PCI クイックリファレンスガイド支払カード業界データセキュリティー基準バージョン 1.2 についての理解 カード会員データの保存 処理 転送を行う加盟店および組織向け 目次

Transcription

1 PCI クイックリファレンスガイド支払カード業界データセキュリティー基準バージョン 1.2 についての理解 カード会員データの保存 処理 転送を行う加盟店および組織向け 目次

2 Copyright 2008 PCI Security Standards Council, LLC. All Rights Reserved. この PCI データセキュリティ基準クイックリファレンスガイドは カード会員データを保存 処理 または転送する加盟店およびその他の組織に対する情報提供と教育を目的として PCI Security Standards Council(PCI SSC) から提供されています PCI SSC と PCI SSC が管理する基準の詳細については をご覧ください この文書の目的は 補足情報を提供することです ここで提供される情報は PCI SSC の基準またはその付属文書に取って代わるものではありません 詳細については PCI SSC の Web サイトをご覧ください 2009 年 12 月

3 目次 序文 : PCI セキュリティ基準によるカード会員データの保護... 4 PCI 要件の概要... 6 PCI データセキュリティ基準 (PCI DSS)... 8 ペイメントアプリケーションデータセキュリティ基準 (PA DSS) PIN トランザクションセキュリティ要件 (PTS) PCI DSS 要件に対応するセキュリティ管理および処理 安全なネットワークの構築と維持 カード会員データの保護 脆弱性管理プログラムの整備 強固なアクセス制御手法の導入 ネットワークの定期的な監視およびテスト 情報セキュリティポリシーの整備 PCI セキュリティに対応する代替コントロール PCI DSS の準拠方法 認定セキュリティ評価機関 (QSA) の選択 認定スキャニングベンダ (ASV) の選択 自己問診 (SAQ) の使用 報告 Web リソース PCI Security Standards Council について 序文

4 4 序文 : PCI セキュリティ基準によるカード会員データの保護 20 世紀の米国の犯罪者 Willie Sutton が銀行強盗を行った理由は そこに現金があるから だと伝えられています デジタル時代に入った今日では 同じ動機から 加盟店が金融詐欺の新たな標的になっていま す 場合によっては 加盟店のセキュリティのすきをついた犯罪者が 個人の消費者金融情報を利用し ペ イメントカードのトランザクションや処理システムからたやすく情報を盗むことも可能です これは深刻な問題です Privacy Rights Clearinghouse.org によると 2005 年 1 月以降 機密情報が含まれ る記録が 2 億 3400 万件以上侵害されています 加盟店はペイメントカードトランザクションの中心的な 役割を果たしているため 標準的なセキュリティの手順およびテクノロジに従ってカード会員データの盗難を防止することが不可欠です 加盟店の脆弱性は POS 装置 パーソナルコンピュータまたはサーバ ワイヤレスホットスポットまたは Web ショピングアプリケーション ペーパーベースの保管システム セキュリティ保護されない状態でのサービスプロバイダへのカード会員データの送信など カード処理のエコシステムのほとんどあらゆる箇所に発生する可能性があります さらに 脆弱性はサービスプロバイダやアクワイアラー ( ペイメントカードを受け付ける加盟店との関係を開始および維持する金融機関 ) が運用するシステムにまで拡大する可能性があります (5 ページの図を参照 ) Payment Card Industry(PCI) データセキュリティ基準 (DSS) に準拠することによって このような脆弱性が軽減され カード会員データの保護に役立ちます リスクの高い行為米国とヨーロッパで実施された企業アンケートでは 次の行為でカード会員データが危険にさらされる可能性が高いという結果が出ました 81% ペイメントカード番号の保存 73% ペイメントカード有効期限の保存 71% ペイメントカード検証コードの保存 57% ペイメントカードの磁気ストライプからの顧客データの保存 16% その他の個人データの保存 出典 : Forrester Consulting: PCI の準拠状態 ( RSA/EMC からの委託による )

