第7回 要件の目的をつかみ、要件を読み取るために
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2009/12/25
審査や準拠に向けての文書確認を行うとき、判断の決め手になるのは「PCI DSSナビゲート」。きっとすべてのシステムで役立ちます(編集部)
要件の目的をつかむには
ここのところPCI DSS関連のニュースは目立ったものがありませんでした。実際にPCI DSS対応が必要な企業では、すでにさまざまな対策を取っていることと思います。ある対策を取るとき、QSAの判断を仰ぐのは1つの重要なポイントになるものの、やはりその業務システムのことを一番理解しているのは、対策を実施する企業自身であることには間違いありません。各要件で低減させようとしている「本当のリスク」はどのようなものなのかを理解し、運用を見据えた効率的な対策方法をご検討いただければと思います。
今回はまず、要件を理解するために役に立つ文書として、PCI SSCが公開している「Navigating PCI DSS」(PCI DSSナビゲート)を紹介したいと思います。PCI DSSナビゲートとは、要件の目的の理解のための文書です。筆者も、特定の要件と対策について考えるとき、もしくは代替コントロールを検討する必要があるときには、必ずこの文書を読み返します。
| 【参考】 Supporting Documents PCI DSS V1.2 Navigating PCI DSS Document https://www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml |
例えば、PCI DSSバージョン1.2で更新された点として、ウイルス対策ソフトの導入対象の変更がありました。バージョン1.1では、「UNIX系システムは通常含まない」と記載されていたのに対し、バージョン1.2ではその記載が消えました。
| ◆バージョン1.1 要件5.1: ウイルスによる影響を受けやすいすべてのシステム(特にPCとサーバ)には、アンチウイルス・ソフトウェアを導入する。 注:ウイルスに影響を受けやすいシステムには、一般的にはUNIXベースのオペレーティング・システムやメインフレームを含まない。 ◆バージョン1.2 要件5.1: 悪意のあるソフトウェアの影響を受けやすいすべてのシステム(特にパーソナルコンピュータとサーバ)に、ウイルス対策ソフトを導入する。 |
しかし、PCI DSSナビゲートの該当個所には、下記の記載があります。
| 通常、次のオペレーティングシステムは悪意のあるソフトウェアによって一般的に影響を受けません: メインフレーム、特定の UNIX サーバ(AIX、Solaris、HP-UNIXなど)。ただし、悪意のあるソフトウェアの業界での傾向は急速に変化する可能性があり、各組織は要件6.2に従って新しいセキュリティの脆弱性を識別して対応し、構成基準およびプロセスを適宜更新する必要があります。 |
PCI DSS要件そのものからはウイルス対策ソフトの導入対象として「UNIXベースのシステムやメインフレームを含まない」という記載が消えたため、UNIXベースのシステムやメインフレームも対象になったのかと考えてしまいそうです。しかしPCI DSSナビゲートを読むと、そういうわけではないということが読み取れます。
話が少しそれますが、PCI DSS対応という観点では、ウイルス対策ソフトの導入対象として、Windowsのクライアントおよびサーバでは導入必須と考えてください。内部に存在するか、外部(インターネットなど)に面しているかは関係ありません。上記PCI DSSナビゲートに従えば、LinuxやMac OSなどは悪意のあるソフトウェアによって影響を受けるOSとしては挙げられていないため、ウイルス対策ソフト導入の対象となりそうですが、このようなあいまいさが残る部分は、実環境におけるリスクと照らし合わせて検討する必要があるでしょう。
1/3 |
 |
| Index | |
| 要件の目的をつかみ、要件を読み取るために | |
 |
Page1 要件の目的をつかむには |
| Page2 要件の読み取り方とテスト手順 テスト手順に1つずつ項目が記載されているケース |
|
| Page3 テスト手順に複数の項目が存在するケース |
|
 |
オール・ザッツ・PCI DSS 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
