Microsoft Word -

Transcription

1 VISA / JCB PCI 自己評価問診票 バージョン 年 12 月

2 免責 PCI 自己評価問診票 は Visa および JCB のカード会員情報を格納 処理 または伝送するすべての事業者が PCI データセキュリティスタンダード ( 以下 PCI 基準 ) を満たすための チェックリスト として使用されます ただし Visa Asia Pacific および JCB は セキュリティ侵害または損害が発生した場合であっても 自己評価問診票の推奨事項に準拠しているかどうかに関わらず 何ら責任または義務を負うものではありません 注意事項 PCI 自己評価問診票 は Visa Asia Pacific および JCB のカード情報セキュリティ (AIS) 文書の一部である Visa Asia Pacific および JCB のメンバー金融機関およびそのエージェント ( 加盟店とサービス プロバイダ ) は 必ず PCI 基準に従って カード会員情報を処理 格納 伝送しなければならない Visa Asia Pacific の AIS プログラムの詳細に関しては を参照のこと JCB の AIS プログラムの詳細に関しては を参照のこと 日本語翻訳 バージョン 更新日付 年 5 月 30 日 PCI 自己評価問診票 2

3 アンケートの記入方法このアンケートは 6つのセクションに分かれています 各セクションは PCI 基準に含まれる要件に基づいて 特定のセキュリティ分野に重点を置いています 該当なし と答えた質問については 簡単な説明を付け加えてください アンケートのレポート 自己評価問診票とシステム周辺スキャン結果に次の情報が付け加えられます 組織に関する情報会社名 : 担当者名 : 役職 : 電話番号 : 電子メール : おおよその年間取り扱いトランザクション / アカウント数 : 貴社の業務について簡単な説明 決済における貴社の業務 カード会員情報の処理方法 ( 格納容量 処理 伝送など ) をご記入ください サードパーティーサービスプロバイダの全リストプロセッサー : ゲートウェイ : Web ホスティング : ショッピング カート : 機器設置先 : その他 : ご利用の POS ソフトウェア / ハードウェアのリスト : PCI 自己評価問診票 3

4 安全なネットワークの構築維持 要件 1: データを保護するためにファイアウォールを導入し 最適な設定を維持すること質問回答 1.1 すべてのルーター スイッチ 無線アクセス ポイント ファイアウォ ール設定のセキュリティが保たれ 文書化されたセキュリティ基準に準拠していますか 1.2 無線技術を使用している場合 ネットワークへのアクセスを許可さ 該当なしれたデバイスに限定していますか 1.3 ファイアウォールの変更は 許可を必要とし 変更内容を記録して いますか 1.4 ネットワークを保護したり 業務の遂行に必要な範囲にトラフィック を制限するために ファイアウォールを使用していますか 1.5 IP アドレスの偽装による成り済ましを防止するために すべての境 界ルーターに egress および ingress フィルタを導入していますか 1.6 カード会員情報は 内部ネットワーク (DMZ ではない ) 上のデータ ベースに格納され ファイアウォールによって保護されていますか 1.7 無線技術を使用している場合 無線ネットワークと決済環境との間 該当なしに境界ファイアウォールが存在しますか 1.8 インターネットに直接接続するモバイル コンピュータにパーソナ 該当なしル ファイアウォールとアンチウィルス ソフトウェアがインストールされていますか 1.9 誰でもアクセス可能なネットワーク セグメントにある Web サーバー は ファイアウォール (DMZ) により内部ネットワークから分離されていますか 1.10 ファイアウォールは ネットワーク アドレス変換 (NAT) を使用し て 内部 IP アドレスを変換する ( 隠す ) ように設定されていますか PCI 自己評価問診票 4