5 インターネット公共ネットワークワイヤレス インターネット公共ネットワークワイヤレス インターネット公共ネットワークワイヤレス POS 加盟店サービスプロバイダアクワイアラー この PCI クイックリファレンスガイド の目的は PCI DSS に対する理解を深め PCI DSS をペイメント カードトランザクション環境に適用することにあります PCI 準拠は 的なプロセス 評価 PCI DSS に準拠するには 次の 3 つの手順があります 評価 カード会員データを特定し 組織の IT 資産のインベントリおよびペイメントカードを処理するためのビジネスプロセスを取得して分析し カード会員 データを公開する可能性を持った脆弱性がないかどうかを確認します 是正 脆弱性を修正し 必要が ない限りカード会員データを保存しないようにします 報告 必要な是正処置を検証する記録をとりまと めて提出し ( 該当する場合 ) 取引のある加盟店銀行およびカードブランドに準拠レポートを提出します PCI DSS は 最善のセキュリティ慣行を反映した常識的な手順に従っています DSS は カード会員データ を保存 処理 または送信するあらゆる事業体に適用されます PCI SSC および関連するセキュリティ基準は American Express Discover Financial Services JCB International MasterCard Worldwide Visa Inc. によって設立された PCI Security Standards Council(PCI SSC) が運営しています この PCI SSC には 加 盟店 ペイメントカード発行銀行 プロセサー 開発者 ベンダなどの組織が参加しています 是正 報告 5 PCI 要件の概要

6 PCI 要件の概要 PCI セキュリティ基準は PCI Security Standards Council(PCI SSC) がカード会員データを保護するために規定した技術面および運用面の要件です この基準はカード会員データを保存 処理 または送信するあ らゆる組織に適用され 取引に使用するアプリケーションのソフトウェア開発者および製造業者にガイダ ンスを提供します PCI SSC はセキュリティ基準を管理し PCI 基準への準拠は PCI SSC の設立メンバーである American Express Discover Financial Services JCB International MasterCard Worldwide Visa Inc によって実施されます 6 ( ) セキュリティ基準 カード会員支払いデータの保護 業 PCI PTS PIN Transaction Security ソフトウェア開発業 PCI PA-DSS ペイメントアプリケーションベンダ 加盟店とプロセサー PCI DSS データセキュリティ基準

7 PCI セキュリティ基準の構成要素 : PCI データセキュリティ基準 (DSS) PCI DSS は カード会員データを保存 処理 または送信するあらゆる事業体に適用されます カード会員データに含まれる または関連する技術面および運用面のシステムコンポーネントが対象になります ペイメントカードを受け入れる または処理する加盟店は PCI DSS に準拠する必要があります PIN トランザクション (PTS) セキュリティ要件 PCI PTS( 旧 PCI PED) は カード会員の PIN およびその他の支払い処理関連の行為を保護する装置の特性と管理に重点を置いた一連のセキュリティ要件です 製造業者を対象とし 装置の設計 製造 および装置を実装する事業体への装置の輸送に関する要件を規定しています 金融機関 プロセサー 加盟店 サービスプロバイダは PCI SSC( pedapprovallist.html) によるテストを受けて承認された装置またはコンポーネント以外を使用してはならないものとされています ペイメントアプリケーションデータセキュリティ基準 (PA-DSS) PA-DSS は 承認または決済の一部としてカード会員データを保存 処理 または送信し 第三者に販売 配布 またはライセンス供与されるペイメントアプリケーションのソフトウェア開発者およびインテグレータを対象としています 多くのカードブランドは PCI SSC によるテストを受けて承認されたペイメントアプリケーションを使用することを加盟店に推奨しています 検証済みアプリケーションのリストについては 次の情報をご覧ください : 7

8 PCI データセキュリティ基準 PCI DSS バージョン 1.2 は カード会員データを処理 保存 または送信するすべての組織を対象にした カードブランドが採用するグローバルなデータセキュリティ基準です PCI DSS は最善のセキュリティ慣行を反映した常 識的な手順で構成されています 8 目的 安全なネットワークの構築と維持 カード会員データの保護 脆弱性管理プログラムの整備 強固なアクセス制御手法の導入 ネットワークの定期的な監視およびテスト 情報セキュリティポリシーの整備 PCI DSS 要件 カード会員データを保護するために ファイアウォールをインストールして構成を維持するシステムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない 保存されるカード会員データを保護するオープンな公共ネットワーク経由でカード会員データを伝送する場合 暗号化する アンチウィルスソフトウェアまたはプログラムを使用し 定期的に更新する安全性の高いシステムとアプリケーションを開発し 保守する 7. カード会員データへのアクセスを 業務上必要な範囲内に制限する 8. コンピュータにアクセスできる各ユーザに一意の ID を割り当て ること 9. カード会員データへの物理アクセスを制限する ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視するセキュリティシステムおよびプロセスを定期的にテストする 従業員および派遣社員向けの情報セキュリティポリシーを整備する

