PCI DSS 要件解説(要件7~要件12)

後半の今回は要件7から12について概説します。

前半はこちら:PCI DSS 要件解説(要件1~要件6)

要件 7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な範囲に制限します。

要件7では、最小特権の原則に則り、業務上の必要性に基づいてシステムコンポーネントおよびカード会員データへのアクセスを制限します。このアプローチは、データの漏えいを抑え、不正アクセスのリスクを低減します。

アクセス制御は、この要件の中核です。組織は、ビジネス要件に沿ったアクセスポリシーと手順を定義し、実装する必要があります。これらのポリシーは明確に文書化し、従業員を含む全関係者に周知する必要があります。

カード会員データへのアクセスは、職務を遂行するために必要な個人に限定しなければなりません。この原則により、従業員は各自の役割に必要なデータのみにアクセスできるようになり、誤用や偶発的な漏えいの可能性を減らすことができます。

認証および承認の仕組みは、要件7で重要な役割を果たします。組織は、カード会員データにアクセスする個人の身元を確認するために、強力な認証方法を実装する必要があります。アクセスは、事前に定義された役割と責任に基づいて付与され、アクセス許可の変更は慎重に管理および監視される必要があります。

要件7を遵守することで、組織はビジネスニーズに沿った安全なアクセス制御の枠組みを確立でき、機密情報への不正アクセスによるデータ漏えいのリスクを低減できます。

要件 8:システムコンポーネントへのアクセスを識別・認証する。

要件8は、システムコンポーネントおよび機密情報へのアクセスを識別し、認証することを求めています。これにより、正当なユーザーのみが重要なシステムや情報にアクセスできるようになります。

ユーザーの識別は、この要件の基本的な側面です。組織には、ユーザーを一意に識別し、区別するメカニズムの実装が必要です。ユーザー識別には、ユーザー名、従業員ID、またはその他の一意の識別子が含まれます。

認証メカニズムは、ユーザーの身元を確認するために非常に重要です。要件8では、すべてのシステムコンポーネントへのアクセスにIDとパスワードなどを求めていて、管理者権限によるCDEへのアクセスとリモートアクセスによりCDEに接続するネットワークへのアクセスに多要素認証(MFA)などの強力な認証方法の使用を義務付けています。これらの方法は、パスワードを超えるセキュリティの追加レイヤーを提供し、権限のない個人がアクセスすることをより困難にします。

要件7で定義したアクセス制御と、要件8の認証を組み合わせることにより、組織は、ユーザーの役割と責任に基づいたCDEやシステムコンポーネントへのアクセスポリシーを定義することが出来ます。

要件8に従うことで、組織は、ユーザーアクセスを制御し、ユーザーIDを検証し、システムとデータのセキュリティを確保するための強固な基盤を確立できます。

要件 9:カード会員データへの物理的アクセスの制限します。

要件9では、カード会員データに関連する物理的なセキュリティについて定義しています。この要件では、カード会員データが保存、処理、または伝送されるエリアまたはデバイスへの物理的なアクセスを制限することを定めています。

組織は、アクセスを許可された担当者のみに制限する物理的なアクセス制御を確立し、実装する必要があります。アクセスは、職務上の役割と責任に基づいて許可され、業務上アクセスが必要な個人のみがこれらの領域に入室できるようにする必要があります。

物理的なアクセス管理には、鍵、アクセスカード、生体認証システム、セキュリティ要員などの仕組みが含まれます。これらの対策は、権限のない個人によるカード会員データへの物理的なアクセスを防止します。

訪問者のログおよび監視も、要件9の重要な要件です。組織はカード会員データを含むエリアに入る個人の記録を保持する必要があります。これらのログを監視することで、不正アクセスまたは疑わしい行為を検出できます。

また、要件9では、決済端末の管理についても定めています。決済端末はリスト化され、定期的に棚卸を実施し、不正な利用から防ぐ必要があります。

要件9では、物理的なアクセスポイントを厳格に管理し、許可された個人のみがカード会員データにアクセスできるようにすることを求めています。この積極的なアプローチにより、カード会員データの物理的な改ざんや盗難に起因するデータ漏えいのリスクを低減します。

要件 10: システムコンポーネントおよびカード会員データへのすべてのアクセスを記録し、監視します。

要件10では、システムコンポーネントおよびカード会員データへのすべてのアクセスを包括的に記録および監視することを求めています。このプロアクティブなアプローチは、セキュリティインシデントを迅速に検出して対応するために不可欠です。

ロギングは、この要件の基本的な要件です。組織は、システムコンポーネント、特にカード会員データを保存または処理するコンポーネントへのすべてのアクセスの詳細な記録を維持する必要があります。これらのログには、ユーザーのアクティビティ、ログイン試行、システムイベントなどの情報を記録する必要があります。

ログのレビューは、要件10の重要な側面です。組織は、ログを積極的にレビューおよび分析し、異常、疑わしい活動、または潜在的なセキュリティインシデントを特定する必要があります。PCI DSS V4.0から加えられたログレビューのシステム化は、リアルタイムの脅威検出に役立ちます。

ログの保持も重要な検討事項です。組織は、最低1年間ログを保存することが求められ、その内直近3ヶ月間のログはすぐに利用できる状態に維持する必要があります。そのため、ログの保存期間と形式を規定するログ保存ポリシーを確立する必要があります。適切な期間ログを保持することは、フォレンジック調査やコンプライアンス要件にとって極めて重要です。

