今回から二回にわたりPCI DSSの要件について概説します。前半の今回は要件1から6について概説します。

要件 1: ネットワークセキュリティコントロールの導入と維持

要件1は PCI DSS フレームワークの基礎となるものです。この要件は、機密性の高いカード会員データを保護するための強固なネットワークセキュリティ管理の必要性に重点を置いています。主な目的は、カード会員データを危険にさらす可能性のあるネットワークへの不正アクセスから保護することです。

ネットワークのセグメンテーションは、PCI DSSの要件ではありませんが、PCI DSSの適用範囲を狭くすることに役立ちます。これは、ネットワークをより小さく分離されたセグメントに分割することです。そうすることで、組織はアクセスをより適切に制御し、カード会員データが潜在的な脅威にさらされるのを制限することができます。ファイアウォールやアクセスリストなどのアクセス制御メカニズムは、ネットワークのセグメンテーションを実施する上で重要な役割を果たします。これらのソリューションにより、信頼できるネットワークと信頼出来ないネットワーク間の接続を制御できます。

この要件は、セキュアなネットワーク環境を継続的に維持することの重要性を強調しています。単に管理策を導入するだけでなく、進化する脅威に対応するためにセキュリティ対策を一貫して更新し、適応させることが重要です。組織は、定期的なレビュー、評価、テストを実施し、ネットワーク・セキュリティ対策が引き続き有効であることを確認する必要があります。

要件 2：すべてのシステムコンポーネントにセキュアな設定を適用する

要件2では、PCI DSS の適用範囲内にあるすべてのシステムコンポーネントの安全な構成の重要性が強調されています。システムを導入時から安全に構成して、強固なセキュリティ基盤を確立することが不可欠です。

安全な構成には、システムコンポーネントを強化して潜在的な脆弱性を低減することが含まれます。これには、システムの運用に不可欠でない不要な機能、サービス、およびポートを無効にすることが含まれます。そうすることで、組織は攻撃対象領域を最小化し、潜在的な攻撃者が脆弱性を悪用することをより困難にします。

この要件には、オペレーティングシステム、データベース、アプリケーション、ネットワークデバイスなど、システムコンポーネントのさまざまな側面が含まれます。これらの各要素は、ベストプラクティスと業界標準に合わせて安全に構成する必要があります。

定期的に設定を見直し、更新することが不可欠です。時間の経過とともに新たな脆弱性が出現する可能性があるため、セキュリティパッチを速やかに適用する必要があります。さらに、コンプライアンスを確保するために、システムコンポーネントのインベントリを維持し、その構成を文書化する必要があります。

セキュアな構成に対するプロアクティブなアプローチは、セキュリティ侵害のリスクを低減するだけでなく、セキュアな環境を維持する作業を簡素化します。また、システムの脆弱性を最小限に抑えることで、潜在的な脅威に先んじることができます。

要件 3: 保存されたアカウントデータの保護

要件3では、保存アカウントデータ、特にカード会員データの保護に重点を置いています。この要件は、保存データを保護するための暗号化の重要性を強調するものです。

暗号化は、機密データを権限のない第三者には読み取れないようにするための基本的なセキュリティ対策です。要件3では、カード会員データをディスクまたはその他のメディアに保存する際に暗号化します。こうすることで、攻撃者がデータにアクセスできても、暗号化キーがなければ解読できません。

業界標準およびベストプラクティスに沿った強力な暗号化方法を使用することが不可欠です。組織は、高レベルのセキュリティを提供する暗号化アルゴリズムと鍵管理プロセスを選択する必要があります。これにより、データはストレージのライフサイクル全体を通じて保護されます。

鍵管理は、この要件の重要な側面です。暗号化データの機密性と完全性を維持するためには、暗号鍵を適切に管理することが不可欠です。鍵管理には、鍵の生成、安全な保管、アクセス制御、ローテーション、および必要に応じて鍵の廃棄が含まれます。

組織は、要件3を遵守することで、保存されたカード会員データに関連するデータ漏えいのリスクを大幅に低減できます。暗号化は堅牢な保護手段として機能し、データが侵害された場合でも、安全性を維持し、権限のない個人には読 み取れないようにします。