5 安全なネットワークの構築 維持 要件 2: システムまたはソフトウェアの出荷時の初期設定値 ( セキュリティに関する設定値 ) をそのまま利用しないこと質問回答 2.1 本番システムの出荷時の初期設定は 運用開始前に変更されて いますか 2.2 本番システムのデフォルトアカウントおよびパスワードは 運用開 始前に無効にされるか 変更されていますか 2.3 無線技術を使用している場合 出荷時の初期設定 ( すなわち 該当なし WEP キー SSID パスワード SNMP コミュニティ文字列 SSID ブロードキャストの無効化 ) は変更されていますか 2.4 無線技術を使用している場合 Wi-Fi 保護アクセス (WPA) 技術 該当なしに対応しているときは 暗号化と認証のために WPA が実装されていますか 2.5 すべての本番システム ( サーバーとネットワーク コンポーネント ) は デフォルト設定でインストールされている不必要なサービスやプロトコルをすべて取り除くことにより セキュリティが強化されていますか 2.6 本番システムおよびアプリケーションのリモート管理には 安全 該当なしで 暗号化された通信が使用されていますか PCI 自己評価問診票 5

6 カード会員情報の保護 要件 3: 保存されたデータを保護すること質問 3.1 カード会員情報が不必要になったとき 安全に廃棄されているか? 3.2 磁気ストライプ ( カードの裏面 チップ内 その他 ) の情報をデータベース ログ ファイル または POS 製品に格納することを 禁止していますか 3.3 カード認証コード ( カードのサインパネルに印字された 3 桁の値 ) をデータベース ログ ファイル または POS に格納することを 禁止していますか 3.4 カード会員情報を表示する場合 カード番号の最後の 4 桁を除くその他の部分は覆い隠されていますか 3.5 カード番号 ( データベース ログ ファイル バックアップ メディアなどに入っている ) は 暗号化やトランケーションなどにより 安全に格納されていますか 3.6 カード番号は 監査ログに記録する前に削除されていますか? 回答 要件 4: 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合 暗号化すること質問回答 4.1 カード会員情報は 公衆ネットワーク上で伝送する場合 SSL ま たは他の業界承認の方法を使用して暗号化されていますか 4.2 カード会員情報の伝送に SSL を使用する場合 128 ビット暗号対 該当なし応のバージョン 3.0 を使用していますか 4.3 無線技術を使用している場合 通信は Wi-Fi 保護アクセス 該当なし (WPA) VPN SSL(128 ビット ) または WEP によって暗号化されていますか 4.4 無線技術を使用している場合 128 ビットの WEP と別の暗号化 該当なし技術を組み合わせて使用し 共有 WEP キーは四半期ごとに変更されていますか 4.5 電子メールを通じたカード番号の伝送では 暗号を使用している 該当なしか? PCI 自己評価問診票 6

7 脆弱性を管理するプログラムの整備 要件 5: アンチウィルス ソフトウェアを使用し 定期的にソフトを更新すること質問回答 5.1 すべてのサーバーとすべてのワークステーションにウィルス スキ ャナがインストールされ ウィルス スキャナは定期的に更新されていますか 要件 6: 安全性の高いシステムとアプリケーションを開発し 保守すること質問回答 6.1 開発 テスト および本番システムが ベンダーがリリースした最新 のセキュリティ関連パッチにより更新されていますか 6.2 ソフトウェアとアプリケーションの開発プロセスが業界のベスト プラ 該当なしクティスに基づいており 情報セキュリティは全ソフトウェア開発ライフ サイクル (SDLC) 手順に従っていますか 6.3 本番データをテストおよび開発目的で使用する場合 使用前にカ 該当なしード会員情報が消去されているか? 6.4 本番環境とアプリケーションに対するすべての変更は 正式な許 可 計画 記録を前提に実施されていますか 6.5 セキュリティ団体 ( 例 Open Web Application Security Project 該当なし group ( など ) によって広く認知されたガイドラインが Web アプリケーションの開発の際考慮されているか? 6.6 インターネットを通じて認証を行う場合 アプリケーションは 悪意 該当なしのあるユーザーが既存のユーザー アカウントを特定しようとする試みを防止するように設計されていますか 6.7 カード会員情報は 安全性が高いもしくは暗号化されているクッキ 該当なしー内に格納されているか? 6.8 SQL インジェクションやクライアント側の入力制御のバイパスなどを 該当なし防止するように 制御機能はサーバー側に実装されていますか PCI 自己評価問診票 7