9 PCI DSS 準拠を評価するツール PCI SSC が規定する PCI DSS 基準以外に 各カードブランドには準拠 検証レベル 実行のための固有のプログラムがあります 準拠の詳細については 次のリンクをご覧ください American Express: Discover Financial Services: JCB International: MasterCard Worldwide Visa Inc: Visa Europe: 認定評価機関 : PCI SSC では PCI DSS 準拠の評価を促進するプログラムとして認定セキュリティ評価機関 ( QSA) および認定スキャニングベンダ (ASV) を管理しています QSA は PCI SSC の承認を受けて PCI DSS 準拠を評価します ASV は PCI SSC の承認を受けて加盟店およびサービスプロバイダのインターネット環境に対する脆弱性スキャンを実施し PCI DSS スキャン要件への準拠を検証します 詳細については PCI SSC の Web サイトをご覧ください : 自己問診 : 自己問診 (SAQ) は PCI DSS 準拠のオンサイト評価を受ける必要がない組織向けの検証ツールです 事業の状況に応じて SAQ の内容は異なります 詳細については PCI SSC の Web サイトをご覧ください : 組織の加盟店金融機関が SAQ を実施する必要があるかどうかを決定することもできます 9

10 10 ペイメントアプリケーションデータセキュリティ基準 PA-DSS は ペイメントアプリケーションの開発者を対象とした基準です PA-DSS の目的は 禁止されているデータを保存せず ペイメントアプリケーションが PCI DSS の準拠をサポートしていることを確認でき る安全な市販ペイメントアプリケーションの開発を促進することです 加盟店およびサービスプロバイダ は 使用しているペイメントアプリケーションが PCI SSC によって承認されたものであることを確認する必要があります 承認済みアプリケーションの実装に関する要件とタイムフレームについては 加盟店金融機関に確認してください PA-DSS には 14 の要件があります 詳細および承認済みペイメントアプリケーションのリストについては 次の情報をご覧ください : PIN トランザクション ( PTS) セキュリティ要件 この要件は PCI PTS( 旧 PCI PED) と呼ばれ PIN を使用するトランザクションおよびその他の支払い処理関連行為の一部として個人識別番号を受け付ける または処理する装置またはコンポーネントの製造業者に適用されます 承認された PTS ラボラトリが PTS 要件の準拠を検証します 金融機関 プロセサー 加盟店 サービスプロバイダは 使用している装置またはコンポーネントが PTS によって承認されたものであることを確認する必要があります 金融機関以外の場合 準拠に関する要件とタイムフレームについては 加盟店金融機関に確認してください PTS 要件は 装置コンポーネントの物理的および論理的なセキュリティ特性や装置の管理など 装置を対象とした要件を規定しています 詳細および承認済み PTS 装置とそのコンポーネントのリストについては 次の情報をご覧ください :

11 PCI DSS 要件に対応するセキュリティ管理および処理 データセキュリティ基準バージョン 1.2(PCI DSS) の目的は 加盟店が処理 保存 または伝送するカード会 員データを保護することです セキュリティ管理と処理に関する PCI DSS の要件は PAN( ペイメントカー ドの表に印字されたプライマリアカウント番号 ) など カード会員のアカウントデータを保護するためにき わめて重要です ペイメントカードの処理に関与する加盟店およびその他のサービスプロバイダは 承認 後にセンシティブ認証データを保存することを禁じられています 対象となるデータには カードに印字されたセンシティブデータ カードの磁気ストライプまたはチップに保存されたセンシティブデータ カード会員が入力した個人識別番号などがあります この章では PCI DSS の目的と 関連する 12 の要件について説明します ペイメントカードのデータの種類 CID (American Express) CAV2/CID/CVC2/CVV2 (Discover JCB MasterCard Visa) チップ ( 磁気ストライプイメージのデータ ) PAN 有効期限 磁気ストライプ ( トラック 1 と 2 のデータ ) 11 PCI DSS 要件に対応するセキュリティ管理および処理

