Microsoft PowerPoint - オンプレじゃなくても大丈夫_パブリッククラウド利用でのPCIDSS準拠の勘所

Size: px

Start display at page:

Download "Microsoft PowerPoint - オンプレじゃなくても大丈夫_パブリッククラウド利用でのPCIDSS準拠の勘所"

このかいざわ
4 years ago
Views:

2 はじめに会社紹介紹介

3 会社概要沿革株式会社エクシード (Xseed Co., Ltd.) 設資本所在地 2006 年 9 月 21 日 7420 万円東京都品川区東五反田輪パークタワー 7F 電話 FAX 代表者代表取締役社川健児従業員数 65 名 (2015 年 1 月末現在 ) * パートナーを含む : 約 150 名在籍沿革 2006 株式会社エクシード設 OSS サーバホスティング事業開始 2008 ワイズノットソリューションテクノロジーズよりネットワークソリューション事業譲受 OSS サーバホスティングレンタルサーバ事業強化ネットワンシステムズ ( 株 ) との資本提携クラウドサーバサービス mydc リリース ( 国内初 ) 2009 運管理システム SaaS リリース (NRI と協業 ) パブリッククラウド Libra リリース 2010 ISMS 認証 PCI DSS 認証同時取得 ( 国内初 ) 2013 APN スタンダードコンサルティングパートナー認定運動化フレームワーク Cloudrop リリース事業内容認証資格マネージドサービスプロバイダー事業 IT プラットフォームインテグレーション事業 ISMS 認証基準 :JIS Q 27001:2014(ISO/IEC27001:2013) 認証番号 :ICMS-SR0078 PCI DSS 適合基準 :PCI DSS Version3.0 監査対象範囲 : PCI DSS 準拠マネージドサーバサービスのためのインフラ 2014 ネットワンシステムズ ( 株 ) へ全株式譲渡 IBM Softlayer パートナー登録 ID 統合管理システム運サービス XIDM をリリース p. 3

4 紹介杉森貴博株式会社エクシードサービス企画部門サービス開発グループグループマネージャ外資系ハードウェアベンダコンサルティング会社を経て 2009 年 1 月にエクシードに参画その後システム仮想化 VDI 構築仮想環境の運用設計等のインフラ系案件の PM を担当 2015 年 2 月から現職 PCI DSS に関しては 2010 年の認定取得活動から関与社内情報セキュリティ管理者も兼任 p. 4

5 パブリッククラウドの話をする前に

6 PCI DSS における第三者サービスの利に関して Third-Party Security Assurance Third_Party_Security_Assurance.pdf PCI DSS 準拠における 3rdParty 製品サービスを利用する際に注意する点順守すべき点を PCI SSC がまとめたドキュメント以下 4 つの内容が記載されている Third-Party Service Provider Due Diligence Engaging the Third-Party Service Provider Written Agreements, Policies, and Procedures Maintaining Relationships with and Monitoring Third-Party Service Providers p. 6

7 PCI DSS における第三者サービス製品の利に関して Payment Card Industry(PCI) データセキュリティ基準要件とセキュリティ評価手順バージョン 3.1 第三者サービスプロバイダ / アウトソーシングの使用から抜粋第三者サービスプロバイダの準拠確認には 2 つのオプションがあります 1) 自ら PCI DSS 評価をいその証拠を顧客に提出して準拠していることを示すことができます PCI DSS に準拠したサービスを利用する 2) 自ら PCI DSS 評価をわない場合は顧客の各 PCI DSS 評価期間中にサービスのレビューを受ける必要があります PCI DSS 審査の際に準拠しているかを確認する p. 7

8 PCI DSS における第三者サービス製品の利に関して PCI DSS 準拠運用を容易にするためには PCI DSS 準拠済みのサービスを使うことが理想パブリッククラウドにおいても同様に考える必要がある p. 8

9 パブリッククラウドの PCI DSS 準拠ホントに丈夫なんです!