8 強固なアクセス制御手法の導入 要件 7: データへのアクセスを業務上の必要範囲内に制限すること 質問 7.1 カード会員情報へのアクセスを 業務上必要な人に制限していま すか 回答 はい いいえ 要件 8: コンピュータにアクセスする際 利用者毎に識別 ID を割り当てること 質問 8.1 すべてのユーザーは 少なくとも一意なユーザー名とパスワードを使用した認証を受けていますか 8.2 従業員 アドミニストレータ 第三者がネットワークにリモートからアクセスする場合 リモート アクセス ソフトウェア (PCAnywhere ダイヤルイン VPN など ) は 一意なユーザー名およびパスワードを使用し さらに暗号化およびその他のセキュリティ機能が有効になるように設定されているか? 8.3 ネットワークデバイスおよびシステムに対するすべてのパスワードは 暗号化されていますか 8.4 従業員が退職する場合 その従業員のユーザー アカウントとパスワードは直ちに取り消されていますか 8.5 悪意のある 期限切れの または未知のアカウントが存在することがないように すべてのユーザー アカウントが定期的に見直されていますか 8.6 長期間使用されることのない非消費者アカウント ( 非アクティブなアカウント ) は あらかじめ定義された期間の後 システム内で自動的に無効にされていますか 8.7 ベンダーがリモート保守に使用するアカウントは 必要な期間のみ有効になっていますか 8.8 グループ 共有 または汎用のアカウントおよびパスワードは 非消費者ユーザーに対して禁止されていますか 8.9 非消費者ユーザーに対し パスワードをあらかじめ定義された頻度で定期的に変更することを要求していますか 8.10 強力なパスワードの使用を徹底し 以前使用したパスワードの再利用を防ぐような 非消費者ユーザーに対するパスワード ポリシーはありますか 8.11 悪意のあるユーザーが複数のパスワードの再試行または強引な手法 ( 総当たり ) によりアカウントへのアクセスを入手することを防ぐための アカウントロックアウト メカニズムがりますか 回答 該当なし 該当なし PCI 自己評価問診票 8

9 強固なアクセス制御手法の導入 要件 9: カード会員情報にアクセスする際 物理的アクセスを制限すること質問回答 9.1 許可を受けていない人物が施設にアクセスするのを防止するため に 複数の物理的セキュリティ管理 ( バッジ 同伴 または侵入検知 ) が設置されていますか 9.2 無線技術を使用している場合 無線アクセス ポイント 無線ゲー 該当なしトウェイ 無線携帯デバイスへのアクセスを制限していますか 9.3 カード会員情報を保有する機器 ( サーバー ワークステーション ラップトップ ハード ドライブ ) および媒体が 不正アクセスに対し て物理的に保護されていますか 9.4 紙に印刷されたり ファックスにより受信されるすべてのカード会員情報は 不正アクセスから保護されていますか 9.5 カード会員情報が格納されたバックアップ媒体やその他媒体の安全な配布と廃棄を取り扱うための手順が決められていますか 9.6 カード会員情報を格納するすべてのメディア装置は 適切に在庫管理され 安全に保管されていますか 9.7 カード会員情報は 物理的に廃棄する前に削除または破壊 ( 例 紙の裁断 バックアップ媒体の消磁 ) が行われていますか PCI 自己評価問診票 9

10 定期的なネットワークの監視およびテスト 要件 10: ネットワーク資源とカード会員情報に対するすべてのアクセスを追跡し 監視すること質問回答 10.1 ルート / アドミニストレータ権限アクセスを含む カード会員情報 へのすべてのアクセスが記録されていますか 10.2 アクセス制御ログには 成功および失敗したログイン試行 なら びに監査ログへのアクセスが含まれていますか 10.3 すべての重要なシステム クロックと時刻は同期が取られ ログは 日付およびタイムスタンプを記録していますか 10.4 ファイアウォール ルーター 無線アクセス ポイント 認証サーバ ーのログは 不正トラフィックを見つけるために定期的にレビューされていますか 10.5 すべての重要なシステムの監査ログは 定期的にバックアップさ れ 安全に保管され 少なくとも 3 か月間はオンライン また 1 年間はオフラインで保存されていますか 要件 11: セキュリティ システムおよび管理手順を定期的にテストすること質問回答 11.1 無線技術を使用している場合 すべての無線装置を識別するた 該当なしめに 無線アナライザを定期的に使用していますか 11.2 インターネットと接続しているすべてのアプリケーションとシステム に対し 運用開始前に脆弱性スキャンまたは侵入テストを実施していますか 11.3 ネットワーク上で侵入検出または侵入防止システムが使用されて いますか 11.4 侵入検出または侵入防止システム (IDS/IPS) からのセキュリティ 警報は 継続的に監視され 最新の IDS/IPS シグネチャがインストールされていますか PCI 自己評価問診票 10

