第7回 要件の目的をつかみ、要件を読み取るために
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2009/12/25
テスト手順に複数の項目が存在するケース
上記のように、1テスト手順の中に1つの確認項目しかない場合は明確ですが、1つのテスト手順の中に複数の確認事項が存在する場合があります。
例えば、要件6.3.7のテスト手順、要件6.3.7.aを見てみましょう。
| ◆要件6.3.7.a: ポリシーを入手してレビューし、内部アプリケーションのすべてのカスタムアプリケーションコードの変更に対して、レビューが要求されていることを確認する(手動または自動プロセスで)。
|
このテスト手順には、個条書きの項目が3つあります。つまり、開発プロセス文書の中に、コードレビューに関する3つのポリシー(ルール)が記載されている必要があります。実際に記載されている文章は、オウム返し的な表現でも問題ありませんが、実際の体制や環境に応じて分かりやすく記載するのでもよいでしょう。例えば「管理職」という表現は、実際の立場では「管理職」とはいっても、いったいどのような人が承認を行えばよいのかあいまいになってしまうかもしれません。そのため、実際には部署名や役職名をある程度具体的に記載するのがよいでしょう。
また、この要件では、ポリシー(開発プロセス)で確認する項目として、前述の要件6.3.7.aと、要件6.3.7.bの2つの確認項目があります。
| ◆要件6.3.7.b: ポリシーを入手してレビューし、Webアプリケーションのすべてのカスタムアプリケーションコードの変更に対して、レビューが要求されていることを確認する(手動または自動プロセスで)。
|
よく見てみると、要件6.3.7.bで求められている4つの確認事項のうち3つは、要件6.3.7.aでも求められています。コピー&ペーストしたかのように同じ表現になっています。その違いは、要件6.3.7.bでは対象がWebアプリケーションであることと、「コードレビューにおいて、OWASPガイドなどのガイドラインに従って安全に開発されたことが保証されること」という確認項目があることの2点です。要件6.3.7.aの対象が「内部アプリケーションのすべてのカスタムアプリケーションコードの変更」であるのに対し、要件6.3.7.bの対象は「Webアプリケーションのすべてのカスタムアプリケーションコードの変更」であることから、共通している3点の確認項目は、同じ文書で書けるかもしれません。
実際の文書では、「内部アプリケーション、およびWebアプリケーションのすべてのカスタムアプリケーションコードの変更」を対象としてしまえばよいわけです。わざわざ開発プロセスの中で別に記述する必要はありません。別途、OWASPについての差分を起こせば完ぺきでしょう。
ここでの重要なポイントは、以下の2点です。
- 1つのテスト手順の中に、複数の確認項目がある(個条書きがある)場合、すべての確認項目への対応が必須
- 複数のテスト手順にまたがって存在する確認項目に対し、文書を共通化しても問題ない
今回は、なぜこの要件が必要なのか、どういう目的なのかを理解するために役立つ「PCI DSSナビゲート」を紹介しました。審査や準拠に向けての文書確認における「要件の読み取り方」について、いくつかのポイントを挙げてみました。
PCI DSSの12要件は、保護を行う対象ごとにグループ分けされており、対応を行う順番に並んでいるわけではありません。どのように対策を行っていくのがよいかは組織によって異なるでしょうから、要件全体を見渡して、いろいろな切り口で効率のよい対応方法を探ってみていただければと思います。
 |
3/3 |
| Index | |
| 要件の目的をつかみ、要件を読み取るために | |
| Page1 要件の目的をつかむには |
|
| Page2 要件の読み取り方とテスト手順 テスト手順に1つずつ項目が記載されているケース |
|
 |
Page3 テスト手順に複数の項目が存在するケース |
| Profile |
| 川島 祐樹(かわしま ゆうき) NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。 その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。 |
 |
オール・ザッツ・PCI DSS 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