10 パブリッククラウドの PCI DSS 準拠状況 (2015/7/28 時点 ) 内容は講演にてご紹介します p. 10

1 取得準備中審査時に AoC を提示する事前に日本 MS に確認相談 Amazon Web

11 日本リージョンを使う場合日本リージョンを使う場合以下 2 つのサービスが対象となります日本リージョンは PCI DSSVer3.0 準拠済み日本リージョンは PCI DSS Ver3.1 取得準備中審査時に AoC を提示する事前に日本 MS に確認相談 Amazon Web Services AWS および Amazon Web Services ロゴは Amazon.com, Inc. またはその関連会社の商標です p. 11

12 PCI DSS 準拠に関して提供される情報 AWS, Azure 共に PCI DSS 適用範囲を記載したレポートを提供していますまずこのレポートを入手し内容を確認することになりますがそれぞれ入手方法が違うため注意が必要です p. 12

13 PCI DSS に関する情報提供サイト AWS AWS PCI DSS レベル 1 よくある質問 faqs/ Azure Payment Card Industry (PCI) Data Security Standard (DSS) Level 1 p. 13

14 関係資料の内容は講演にてご紹介します p. 14

15 関係資料の内容は講演にてご紹介します p. 15

16 説明資料の違い AWS ドキュメントは 120 ページ程度詳細に要件項目でユーザが何をやるべきかを詳細に記載している Azure ドキュメントは 13 ページ AoC なので要件項目毎の対応状況が概要で記載されている p. 16

17 どこに対応しているか? 内容は講演にてご紹介します p. 17

18 お話できる範囲で要件で必要とされている機能については提供されている Firewall のステートフルインスペクション機能やウィルスチェック機能等ただし一部未対応なものもあるため詳細はドキュメントを確認システムを設置しているデータセンターの物理セキュリティ部分は担保される審査時のデータセンタ確認がなくなる! 設計設定要件や運用要件対応は利用者側の責任となる p. 18

19 導効果 PCI DSS 特有の環境ではなく他のユーザも使っている環境ですのでパブリッククラウドのメリットは十分に享受できますメリット 1: 初期投資コストの削減メリット 2: 柔軟なリソースの増減メリット 3: 高い可用性を安価に実現 p. 19

20 実際に利する際のポイントは? 次項では AWS を例にとって利用する際のポイントを紹介します p. 20

21 AWS での利ポイント

22 AWS の責任共有モデル AWS は責任共有モデル (shared responsibility model) を採用していますこの方式は AWS, 利用ユーザそれぞれの責任範囲を明確にしており PCI DSS との相性が良いですユーザ OS アプリケーションセキュリティグループ OS ファイアウォールネットワーク設定アカウント管理 AWS ファシリティ物理セキュリティ物理インフラネットワークインフラ仮想インフラ p. 22

23 AWS 利のポイント方法その 1:AWS サービスを使う方法その 2: その他サービス製品を使う p. 23

24 AWS でサービスを使う AWS で提供している PCI DSS 準拠サービスは以下となります (*1) AWS Auto Scaling AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB (DDB) Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB (SDB) Amazon Simple Storage Service (S3) Amazon SQS Amazon SWF Amazon Virtual Private Cloud (VPC) 上記以外のサービスの利用はお勧めしません (*1) の情報を基に記載 p. 24

25 AWS サービスを使う PCI DSS 環境上で利用を推奨するサービスは以下となります AWS Auto Scaling AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB (DDB) Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB (SDB) Amazon Simple Storage Service (S3) Amazon SQS Amazon SWF Amazon Virtual Private Cloud (VPC) 各サービス毎に要件項目への対応状況が違う場合があり前出のコンプライアンスパックでの詳細確認が必要です p. 25

26 他サービス製品を使う AWS で対応していない部分に関してはオンプレと同様にサービス製品の導入を検討します製品 : 各要件で求められている機能を提供している製品サービス : PCI DSS に関するコンサル設計構築運用サービス等 p. 26

27 Trend Micro 社 DeepSecurity 概要 Web アプリケーションの脆弱性を保護脆弱性対策 ( 仮想パッチ ) IDS / IPS Webアプリケーション保護アプリケーションコントロール OS や 100 以上のアプリケーションの脆弱性を保護アプリケーションを可視化しコントロールファイアウォールにより攻撃を受ける機会を軽減ファイアウォールウイルス対策不正プログラム攻撃から保護重要なセキュリティイベントをログから効率的に発セキュリティログ監視変更監視ディレクトリファイルレジストリなどの不正な変更を検知仮想環境エージェント型ソフトによるサーバ単位の保護 p. 27