12 12 安全なネットワークの構築と維持 ネットワークセキュリティの制御 かつては 犯罪者が金融記録を盗むには社屋に侵入する必要がありましたが 現在は多くのペイメントカードトランザクション ( 米国のデビットカードやヨーロッパの チップアンドピン など ) で PIN 入力装置とネットワーク接続されたコンピュータを使用します 組織はネットワークセキュリティ制御を利用して ペイメントシステムネットワークに仮想的にアクセスした犯罪者によるカード会員データの盗難を阻止することができます 要件 1: カード会員データを保護するために ファイアウォールをインストールして構成を維持するファイアウォールは組織のネットワークのコンピュータトラフィック および組織の内部ネットワーク内の機密エリアへのトラフィックを制御する装置です ルーターは 2 つ以上のネットワークを接続するハードウェアまたはソフトウェアです 1.1 ファイアウォールおよびルーター構成基準を確立する場合は 構成が変更されるたびにテストを定式化し ワイヤレスを含む カード会員データへのすべての接続を示し 実装ごとに異なる技術設定を使用し 構成のルールセットを少なくとも 6 カ月ごとにレビューする ファイアウォール ネットワーク間および内部ネットワーク内のトラフィックの通過を制御する装置 1.2 カード会員データ環境に必要なプロトコルを除き 信頼できないネットワークおよびホストからのすべてのトラフィックを拒否するファイアウォール構成を構築する 1.3 インターネットとカード会員データ環境内のすべてのシステムコンポーネント間の 直接的なパブリックアクセスを禁止する 1.4 インターネットに直接接続するすべてのモバイルコンピュータまたは従業員所有のコンピュータ ( あるいはその両方 ) で 企業ネットワークへのアクセスに使用されるものに パーソナルファイアウォールソフトウェアをインストールする ルーター 2 つ以上のネットワークを接続するハードウェアまたはソフトウェア図 / 写真 : Wikimedia Commons

13 要件 2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない ハッカーが内部ネットワークにアクセスする最も簡単な方法は ペイメントカードインフラストラクチャ内 でデフォルトパスワードを試すか デフォルトのシステムソフトウェア設定を利用することです 加盟店が 導入時のデフォルトのパスワードまたは設定を変更しないケースがあまりに多く見うけられます これは 夜になって帰宅するときに店の鍵を開けたままにしておくのと同じことです 多くのネットワーク装置のデフォルトのパスワードおよび設定は広く知られています デフォルト値を変更していなければ この情報とネットワーク上の装置を識別するハッカーツールを使用して たやすく不正侵入することが可能になります 2.1 システムをネットワークに導入する前に ベンダ提供のデフォルト値を必ず変更する これには カード会員データ環境に接続されている またはカード会員データを伝送するワイヤレス装置が含まれる 2.2 すべてのシステムコンポーネントについて すべての既知のセキュリティ脆弱性をカバーし また業界で認知された定義と一致する構成基準を作成する 2.3 ブラウザや Web ベースの管理ツールなど すべてのコンソール以外の管理アクセスを暗号化する 2.4 共有ホスティングプロバイダは 各事業体のホスト環境およびカード会員データを保護する必要がある ( 詳細は PCI DSS の付録 A 共有ホスティングプロバイダ向けの PCI DSS 追加要件 を参照 ) 変更する必要がある一般的なデフォルトパスワード [ なし ] [ 製品名またはベンダ ] 1234 または 4321 access admin anonymous database guest manager pass password root sa secret sysadmin user 13