11 情報セキュリティ ポリシーの整備 要件 12: 情報セキュリティに関するポリシーを整備すること質問 12.1 アクセス制御 アプリケーションおよびシステム開発 運用 ネットワーク および物理セキュリティに関するポリシーを含む 情報セキュリティ ポリシーが正式に文書化されていますか 12.2 情報セキュリティ ポリシーおよびその他の関連するセキュリティ情報が すべてのシステム ユーザー ( ベンダー 契約企業 ビジネス パートナーを含む ) に配布されていますか 12.3 情報セキュリティ ポリシーが 少なくとも一年に 1 回はレビューされ 必要に応じて更新されていますか 12.4 情報セキュリティに関する役割と責務が 社内で明確に定義されていますか 12.5 すべてのシステム ユーザーに最新の情報セキュリティを認識させ そのためのトレーニング プログラムが徹底されていますか 12.6 従業員に対し セキュリティ ポリシーおよび手順を読み かつ理解したことを書面による確認を求めていますか 12.7 カード番号にアクセスするすべての従業員に対して 経歴調査 ( 現地法規の制限内におけるクレジットおよび犯罪履歴のチェック ) が実施されていますか 12.8 カード会員情報にアクセスするすべての外部委託先は カード業界のセキュリティ要件に準拠するように契約で求めていますか 12.9 セキュリティ事故の対処計画が正式に文書化され 適切な担当責任者に配布されていますか セキュリティ事故は セキュリティ調査の担当者に報告されていますか カード会員情報のセキュリティが脅かされた場合 事故対処チームを展開する準備ができていますか? 回答 PCI 自己評価問診票 11

12 用語集 用語 定義 DMZ( 非武装地帯 ) Egress Ingress IP アドレス IP スプーフィング ( 偽装 ) ISO 8583 SQL インジェクション SSL アカウント ハーベスティングアクセス制御 セキュリティレイヤを設けるために プライベートネットワークと公衆ネットワークとの間に設置されたネットワーク ネットワークへの送信トラフィック ネットワークからの受信トラフィック IP アドレスは インターネット上の特定のコンピュータを一意に識別する数値コードである コンピュータへの不正アクセスに使用されるテクニック 侵入者は コンピュータに対して 信用されるホストからのメッセージであることを示すような IP アドレスを持つメッセージを送信する 金融システム間の通信のための標準 データベースを稼動させる Web サイトに対する攻撃の一種 攻撃側は インターネットに接続されたシステム上の安全でないコードを利用して 不正な SQL コマンドを実行する SQL インジェクション攻撃は 通常はデータが入手不可能なデータベースから情報を盗み取ったり データベースを運用するコンピュータを通じて組織のホスト コンピュータにアクセスしたりするのに使用される Web ブラウザと Web サーバーとの間のチャネルを通じて伝送されるデータのプライバシーと信頼性を確保するために そのチャネルを暗号化するために確立された業界標準 既存のユーザー アカウントを試行錯誤により特定する方法 エラー メッセージであまりに多くの情報を与えると 攻撃側がシステムに侵入したり システムの危殆を容易にする可能性がある 情報または情報処理資源へのアクセスを 許可を受けた人またはアプリケーションに制限する手段 アクワイヤラ 暗号化 Visa または JCB のカードを受け付ける加盟店との関係を開始し 維持しているカード会社 情報を 特定の暗号鍵を持つ人以外には理解できないような形式に変換するプロセス 暗号化により 暗号化プロセスと復号プロセス ( 暗号化の逆 ) との間で 情報を不正開示から保護する ウィルス オーソリゼーション ( 許可 ) 自分自身を複製し ソフトウェアまたはデータの改変または破壊を起こすプ ログラムまたはコード文字列 ユーザー プログラム プロセスに対して アクセスまたは他の権利を付与す PCI 自己評価問診票 12