28 AWS 構成例内容は講演にてご紹介します p. 28

29 構成のポイント内容は講演にてご紹介します p. 29

クラウドサービス側で用意しているドキュメントの確認が必要わからない部分はクラウドベンダに確認 (

30 まとめ準拠済みのクラウドサービス利現時点では日本での利用としては Amazon AWS を推奨 PCI DSS 取得範囲に入っているサービスを活用する準拠範囲の確認クラウドサービス側で用意しているドキュメントの確認が必要わからない部分はクラウドベンダに確認 ( 思い込みは禁物 ) 明確なセキュリティ責任分担ベンダ側と自社側の責任分担範囲を明確にしておく審査での説明だけではなく有事の際の対応でも有用 p. 30

31 もっと効率化を図るには? PCI DSS の要件を紐解くと機能採用する製品等についてな機能を持っている事など PCI DSS 要件設計設定な設定をすることな制限をう事など運 XX な運用をする事を維持する事など p. 31

32 運がタイヘン PCI DSS では運用に関する準拠事項が多いセキュリティソフトウェアを使った運用設定の維持 IPS IDS/ 改ざん検知 /Firewall/WAF/ ログ監視 / ウイルス対策アカウント管理アクセス記録ログ集約管理脆弱性検査対策管理ドキュメント作成維持担当者の教育とその記録等々パブリッククラウドを活用するだけでは効率化できない運用作業は多数発します p. 32

33 エクシードが提供する PCI DSS 準拠サービスの紹介 PCI DSS システムをより効率的に構築運するために

34 PCI DSS 準拠セキュアマネージドサービスのご紹介弊社の運チームにてお客様の PCI DSS システム環境における運をご提供するサービスとなります PCI DSS 順守に必要な基本サービスに加え監視運管理系のオプションサービスを提供していますエクシードシステム環境技術担当者ホスティングご担当者様アカウント担当者弊社監視一次対応担当者 (24 時間 365 日 ) クラウド p. 34

得意分野へ集中 PCI DSS 準拠セキュアマネージドサービスを利用することによりインフラ運用部分の要件を当社にお任せいただき該当分野におけるお客様の対応を減らすことが可能です P C I D S S の取得要件アプリ要件ケーションイ運シン用スフ要テラ件ム or お客様はアプリケーション要件に注いただけますインフラシステム運

35 得意分野へ集中 PCI DSS 準拠セキュアマネージドサービスを利用することによりインフラ運用部分の要件を当社にお任せいただき該当分野におけるお客様の対応を減らすことが可能です P C I D S S の取得要件アプリ要件ケーションイ運シン用スフ要テラ件ム or お客様はアプリケーション要件に注いただけますインフラシステム運部分をワンストップでサポートしますログ監査脆弱性検査等のセキュリティ運ログ収集アクセス制御ウィルスチェック等のセキュリティ機能の提供ファシリティ基盤部分の提供 Amazon Web Services AWS および Amazon Web Services ロゴは Amazon.com, Inc. またはその関連会社の商標です p. 35

保存されるカード会員データを保護する 4 オープンな公共ネットワーク経由でカード会員データを伝送する場合暗号化する脆弱性管理プログラムの維持 5

36 対応すべき要件を減らす : 全て弊社にて対応 : 一部お客様にて対応が必要 : 全てお客様にて対応 PCI DSS 要件対応 1 カード会員データを保護するためにファイアウォールをインストールして維持する 2 システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないカード会員データの保護 3 保存されるカード会員データを保護する 4 オープンな公共ネットワーク経由でカード会員データを伝送する場合暗号化する脆弱性管理プログラムの維持 5 すべてのシステムをマルウェアから保護しウィルス対策ソフトウェアまたはプログラムを定期的に更新する 6 安全性の高いシステムとアプリケーションを開発し保守する強なアクセス制御手法の導入 p. 36

37 対応すべき要件を減らす PCI DSS 要件 7 カード会員データへのアクセスを業務上必要な範囲内に制限する 8 システムコンポーネントへのアクセスを識別認証する : 全て弊社にて対応 : 一部お客様にて対応が必要 : 全てお客様にて対応 9 カード会員データへの物理アクセスを制限するネットワークの定期的な監視およびテスト 10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 11 セキュリティシステムおよびプロセスを定期的にテストする情報セキュリティポリシーの維持対応 12 すべての担当者の情報セキュリティに対応するポリシーを維持する p. 37

