第7回 要件の目的をつかみ、要件を読み取るために

川島　祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部　PCI推進室
CISSP
2009/12/25

　要件の読み取り方とテスト手順

　PCI DSSには要件が羅列されていますが、要件とは別に「テスト手順」が定められています。このテスト手順は実際にQSAが審査を行うときに従わなくてはならない手順ではありますが、対策を施すにあたっても同様に内容を読み取る必要があるでしょう。ここでは、おもに文書関連の要件について、読み取り方を具体的に説明したいと思います。

　テスト手順に1つずつ項目が記載されているケース

　テスト手順で求められる文書は、ポリシー／基準／手順などのいわゆる「ルール」と、そのルール通りに行った「記録」です。ポリシーや基準文書、手順などでは、ある項目を要求していることが記載されている必要があるものが大半です。記録には、文字通り、その基準や手順記載通りに実際に行われた記録が記載されている必要があります。

　例えば、要件1.1.6を見てみましょう。

◆要件1.1.6 ファイアウォールおよびルータのルールセットは少なくとも6カ月ごとにレビューされる必要がある

　この要件に対し、テスト手順では以下の2点が記載されています。

◆要件1.1.6.a ファイアウォール／ルータ構成基準で、ファイアウォールおよびルータのルールセットを少なくとも6カ月ごとにレビューするように要求していることを確認する。 ◆要件1.1.6.ｂ 文書を入手および調査して、ルールセットが少なくとも6カ月ごとにレビューされることを確認する。

　要件1.1.6.aでは、ファイアウォール／ルータのルールセットのレビューを、最低6カ月ごとに行うことを要求していることが記載されている文書を準備する必要があります。それに対し、要件1.1.6.bでは、実際にその文書通りにレビューが行われた記録を準備する必要があります。つまり要件1.1.6のテスト手順は2つあり、それぞれ1つの確認事項があります。

　要件1.1.6.aに対応するためには、例えば「ファイアウォール／ルータ 構成基準 第x.x版」といった文書のどこかに、「○○システムにおけるすべてのファイアウォール／ルータに対して、ルールセットのレビューを6カ月ごとに行うこと」といった記述が必要です。もちろん文書名は「ネットワークゲートウェイ機器 構成基準」でもよいでしょうし、期間も6カ月ごとではなく、3カ月ごとでも、毎日でも構いません（ただし、6カ月を超えてしまってはいけません）。

　また、要件1.1.6.bでは、要件1.1.6.aに対応する記録が必要です。このたぐいの要件でよく見掛けられる間違いとしては、「変更されていないのでレビューはしているが記録がない」というものです。変更を行っていようと行っていまいと、記録が必要です。なぜなら、変更を行っていないのであれば、機械の設定に本当に変更がないことを確認すべきだからです。

　レビューした記録としては、イントラネットのワークフローシステムなどを使っていればその画面、もしくは印刷したものでもよいですし、紙で行っていればそのコピーでも構いません。もちろん、すべてのファイアウォールルールを1つずつ確認しなければいけないわけではありませんので、機械的に前回との差分を取り、その差分について確認したネットワーク責任者の印鑑や日付などがあれば問題ないでしょう。

　ここでの重要なポイントを3点挙げてみたいと思います。

• ポリシー、基準、手順などで求められているものと記録はそれぞれ必要である
• 文書と記載されているが、紙でなくても問題ない
• レビューと記載されていても、自動化できるところは自動化してしまって問題ない

2/3

Index
要件の目的をつかみ、要件を読み取るために
	Page1 要件の目的をつかむには
	Page2 要件の読み取り方とテスト手順 テスト手順に1つずつ項目が記載されているケース
	Page3 テスト手順に複数の項目が存在するケース

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）