13 ること カード会員カードが発行されたカスタマまたはカードの使用を許可された個人 カード会員情報個人として識別可能なカード会員に関するすべてのデータおよびメンバーとの関係に関するすべてのデータ ( すなわち カード番号 有効期限 金融機関が提供したデータ その他加盟店 / エージェントが収集した電子データなど ) カード会員に関して収集された他の個人情報( 住所 電話番号 など ) も含む カード番号カード発行者 ( イシュア ) と個々のカード会員を識別するカード番号 ( クレジットまたはデビット ) カード認証コードカードを提示しないトランザクションを検証するために使用されるカードのサインパネルに印刷された 3 桁の値 監査ログトランザクションの開始から最終結果まで その運用 手順 またはイベントに係わる一連の環境と活動の再構築 レビュー 調査を十分可能にするようなシステム活動の時系列記録 具体的にセキュリティ監査証跡と呼ばれることもある 監視ネットワーク上の活動を見ること キー ( 鍵 ) 暗号において キーは アルゴリズムを使用して 暗号化されていないテキストから暗号化されたテキストを生成する際に適用される値である 一般にキーの長さによって メッセージのテキストを解読する難しさが決まる 脅威クッキーコンソールサーバー磁気ストライプ データ ( トラック データ ) 資産システム周辺スキャン 情報または情報処理資源が意図的または偶発的に消失したり 改変 開示されたり アクセス不能にされたり 組織に損害をもたらす可能性のある状況 セッションを維持するために Web サーバーと Web ブラウザとの間で交換されるデータの文字列 クッキーは ユーザー個別設定や個人情報などを含んでいる場合がある ネットワーク環境にあるサーバー / メインフレームのアクセスと制御を可能にする画面とキーボード 通信処理 ファイル格納 印刷などのサービスを他のコンピュータに提供するコンピュータ カード提示した支払いにおけるオーソリゼーションに使用される 磁気ストライプにエンコードされたデータ 事業者は オーソリゼーション処理後に全磁気ストライプ データを保持することはできない 具体的には オーソリゼーション処理後は サービス コード ディスクレッショナリデータ /CVV Visa もしくは JCB の予約値を消去しなければならない ただし カード番号 有効期限 名前は 抽出および保持することができる 組織の情報または情報処理資源 外部と接続しているシステムの探査と外部ネットワークから利用可能なサー PCI 自己評価問診票 13

14 消去消費者情報セキュリティ侵入侵入検出システム侵入テスト脆弱性脆弱性スキャン責務の分担セキュリティ オフィサセキュリティ ポリシーセキュリティの危殆耐タンパ性データベース手順デフォルト アカウント ビス ( すなわち インターネットから利用可能なサービス ) の報告を含む 非侵入テスト ファイル デバイス またはシステムから機密データを削除すること またはデータを攻撃が無意味になるように変更すること 商品またはサービス もしくはその両方を購入する個人 情報の機密性 完全性 可用性の保護 システムのセキュリティ メカニズムのバイパスに成功した活動 侵入検出システム (IDS) は すべてのネットワーク活動を検査し システムに侵入したり 危殆させようとする者によるネットワークまたはシステムへの攻撃と疑わしいパターンを識別する 攻撃側が悪用する可能性のある脆弱性を見つけ出すために コンピュータ システムまたはネットワークのセキュリティ探査 テストには テスト担当者が脆弱性をレポートしたり セキュリティを改善するための手順を提案できるようにするためのシステムへの侵入試行が含まれる システムのセキュリティ ポリシーを侵害するために悪用される可能性のある システム セキュリティ手順 システム設計 実装 または内部コントロールにある弱点 加盟店またはサービス プロバイダのシステムに脆弱性がないかをチェックする自動化ツール このツールは 外部に接続しているインターネット プロトコル (IP) アドレスに基づくネットワークや Web アプリケーションを遠隔からレビューする スキャンでは ハッカーが会社の私設ネットワークを狙うのに使用される可能性のあるオペレーティング システム サービス デバイスの脆弱性を識別する 一人の人間によりプロセスが破壊されることがないように システム機能の手順を複数の人間に分担すること 組織のセキュリティに関する問題に対して第一の責任を負う担当者 組織が機密情報を管理 保護 配布する方法を規制する法規 ルール 実施手順の集まり カード会員情報の不正な開示 改ざん または破壊が起こりうるコンピュータ システムへの侵入 たとえ 攻撃側がシステムに物理的にアクセスできても 改変または破壊が難しいようなシステムは 耐タンパ性があるといえる 情報を組織化および保守するための容易に検索可能な構造化フォーマット データベースの例として テーブルやスプレッドシートなどがある 手順は 対象となるポリシーに関する説明表現を提供する ポリシーの 手引き である ポリシーをどのように実行するべきかを組織に伝える 製造されたシステムの運用を開始するときに初回のアクセスを行うために 事前に設定されているシステム ログイン アカウント PCI 自己評価問診票 14