要件 4：オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する

要件4では、オープンな公共ネットワークでの送信中のカード会員データのセキュリティに特に取り組んでいます。この要件では、送信中の機密データを保護するために堅牢な暗号化テクノロジを使用することの重要性が強調されています。

暗号化は、この要件の要です。カード会員データを公共ネットワークで送信する場合は、強力な暗号化方法を使用して暗号化する必要があります。その目的は、送信中にデータが傍受されても、第三者に解読できないようにすることです。

この要件を満たすために、組織は業界標準とベストプラクティスに沿った暗号化プロトコルを実装する必要があります。TLS（Transport Layer Security）などのセキュアなトランスポート層プロトコルは、送信中のデータを暗号化するために一般的に使用されます。これらのプロトコルを安全に設定し、新たな脆弱性に対処するために常に最新の状態に保つことが不可欠です。

要件4を遵守することで、組織は、公共ネットワーク上でのカード会員データの伝送中に、データの傍受や不正アクセスのリスクを大幅に低減できます。暗号化は、データが傍受された場合でも、悪意のある行為者がデータにアクセスできないよう、安全性を保 証する堅牢なセーフガードとして機能します。

要件 5：悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する

要件5は、一般的にマルウェアと呼ばれる悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護することを要求します。これは、システムとデータの機密性および完全性を損なう可能性のある悪意のあるコードからこれらのネットワークを守ることを意味します。

要件5では、すべてのシステムコンポーネントに信頼性のあるマルウェア対策ソフトウェアを導入することが求められます。これにより、マルウェアの侵入を防ぎ、感染のリスクを軽減します。

マルウェア対策ソフトウェアについては設定を定期的に確認し、最新の定義ファイルやパッチを適用して維持します。これにより、既知の脆弱性に対処し、マルウェアの検出および駆除能力を最適化します。

また、マルウェア対策活動の監査証跡を詳細に記録します。これには、マルウェアスキャンの結果、検出された脅威、対応措置などが含まれます。監査証跡は、セキュリティの透明性とコンプライアンスの証拠を提供します。

従業員へのフィッシング攻撃の教育も要件5の重要な要件です。従業員は潜在的な脅威を識別し、疑わしい添付ファイルの開封を避け、電子メールおよびウェブセキュリティのベストプラクティスに従うように訓練されるべきです。セキュリティ意識向上のキャンペーンは、組織内でセキュリティ文化を醸成するのに役立ちます。

これらの措置を実施することで、組織はマルウェアに対する強固な防御を構築し、データ漏えいなどのセキュリティインシデントのリスクを軽減できます。

要件 6：安全なシステムおよびソフトウェアの開発と維持

要件6では、安全なソフトウェアの開発とシステムの保守に重点を置いています。堅牢なセキュリティは、システムとアプリケーションの設計と継続的な維持管理から始まることを認識しています。

組織は、安全なソフトウェア開発ライフサイクル（SDLC）アプローチを採用し、初期の計画段階から導入、保守に至るまでセキュリティ対策を統合する必要があります。これには、設計、コーディング、テストの各段階におけるセキュリティ脆弱性の特定と対処が含まれます。

システムやアプリケーションの脆弱性を定期的にスキャンしてテストすることは、要件6の基本的な側面です。脆弱性評価とペネトレーションテストは、攻撃者に悪用される可能性のある弱点を特定するのに役立ちます。これらの脆弱性に迅速に対処することは、安全な環境を維持するために極めて重要です。

安全なコーディングの実践は不可欠です。組織は、業界標準のガイドラインとセキュアコーディングのベストプラクティスに従って、開発プロセスにおける脆弱性の導入を最小限に抑える必要があります。これには、入力のサニタイズ、データの検証、適切なアクセス制御の実装などが含まれます。

さらに、組織はシステムやソフトウェアをセキュリティパッチやアップデートで最新の状態に保つ必要があります。古いソフトウェアは攻撃者の格好の標的になる可能性があるため、最新バージョンを維持することは極めて重要です。

要件6を遵守することで、組織は、サイバー脅威に悪用されにくい安全なシステムとソフトウェアを構築し、維持することができます。

後半はこちら：PCI DSS  V4.0の要件解説（要件7～要件12）