第3回 PCI DSS v1.2で注目すべき4つの変更点
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2008/11/21
2008年10月にPCI DSSがアップデートされました。このアップデートでは「WEP利用の禁止」という項目が注目を集めていますが、そのほかにもすべてのシステムで検討すべき対策が盛り込まれています。第3回では今回のバージョンアップの内容と、そのアップテートの狙いを解説します(編集部)
第1回「エンジニアも納得できる“PCI DSS”とは」、第2回「あの手この手で守るべきカード情報、その中身とは?」では、PCI DSSの概要を解説しました。2008年10月にはPCI DSSの最新バージョン1.2がリリースされ、各所で話題になっていますが、第3回はこのバージョン1.2の変更点と対応に当たっての注意点を述べたいと思います。
基本的な考え方は変わらない
バージョン1.2の変更点概要は、PCI SSCのWebサイトにPDF形式で公開されています。
| 【関連リンク】 PCI DSS Summary of Changes v1.2 https://www.pcisecuritystandards.org/pdfs/pci_dss_summary_of_changes_v1-2.pdf (現在は英語バージョンのみが公開されていますが、公開されている文書は必要に応じて日本語を含む各国語版に翻訳される場合もあります) |
このSummary of Changesには、Requirement(要件番号)、Change(変更内容)、およびType(変更の種類)が一覧表で記載されていますが、Typeだけを見てみても、ほとんどの項目がClarification(明確化)、Explanatory(注釈/説明)、一部、Enhancement(強調)が存在するだけで、要件自体が変更されたり、大幅に厳格化されたりというような変更点はないといえるでしょう。
バージョン1.2で追加された部分の中で特に目立っているのが、12要件に入る以前のスコープの定義に関する部分です。ネットワークセグメンテーションによるスコープの限定化の重要性やその手法についての解説が増えています。これにより、むやみにPCI DSSに対応しようとするよりも、システムが保持するカード会員データを限定し、一部分に集約させ、周辺の環境から分離させることで、対象のスコープを縮小することが強調されています。
PCI DSSでは、その要件の具体性から、12要件の内容の一部分に焦点が当てられることが多いのですが、そもそもの目的を考えると「カード会員データを伝送、処理、保管する企業のリスクを減少させること」であるため、これら12要件以前の基本的な考え方を理解することは極めて重要なことです。先日、アメリカのフロリダで、PCI SSCからの情報公開と関連企業のコミュニケーションの場として開催された「PCI SSC Annual Community Meeting」では、やはりPCI DSSの内容やさまざまな情報の発信に先駆けて「そのカード会員データ、不要なら持つな、持つなら徹底的に守れ!」というメッセージが強調されていました。
とはいえ、PCI DSSの12要件の内容に変化がなかったわけではありません。バージョン1.1の際にQSAや関連する企業から上がったさまざまな声や、技術の進歩/変化に対応して強化されたものや、逆に柔軟性が取り入れられたものもあります。
バージョン1.2 の変更点のポイント
バージョン1.2では、Summary of Changesに記載されているとおり、細かいものも含めるとかなりの変更点が見られます。これまでのPCI DSS訪問審査と照らし合わせて影響が比較的大きいと思われる変更点を抜き出して解説します【注】。
| 【注】 日本語訳は筆者独自のものです。PCI SSCから公開された場合はそちらを参照してください |
ポイントその1:WEPの禁止
バージョン1.1では、無線ネットワーク上でカード会員データを扱う場合、WEP(Wired Equivalent Privacy)だけに頼ることなく、WPA/WPA2、IPsec、SSL/TLSなどを併用することが求められていました。これと併せて、WEPを使用する際の鍵のbit数(104bitのWEP鍵と24bitのIV(初期化ベクタ))、WEP鍵の交換頻度(四半期に1回)なども記載されていました。しかしバージョン1.2では、これらWEP鍵のbit数や交換頻度についての要件は削除され、WEP自体の使用に期限が設けられました。
◆バージョン1.1 4.1.1 無線ネットワークを通してカード会員データを伝送する場合、WiFi保護アクセス(WPAやWPA2)技術、IPsecもしくはSSL/TLSによって暗号化する。無線LAN上での機密性の確保やアクセスを保護するために、WEPだけに頼らない◆バージョン1.2 4.1.1 無線ネットワークを通してカード会員データを伝送する、もしくはカード会員データ環境に接続する場合、認証と伝送のための強固な暗号化を実装するべく、業界のベストプラクティスを利用する(例:IEEE802.11i)・新しい無線の実装については、2009年3月31日以降、WEPの実装禁止 ・既存の無線の実装については、2010年6月30日以降、WEPの使用禁止 |
この変更が意味することは「いいかげん、WEPはやめよう」ということでしょう。WEPはもはや暗号化しないのと同じなのです。WEPが脆弱であることは2001年ころから知られていることであり、いまだWEPに頼ってしまっているのであれば、時代遅れといわざるを得ません。
なお、バージョン1.1でも「WEPに頼っていればよい」というわけではなかったため、いまの環境が適切にPCI DSSバージョン1.1に対応しているのであれば、大きな環境の変更や設備の導入は不要のはずです。ポイントは、期限が明確に定められたところであり、このような具体的な内容がPCI DSSらしいところでもあります。
1/3 |
 |
| Index | |
| PCI DSS v1.2で注目すべき4つの変更点 | |
 |
Page1 基本的な考え方は変わらない バージョン1.2 の変更点のポイント ポイントその1:WEPの禁止 |
| Page2 ポイントその2:アンチウイルスソフトウェアの対象範囲が拡大 ポイントその3:パッチの適用期限が柔軟に |
|
| Page3 ポイントその4:ペネトレーションテストの対象が明確化 「その要件はなぜ必要?」を考えよう |
|
 |
オール・ザッツ・PCI DSS 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