38 12 要件に対する準拠率 71% 弊社 AoC,RoC 記載内容に準じて算出 p. 38

39 ドキュメント整備管理の省略化サービス提供範囲のドキュメントは弊社にて維持管理を実施 p. 39

セキュアマネージドサービスインフラ提供基本サービスオプションサービスファシリティギャップ分析

アカウント管理障害対応 or 文書整備支援セキュリティ設定改ざん検知ログ管理保守管理クラウド

セキュリティソフト審査機関紹介クラウド調達代セキュリティパッチ適用設定代 24h7dSE サービス PCI

40 エクシードが提供する PCI DSS 準拠サービスの全容インフラとシステム運においてワンストップでサービス提供をいますコンサルティングサービスシステム設計構築サービスセキュアマネージドサービスインフラ提供基本サービスオプションサービスファシリティギャップ分析システム設計侵入検知レポーティングサービスシステム監視アドバイザリシステム構築ウイルス対策アカウント管理障害対応 or 文書整備支援セキュリティ設定改ざん検知ログ管理保守管理クラウドホスティング教育研修脆弱性検査運用設計脆弱性検査 WEB アプリケーション保護運用管理セキュリティソフト審査機関紹介クラウド調達代セキュリティパッチ適用設定代 24h7dSE サービス PCI DSS 準拠セキュリティ製品 Amazon Web Services AWS および Amazon Web Services ロゴは Amazon.com, Inc. またはその関連会社の商標です p. 40

41 導効果導期間の短縮弊社コンサルティング設計構築サービスにより PCI DSS の導期間短縮が可能 PCI DSS 取得ノウハウが無い状態での取得期間 6 か月システム構築テンプレートの活用当社既存運用チームによるサービス提供ポリシー策定やドキュメント記述ノウハウの共有コンサルティング設計構築サービスをご利された場合の取得期間 3 か月上記期間は弊社の実績から算出したものでありお客様のシステムによって実際の期間は異なります導入期間を 50% に短縮可能 Co., Ltd. All rights reserved. p. 41

42 設計品質の担保 : 審査資格保持者のサポート弊社の PCI DSS システム基盤構築では PCI DSS 審査資格保持者により適宜レビューを実施しますその結果 PCI DSS 準拠のシステム設計構築品質を保ちつつ迅速に設計構築を進めることが可能となっておりますシステム基盤設計構築時の審査資格保持者の作業内容基本設計時点での仕様検討フォロー設計が固まった段階での PCI DSS 適用のレビュー p. 42

43 運品質の担保 2010 年より ISMS PCI DSS のデュアル運を実施 5 年間の運実績があります対応規格バージョン適時期 ISMS JIS Q 27001:2006 (ISO/IEC27001:2006) JIS Q 27001:2014 (ISO/IEC27001:2013) PCI DSS Ver Ver Ver Ver Ver /9 対応予定 p. 43

44 まとめ準拠済みのクラウドサービス利 PCI DSS に準拠しているパブリッククラウドを利用可能です弊社にはクラウドシステム構築のノウハウがあります信頼できる運サービス弊社の運用サービスは PCI DSS Ver3.0 準拠済みです PCI DSS システムのインフラ部分の運用は全てお任せください明確なセキュリティ責任分担システム設計運用設計を経てお客様とのセキュリティ責任分担を漏れなく明確にしますその結果を基に運用サービスを提供します的確な準拠対応コンサルティング弊社のコンサルティングサービスにて認定取得のためのご支援をします PCI DSS 審査の経験者がお客様の対応について助言します p. 44

45 私達がサービスをお届けします! 内容は講演にてご紹介します p. 45

Payment Card Industry(PCI) データセキュリティ基準オンサイト評価の準拠証明書加盟店バージョン年 4 月ご利用条件への同意全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとしこのテキストと

Payment Card Industry(PCI) データセキュリティ基準オンサイト評価の準拠証明書加盟店バージョン 3.2 ご利用条件への同意全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとしこのテキストと英文テキスト間に曖昧さや矛盾がある場合は英文テキストが優先されるものとしますセクション 1: 評価情報提出に関する指示