第3回 PCI DSS v1.2で注目すべき4つの変更点

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2008/11/21

---

　ポイントその4：ペネトレーションテストの対象が明確化

　過去、QSAのコミュニティでもしばしば話題になったポイントなのですが、ペネトレーションテストの対象範囲が明確化されました。

◆バージョン1.1 11.3 ペネトレーションテストを、少なくとも1年に1回、さらにインフラストラクチャまたはアプリケーションの大きなアップグレードや変更（例：オペレーティングシステムのアップグレード、サブネットワークの追加、Webサーバの追加）の後に実施する。このペネトレーションテストは以下を含む 11.3.1 ネットワークレイヤペネトレーションテスト 11.3.2 アプリケーションレイヤペネトレーションテスト ◆バージョン1.2 11.3 内部および外部のペネトレーションテストを、少なくとも1年に1回、さらにインフラストラクチャまたはアプリケーションの大きなアップグレードや変更（例：オペレーティングシステムのアップグレード、サブネットワークの追加、Webサーバの追加）の後に実施する。このペネトレーションテストは以下を含む 11.3.1 ネットワークレイヤペネトレーションテスト 11.3.2 アプリケーションレイヤペネトレーションテスト

　文言はほぼ変わっていませんが、「内部および外部の」という表現が加わり、リモートからのテストのみでなく、外部から直接アクセスできない内部LANの環境についても、ペネトレーションテストの対象となることが明確化されました。

　なお、ペネトレーションテストとは、システムに対して実際の攻撃と同じ手法で侵入行為を行う検査方法です。ペネトレーションテストはさまざまな解釈が行われ、ツールのみによる脆弱性スキャンをペネトレーションテストと呼ぶなど、時には誤った解釈も見受けられるのですが、PCI SSCは下記のような文書を公開しており、PCI DSS準拠対応を目指す企業に限らず、ペネトレーションテストを外部に依頼する際のベンダ評価にも参考にできるでしょう。

【関連リンク】 Information Supplement: Requirement 11.3 Penetration Testing (PCI SSC) https://www.pcisecuritystandards.org/pdfs/ japanese_infosupp_11_3_penetration_testing.pdf

　「その要件はなぜ必要？」を考えよう

　以上、PCI DSSバージョン1.2から、特に重要と考えられるポイントを抜粋して解説しました。

　PCI DSSは具体的だといわれるものの、その対策方法は実環境に依存する部分も多く、あいまいな表現が残されている部分も多々あります。その要件を解釈し、対策方法を検討する場合は、決して文面上の表現に惑わされることなく、その要件がなぜ必要なのか、対応するリスクとはどのようなものなのか、という考え方を忘れないことが大切です。

3/3

Index
PCI DSS v1.2で注目すべき4つの変更点
	Page1 基本的な考え方は変わらない バージョン1.2 の変更点のポイント ポイントその1：WEPの禁止
	Page2 ポイントその2：アンチウイルスソフトウェアの対象範囲が拡大 ポイントその3：パッチの適用期限が柔軟に
	Page3 ポイントその4：ペネトレーションテストの対象が明確化 「その要件はなぜ必要？」を考えよう

Profile

川島　祐樹（かわしま　ゆうき） NTTデータ・セキュリティ株式会社 コンサルティング本部　PCI推進室 CISSP NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。 その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）