第6回 PCI DSS対応の難しさは「あいまいさ」？

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2009/8/7

　あいまいさを克服するためには

　PCI DSSには、あいまいな要件がたくさんあります。この要件について、「うちのシステムではこうなっているが、一般的といえるだろう」と考え、そのまま審査に臨むのはあまりよくありません。何のドキュメントもなく、ただ設定のみを見た場合、QSAは、その設定を見て足りない部分があれば、そのQSAの知識と経験による独断で「このような設定がされていないが、なぜでしょう？」と質問するかもしれませんし、それに答えられなければ、不適合項目となってしまうかもしれません。

　どのような観点で、どのようなリスクがある場合に対策を施すのか、また、それはどの範囲まで適用されるのか、といったことが考えられ、文書でまとまっており、実際にシステムにも反映されていれば、QSAの知っているセキュリティパラメータが施されていなくても、特にその1カ所が問題視されることはないでしょう。

　あいまいな要件に対応するためには、付け焼刃的な対策をシステムに施すのではなく、そのあいまいな部分について、自組織ではどのように考え、リスクを排除しているのかといったことを検討、文書化することが重要です。

　実装寄りの要件が多いPCI DSSですが、実装すればよいというわけではなく、文書化が最重要事項とさえいえるでしょう。

　「PCI DSSに準拠するための3つの重要なポイント」とは

　PCI DSSは具体的である、というのは実は要件のうちの一部分であり、本当の難しさは要件のあいまいさにあります。あいまいな要件に対応するためには、その要件で排除すべきリスクはどのようなものがあり、そのリスクを排除、低減するために、どこに線を引くのかを検討、決定し、文書化することが重要です。

　QSAのもとには、PCI SSCから毎月「Assessor News」といった審査や基準に関する最新情報が届くのですが、最後に、PCI DSSに準拠するための3つの重要なポイントが書いてありましたので、抜粋して紹介したいと思います。

●PCI DSSに準拠するための3つの重要なポイント 文書化すること 文書化すること 文書化すること

　PCI DSSに完全準拠するためには、実装は極めて大きなポイントですが、その実装が正しいものであるのか、どのような判断をもってその実装に行き着いたのかを文書化することは、PCI DSS準拠のために必要不可欠なものなのです。文書化の際のポイントは、また別の機会に述べさせていただきたいと思います。

4/4

Index
PCI DSS対応の難しさは「あいまいさ」？
	Page1 PCI DSSは動き続ける
	Page2 QSAは偉い？ 基準に残るあいまいさ、それが問題
	Page3 PCI DSSの要件、あいまい表現トップ3
	Page4 あいまいさを克服するためには 「PCI DSSに準拠するための3つの重要なポイント」とは

Profile

川島　祐樹（かわしま　ゆうき） NTTデータ・セキュリティ株式会社 コンサルティング本部　PCI推進室 CISSP NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。 その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）