14 14 カード会員データの保護 カード会員データとは ペイメントカードに何らかの形式で印字 処理 伝送 または保存された情報のことです ペイメントカードを受け付けた組織は ローカルに印字または保存されたデータであれ 公共ネットワーク上でリモートサーバまたはサービスプロバイダに伝送されたデータであれ カード会員データを保護し 不正使用を防止する必要があります 要件 3: 保存されるカード会員データの保護一般に カード会員データは業務上必要な場合を除き 保存しないでください 磁気ストライプまたはチップ上の機密データを保存することは禁じられています PAN を保存する場合は必ず読み取り不能にする必要があります (3.4 および次の表を参照 ) 3.1 データ保存ポリシーに従って 保存するカード会員データと保存期間を 業務上 法律上 規則上必要な範囲に限定する 3.2 承認後にセンシティブ認証データを保存しない ( 暗号化されている場合でも ) 次の表を参照 3.3 表示時に PAN をマスクする ( 最初の 6 桁と最後の 4 桁が最大表示桁数 ) 業務上の合法的な必要性により権限のある者が PAN 全体を見る必要がある場合 この要件は適用されない カード会員データの表示に関するこれより厳しい要件 (POS レシートなど ) がある場合は そちらに置き換えられる 3.4 すべての保存場所で PAN を少なくとも読み取り不能にする ( ポータブルデジタルメディア バックアップメディア ログのデータ ワイヤレスネットワークから受信または保存されるデータを含むが これらに限定されない ) この要件を満たすテクノロジソリューションとして 強力な一方向のハッシュ関数 切り取り インデックストークン 安全に保存されたパッド 強力な暗号化などがあります ( 強力な暗号化の定義については PCI DSS の用語集を参照 ) 暗号化の基礎暗号化技術数式を用いて キー と呼ばれる特殊な情報がなければプレーンテキストデータを読み取ることができないようにします 暗号化技術はローカルに保存されたデータにも ネットワークを経由して伝送されたデータにも適用されます 暗号化プレーンテキストを暗号化テキストに変換します 暗号解除暗号化テキストをプレーンテキストに戻します 機 情報につき は しないでく さい 機 情報につき は しないでく さい 図 : Wikimedia Commons

15 3.5 カード会員データの暗号化に使用される暗号化キーを 漏洩と誤使用から保護する 3.6 カード会員データの暗号化に使用されるキーの管理プロセスおよび手順をすべて文書化し 実装する カード会員データ要素に関するガイドライン データ要素保存の許可保護の必要性 PCI DSS 要件 3.4 プライマリアカウント番号 (PAN) はいはいはい カード会員データ カード会員名 1 はいはい 1 いいえ サービスコード 1 はいはい 1 いいえ 有効期限 1 はいはい 1 いいえ センシティブ認証データ 2 完全な磁気ストライプデータ 3 いいえ N/A N/A CAV2 / CVC2 / CVV2 / CID いいえ N/A N/A PIN / PIN ブロックいいえ N/A N/A 1 これらのデータ要素は PAN と共に保存される場合は保護が必要です この保護は カード会員データ環境の全般的な保護に関する PCI DSS 要件に従います さらに 他の法律 ( 消費者の個人データ保護 プライバシ ID 盗難 またはデータセキュリティに関連するものなど ) により このデータの特定の保護 または取引過程で消費者関連の個人データが収集される場合は会社の実施方法の適切な開示が必要になる可能性があります ただし PCI DSS は PAN が保存 処理 または伝送されない場合は適用されません 2 センシティブ認証データは承認後 ( たとえ暗号化していても ) 保存してはなりません 3 磁気ストライプのすべてのトラックのデータ チップなどに存在する磁気ストライプイメージ 15