15 デフォルト パスワードトークントランケーショントランザクション データ二重管理二要素認証認証ネットワークネットワーク アドレス変換 (NAT) パスワードバックアップパッチ非消費者ユーザーファイアウォールプロトコルホストポリシーユーザー ID リスク分析 メーカーからシステムが出荷された時点における システム管理またはサービス アカウントに対するパスワード 通常は デフォルト アカウントと関連付けられている デフォルト アカウントおよびパスワードは 公開され既知のものである 動的認証を実行するデバイス データ セグメントを取り除くこと 通常 カード番号を切り捨てる際 最初の 12 桁を削除し 最後の 4 桁のみを残す 電子決済に関するデータ 特定のトランザクションを完結する前に 複数の個人が独立して何らかの操作を行うことにより プロセスの完全性を保全する方法 2 つの証明手順 すなわち 物体 ( 例 スマートカード ハードウェア トークン ) と記憶していること ( 例 パスワード ) を必要とする認証 システムにアクセスする際 ユーザーは両方の証明手順を実施しなければならない 本人またはプロセスが本物であるかを検証するプロセス ネットワークは 資源を共有できるように接続された複数のコンピュータ あるネットワーク内で使用されているインターネット プロトコル アドレス (IP アドレス ) を別のネットワーク内で認識できる IP アドレスへ変換すること ユーザーを認証するために使用される文字列 アーカイブ目的 もしくは破損または消失に対する保護のために 作成されるデータの複製コピー プログラミングの一部の緊急修復作業 ソフトウェア製品のベータ テスト版の配布または試験期間および製品の正式なリリース後に 問題が見つかることがよくある パッチは ユーザーに提供される即時対応のためのソリューション システムにアクセスする消費者を除く 従業員 管理権限者 委託先などのユーザー あるネットワークの資源を他のネットワークのユーザーから保護するハードウェアまたはソフトウェア もしくはその両方 通常 従業員がインターネットにアクセスすることを許可するイントラネットを持つ企業は 外部者による内部データ へのアクセスを防止するためのファイアウォールを持っていなければならない ネットワーク内で使用される通信において合意に基づく方法 製品がネットワーク上で稼動するために従うべきルールと手順を記述した仕様 ソフトウェアが稼動する主要なハードウェア コンピュータ資源の許容される使い方 セキュリティの実践 運用手順開発の手引きとなる組織レベルのルール システムの各ユーザーを一意に識別するのに使用される文字列 リスク評価とも呼ばれる 貴重なシステム資源とそれらのリソースに対する脅 PCI 自己評価問診票 15

16 ルーター 威をシステマチックに識別し 予測される頻度と発生コストに基づいて 損失の発生 ( すなわち 損失可能性 ) を定量化し ( オプションで ) 全体損失を最小限に抑えるために 対策として資源をどのように割り当てるかを助言するプロセス ルーターは 複数のネットワーク接続するハードウェアまたはソフトウェア ルーターは アドレスを見て 各情報を正しい宛先に振り分けるためのソーターおよびインタプリタとして機能する ソフトウェア ルーターは ゲートウェイと呼ばれることもある PCI 自己評価問診票 16