モバイルアプリ向け脆弱性診断サービス Appchecker」は、手間のかからないツール診断と専門家の手動分析の組み合わせによる高品質ですばやい分析レポートをリーズナブルな価格で提供します。「モバイルアプリ向け脆弱性手動診断サービス AppChecker Pro」は、実際にハッカーが用いる攻撃手法を用い、高い技術力をベースにしたワールドクラスの手動診断です。「次世代型モバイルアプリ保護サービス AppProtect(DxShieid/LxShield)」次世代型モバイルアプリ保護技術でモバイルアプリをハッキングから守ります。
当社で提供するモバイルアプリ向け脆弱性診断サービスの具体例の一部です。様々なモバイルアプリのタイプやデバイスなどに分けて考え実施します。
セキュリティ運用サービスは、お客様と予め設定したスケジュールに沿って、当社が定期的な脆弱性診断を実施し、その結果をご報告いたします。また、お客様側でのシステムの構成変更等があった際には、ご要望に応じて都度診断も承ります。診断結果レポートに基づく対策支援や運用代行も当社エンジニアが対応いたしますので、安心・安全なシステム運用が効率的に実施可能です。また、他のセキュリティサービスと組み合わせ、年間を通してセキュリティコンサルやアセスメントも承ります。
システム運用の大まかな定義は24時間365日、問題なくシステムを稼働させるための業務です。システムを構成しているサーバやネットワーク機器はコンピュータで精密機器のため、突然故障する可能性もあります。それがシステム障害の原因になるため、エンジニアが障害を未然に防止するような対策や業務を行ったりバックアップをとるようなシステム構成を考えたり、様々な知識や技術を用いながらシステム運用の業務に取り組んでいます。従ってシステム運用とは、システムの正常状態を維持し、状況に合わせて変化、拡張させることを意味します。
アイティーエムはシステムマネジメント事業を主軸とするMSP事業者です。当社が考えるMSPは「MCSSP」と呼び、新しいシステムマネジメントサービスの形態です。
MCSSP = 「MSP(Managed Service Provider)」+「CS(Cloud & Security)」
従来から存在するMSP(Managed Service Provider)事業をベースとして、昨今のIT環境にて特に注目されている「クラウド利用」と「セキュリティ対策」をより強化したサービスでお客様の安心・安全で、快適なシステム運用をご支援します。
詳しくは下の画像をクリックしサービスサイトをご覧ください。