16 16 要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合 暗号化する サイバー犯罪者によってオープンな公共ネットワークを経由してカード会員データを傍受される可能性が あるため データを読み取り不能な状態にすることが重要です 暗号化は 伝送されるデータを不正ユー ザが読み取ることができないようにするテクノロジです 4.1 オープンな公共ネットワーク経由で機密性の高いカード会員データを伝送する場合 強力な暗号化 と SSL/TLS または IPSEC などのセキュリティプロトコルを使用する オープンな公共ネットワークの例として インターネット ワイヤレス技術 Global System for Mobile Communications(GSM) General Packet Radio Systems(GPRS) が挙げられる カード会員データを伝送する またはカ ード会員データ環境に接続しているワイヤレスネットワークには 業界のベストプラクティス (IEEE ix など ) を使用して 認証および伝送用に強力な暗号化を実装する 新しいワイヤレス実装に おいて 2009 年 3 月 31 日以降は WEP を実装できない 現在のワイヤレス実装において 2010 年 6 月 30 日以降は WEP を使用できない 4.2 暗号化されていない PAN をエンドユーザメッセージングテクノロジで送信してはならない 脆弱性管理プログラムの整備 脆弱性管理は組織のペイメントカードインフラストラクチャシステムの弱点を系統的かつ継続的に発見するプロセスです このプロセスには システムセキュリティポリシーに違反するために利用可能なセキュリティ手順 システム設計 実装 または内部制御が含まれます 要件 5: アンチウィルスソフトウェアまたはプログラムを使用し 定期的に更新する多くの脆弱性および悪意のあるウィルスは 従業員の電子メールなどのオンライン活動を通じてネットワークに侵入します マルウェアの影響を受けやすいすべてのシステムで ウィルス対策ソフトウェアを使用して 最新の進化するマルウェアソフトウェアの脅威からシステムを保護する必要があります 脆弱性の管理 業界標準のベストプラクティス (IEEE ix など ) に従ってセキュリティを制御するポリシーを作成する システムの脆弱性を定期的にスキャンする リスクと優先順位に基づいて改善スケジュールを立てる 予備テストとパッチの導入を行う 再スキャンを実行して準拠を検証する最新の署名とテクノロジでセキュリティソフトウェアを更新する業界標準のベストプラクティスに従って開発された安全なソフトウェアまたはシステムのみを使用する

17 5.1 悪意のあるソフトウェアの影響を受けやすいすべてのシステム ( 特にパーソナルコンピュータとサーバ ) に ウィルス対策ソフトウェアを導入する 5.2 すべてのアンチウィルスメカニズムが最新で 有効に実行されており 監査ログが生成できる 要件 6: 安全性の高いシステムとアプリケーションを開発し 保守するシステムやアプリケーションにセキュリティの脆弱性が存在すると 犯罪者がこれを利用して PAN などのカード会員データにアクセスできるようになる可能性があります このような脆弱性の多くは ベンダが提供するセキュリティパッチをインストールすることによって解消されます パッチは特定のプログラミングコードに対する高速修復処理を実行します すべての重要なシステムに最新リリースの適切なソフトウェアパッチを適用し 不正使用を防止する必要があります 重要性の低いシステムには リスクベースの脆弱性管理プログラムに基づいて できるだけ速やかにパッチを適用する必要があります ペイメントアプリケーションを開発するための安全なコーディング手法 変更管理手順 およびその他のソフトウェア開発手法に必ず従う必要があります 6.1 すべてのシステムコンポーネントとソフトウェアに ベンダ提供の最新セキュリティパッチを適用する 重要なパッチは リリース後 1 カ月以内に導入する 6.2 新たに発見された脆弱性を特定するためのプロセスを確立する ( 警告サービスへの加入や脆弱性スキャンサービスまたはソフトウェアの使用など ) 新しい脆弱性の問題に対処するプロセスを更新する 6.3 PCI DSS に従い 業界のベストプラクティスに基づいてソフトウェアアプリケーションを開発し ソフトウェア開発ライフサイクル全体を通して情報セキュリティを実現する 6.4 システムコンポーネントへのすべての変更において 変更管理手順に従う 17

18 すべての Web アプリケーションを安全なコーディングガイドラインに基づいて開発し カスタムアプリケーションコードをレビューしてコードの脆弱性を識別する 6.6 少なくとも年 1 回コードをレビューし 一般公開されている Web アプリケーションの前面に Web アプリケーションファイアウォールをインストールすることによって Web に公開されているすべてのアプリケーションを既知の攻撃から保護する必要がある アクセスの制限は重要 強固なアクセス制御手法の導入 アクセス制御によって 加盟店は PAN などのカード会員データにアクセスするための物理的または技術的な手段の使用を許可または拒否できます アクセスの許可は 業務上必要な範囲内に制限する必要があります 物理的なアクセス制御には ロックを使用する方法や ペーパーベースのカード会員記録またはシステムハードウェアへのアクセスを制限する方法などがあります 論理的なアクセス制御では PIN 入力装置 ワイヤレスネットワーク PC などの装置の使用を許可または拒否します また カード会員データが含まれるデジタルファイルへのアクセスを制御します 要件 7: カード会員データへのアクセスを 業務上必要な範囲内に制限する権限を与えられた担当者のみが重要なデータにアクセスできるように システムおよびプロセスでは 職責に応じて必要な範囲にアクセスを制限する必要があります 必要な範囲 とは アクセス権が職務の実行に必要な最小限のデータ量および特権にのみ付与されることを示します 7.1 システムコンポーネントとカード会員データへのアクセスを 業務上必要な人に限定する アクセスを RBAC( ロールベースアクセス制御 ) などのアクセス制御を実装しているカード会員データ環境に制限する アクセスを 業務上必要な人に限定する 特定のカード会員データへのアクセスを許可されるユーザのリストを含むアクセス制御ポリシーを定式化する カード会員データへのアクセスを許可されるユーザ以外からのすべてのアクセスを拒否する 写真 : Wikimedia Commons 7.2 複数のユーザが使用するシステムコンポーネントで ユーザの必要性に基づいてアクセスが制限され 特に許可のない場合は すべてを拒否 に設定された アクセス制御システムを確立する