要件 11:システムおよびネットワークのセキュリティの定期的にテストします。

要件11では、システムとネットワークのセキュリティテストを定期的に実施することを求めています。この積極的なアプローチは、攻撃者に悪用される可能性のある脆弱性を特定し、対処するのに役立ちます。

定期的なセキュリティテストは、要件11の中核をなす要素です。組織は、無線LANのアクセスポイントの検出、内部と外部の脆弱性テストと内部と外部からのペネトレーションテスト、重要なファイルの変更検知等を定期的に実施することを求めています。これらのテストは、悪意のある行為者に悪用される可能性のあるシステムやネットワークの弱点を特定することを目的としています。

さらに、組織は、テスト中に検出された脆弱性を修正し、緩和するためのプロセスを確立する必要があります。セキュリティ上の弱点に迅速に対処するためには、適時の是正が不可欠です。

文書化はPCI DSSのすべての要件を通して不可欠な要件です。組織は、テスト結果、修正作業など、セキュリティテスト活動の記録を保持する必要があります。これらの記録は、コンプライアンスの証拠となり、セキュリティ対策の継続的な改善に役立ちます。

要件11を遵守することで、組織は脆弱性を積極的に特定して対処し、セキュリティ侵害の可能性を低減することで、強固なセキュリティを維持することができます。

要件 12:事業体のポリシーとプログラムにより、情報セキュリティを維持します。

要件12では、組織内で情報セキュリティをサポートする方針とプログラムを確立し、維持することを求めています。また、従業員のセキュリティ意識の向上を求めています。

組織のセキュリティ方針は、この要件の重要な要素の1つです。組織は、ビジネス目標および規制要件に沿った情報セキュリティ方針および手順を定義し、文書化し、従業員に認識させる必要があります。これらのポリシーは、データ保護、アクセス制御、インシデント対応など、セキュリティのさまざまな側面をカバーする必要があります。

トレーニングと意識向上プログラムは不可欠です。組織は、従業員や請負業者に対して、情報セキュリティの維持におけるそれぞれの役割と責任に関するトレーニングを実施する必要があります。セキュリティ意識向上プログラムを作成することは、組織内にセキュリティ文化を醸成するのに役立ちます。

インシデント管理とインシデント対応のトレーニングも、要件12の重要な要素です。組織は、情報セキュリティのインシデントが発生した際に迅速に対応できるように、インシデント対応計画を定期的に見直し、トレーニングを実施する必要があります。

文書化は、要件12では特に重要な要件です。組織は、情報セキュリティ方針、手順、トレーニングの取り組み、およびリスク評価の記録を維持する必要があります。これらの記録は、コンプライアンスの証拠となり、継続的なセキュリティ改善の基盤となります。

要件12に従うことにより、組織は、組織全体で情報セキュリティをサポートするための強固な枠組みを確立することができます。これにより、セキュリティが技術的な関心事であるだけでなく、企業の価値観や慣習に根付いた文化的な関心事であることが保証されます。

付録 1: マルチテナント型サービスプロバイダに対する追加のPCI DSS要件

付録1では、共有環境で複数の事業体のカード会員データを扱うサービスプロバイダに合わせた追加のPCI DSS要件を示します。付録1は、マルチテナント型サービスプロバイダ特有のセキュリティ上の考慮事項に対応しています。

マルチテナント環境では、データの分離とセキュリティが複雑になります。付録1では、カード会員データの分離を維持し、異なる組織のデータを分離して保護するためのガイダンスを提供します。また、これらの課題に対処するための追加的な管理および保護措置の概要も示しています。

マルチテナント型サービスプロバイダが、データ漏えいや情報漏えいのリスクを負うことなく、複数の組織体のカード会員データを安全に取り扱うためには、これらの追加要件を遵守することが極めて重要です。

付録 2:カード提示POS POI端末接続にSSL/Early TLSを使用する事業体に対する追加のPCI DSS要件

付録2は、カード提示型のPOS端末およびPOI端末の接続にSSLまたは早期TLSを使用する組織を対象としています。付録2は、これらの接続のセキュリティを強化するための特定の追加要件を規定しています。

SSLおよび早期TLSの使用は、既知の脆弱性のために推奨されておらず、この付録は、これらのプロトコルに関連するセキュリティリスクに対処することを目的としています。より安全な暗号化プロトコルへの移行を義務付け、カード提示端末接続の安全な構成に関するガイダンスを提供します。

カードを提示するシナリオでカード会員データを取り扱う事業者は、ペイメントカード取引のセキュリティを強化するために、付録2に記載されている追加要件を遵守する必要があります。

付録 3: 指定事業者のための追加検証(DESV)

付録3は、指定事業者(Designated Entities)向けに調整された追加の検証要件を紹介します。これらの組織は、その役割または業務の性質により、特定のセキュリティを考慮する必要があります。

付録3の追加バリデーション要件は、指定された組織が、その組織固有のセキュリティ上の課題に沿った高レベルのセキュリティを維持することを保証するために設計されています。これらの要件には、PCI DSSへの準拠を実証するためのより厳密なテスト、監視、および報告が含まれる場合があります。

指定事業者は、固有のセキュリティのニーズに効果的に対処するために、この付録で説明されている特定の追加検証要件を注意深く検討し、これに準拠する必要があります。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています