PCI DSS準拠のためにデータベースができること
これまで4回にわたり、データベースセキュリティの実装方法について、データベースセキュリティ製品活用のポイントを説明してきました。今回は、いよいよ完全準拠への期限が迫っている、クレジットカード業界のグローバルセキュリティ基準「PCI DSS」(Payment Card Industry Data Security Standard)に対応するために、どのような点が重要か、それに対してデータベースセキュリティ製品がどう活用できるかを解説したいと思います。
完全対応の期限が迫るPCI DSS
PCI DSSは、クレジットカード情報や決済情報などのセキュリティを保護するため、クレジットカードの加盟店やサービスプロバイダ(決済代行事業者など)が守るべきセキュリティ基準を定めたものです。これは、2006年9月にVISA、MasterCard、JCB、American Express、Discoverの国際カードブランドによって設立された、米国PCIデータセキュリティ基準審議会(PCI SSC)が制定したものです。
【関連記事】
|
PCI DSSには、クレジットカード情報を扱う会社が、どのようにカード情報を保護するべきか、一般的なフレームワークを定義しています。国際カードブランドは、カード情報流出を防止するため、カード加盟店やサービスプロバイダがPCI DSSに準拠することを求めています。
その中でVISAは、2008年11月にPCI DSS遵守の国際的な義務化に向けたプログラムを発表しており、レベル1の加盟店に対して2010年9月30日までにPCI DSSの完全準拠するよう期限を設定しました。レベル1の加盟店とは、「VISAカードの取引件数が年間600万件を超える加盟店、または特定の地域のVISAがレベル1と認定したグローバルな加盟店」のことで、PCI DSSの中では最大規模の加盟店に位置付けられるものです。
レベル1加盟店は準拠期限が間近に迫っており、VISAはそれ以降、必要なリスク管理施策を展開する予定です。例えばアクワイアラ(クレジットカードの加盟店獲得と管理業務を行う事業者)から、レベル1加盟店のバリデーション完了証明書が提出されない場合は、罰金を科すこともあるとしています。
ところが、期限が迫っているにもかかわらず、加盟店の対応は遅れているのが実情です。2010年3月に米国の情報管理調査会社Ponemon Instituteが発表したPCI DSSに関するレポートによると、41%の企業がPCI DSSで述べられている条件を完全にクリアすることができずに、何らかの代替策をQSA(Qualified Security Assessor:認定セキュリティ評価機関)に認めてもらって、急場しのぎせざるを得ない状況にあるとされています。
完全対応できない加盟店が半数近くある現状を考えると、PCI DSSの内容が追加・修正されたり、代替策が認められる期間も延長される可能性もありますが、最終的には、代替策ではない“完全な対応策”でPCI DSS準拠を進める必要があります。その実現のためにも、データベースセキュリティ製品を上手に活用していくことを視野に入れて、対策を早急に推進することをお勧めします。
クレジットカード情報を処理、保存するのに使用される情報インフラストラクチャがセキュアであると保証することにおいて、データベース監査・モニタリングは必要不可欠な対策です。データベースセキュリティ製品が持つ監査・リスク診断、モニタリングといった機能をフル活用することによって、PCI DSS対応はぐっと楽になります。
@IT セキュリティソリューション Live! in Tokyoレポート
PCI DSSは“北極星”に向かうためのツールだ!(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/special/153pcidss/pcidss01.html
オール・ザッツ・PCI DSS 連載インデックス(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/index/index_pcidss.html
データベース監査で対応するPCI DSSの要件
PCI DSSにはクレジットカード情報を保護するために、6つの目的(達成すべきカテゴリ)、および12の要件が定義されています。これらの要件は、すべてのシステムコンポーネントに適用されます。つまり、「カード会員データ環境」(CDE:Cardholder Data Environment)に含まれる、またはこれに接続するすべてのネットワークコンポーネント、サーバ、あるいは各種アプリケーションのすべてが要件の評価範囲となります。
カード会員データ環境とは、カード会員データまたはセンシティブ認証データ(カードの磁気ストライプ情報など)を保有するネットワークの一部です。ネットワークコンポーネントにはファイアウォール、スイッチ、ルータ、ワイヤレスアクセスポイント、ネットワーク機器、そのほかのセキュリティ機器などが含まれますが、これらに限定されるわけではありません。また、サーバタイプには、Webサーバ、アプリケーション、データベース、認証、メール、プロキシ、ネットワークタイムプロトコル(NTP)、ドメインネームサーバ(DNS)などが含まれますが、これらに限定されるわけではありません。アプリケーションには、内部および外部(インターネット)アプリケーションなど、すべての市販およびカスタムアプリケーションが含まれます。
●表1 PCI DSS、6つのカテゴリと12の順守要件I 安全なネットワークの構築・維持
II カード会員データの保護
III 脆弱性を管理するプログラムの整備
IV 強固なアクセス制御手法の導入
V 定期的なネットワークの監視およびテスト
VI 情報セキュリティ・ポリシーの整備
|
PCI DSSはネットワークコンポーネントすべてにかかわる要件とはいえ、クレジットカード情報が蓄積されるのはデータベースシステムや分析用のデータウェアハウスシステムです。従って、データベースセキュリティをいかに効果的に実装するかが大きなウエイトを占めます。
そこで、これまで連載で解説してきたデータベースセキュリティ製品が、この12のPCI DSS要件の中で、どの部分で機能的役割を果たすことができるのか、要件に沿って実例を挙げてみたいと思います。
1/3 |
Index | |
PCI DSS準拠のためにデータベースができること | |
Page 1 完全対応の期限が迫るPCI DSS データベース監査で対応するPCI DSSの要件 |
|
Page 2 要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること 要件3:保存されるカード会員データを保護すること 要件6:安全性の高いシステムとアプリケーションを開発し、保守すること 要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限すること 要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
|
Page 3 DBセキュリティ製品は体制確立の一手段として活用可能 |
ここがポイント! DBセキュリティの実装 |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
|
|