19 要件 8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる アクセスが可能な各ユーザに一意の ID を割り当てることで 重要なデータおよびシステムに対するアク ションは既知の承認されたユーザによって実行され そのユーザを追跡することが可能になります すべてのユーザに一意の ID を割り当てる 8.1 システムコンポーネントまたはカード会員データへのアクセスを許可する前に すべてのユーザに一意のユーザ名を割り当てる 8.2 パスワードまたはパスフレーズ 2 因子認証 ( 例 : トークンデバイス スマートカード 生体認証 公開鍵 ) など すべてのユーザを認証する方法を少なくとも 1 つ導入する 8.3 従業員 管理者 および第三者によるネットワークへのリモートアクセスには 2 因子認証を実装する RADIUS(Remote Authentication and Dial-In Service) またはTACACS(Terminal Access Controller Acceess Control System) とトークン または VPN(Virtual Private Network) と個々の証明書などのテクノロジを使用する 8.4 承認済みの標準に基づく強力な暗号化を使用して 保存時と送信時にすべてのシステムコンポーネントのすべてのパスワードを読み取り不能にする ペイメントシステムのすべてのユーザに一意の ID を割り当てる必要があります これによって 特定の作業者のすべてのアクションを追跡することができます 8.5 すべてのシステムコンポーネントで 消費者以外のユーザおよび管理者に対して適切なユーザ認証とパスワード管理を確実に行う 19

20 20 要件 9: カード会員データへの物理アクセスを制限するデータまたはカード会員データを格納するシステムへの物理アクセスは デバイス データ システムまた はハードコピーにアクセスしたり これらを削除する機会をユーザに提供するため 適切に制限する必要があります ペイメントシステムを物理的にセキュリティで保護する 9.1 適切な施設入館管理を使用して カード会員データ環境内のシステムへの物理アクセスを制限および監視する 9.2 カード会員データにアクセス可能なエリアでは特に すべての担当者が従業員と訪問者を容易に区別できるような手順を開発する 9.3 すべての訪問者に対して カード会員データが処理または保守されているエリアに入る前に承認を行い 有効期限があり 訪問者を非従業員として識別する物理トークンを与え 施設を出る前 または期限切れの日に物理トークンの返却を求める 9.4 訪問者ログを使用して 訪問者の情報および行動の物理的な監査証跡を保持する 法律によって別途定められていない限り ログを少なくとも 3 カ月間保管する 9.5 メディアバックアップを安全な場所に保管する ( オフサイト施設が望ましい ) 9.6 カード会員データを含むすべての紙および電子媒体を物理的にセキュリティで保護する 企業は カード会員データへのアクセスに対して 物理的なセキュリティを設定するか アクセス範囲を印字出力 保存メディア およびアクセスまたは保存に使用している装置に制限する必要があります PCI は電子データと紙の領収書の両方の保護を目的としていることを理解することが重要です 図 : Wikimedia Commons 9.7 カード会員データを含むあらゆる種類の媒体の内部または外部での配布に関して 厳格な管理を維持する 9.8 安全なエリアから移動されるカード会員データを含むすべての媒体を管理者が承認するようにする ( 特に媒体が個人に配布される場合 )

21 9.9 カード会員データを含む媒体の保管およびアクセスに関して厳格な管理を維持する 9.10 ビジネスまたは法律上の理由で不要になったカード会員データを含む媒体を破棄する すべてのアクティビティを監視する ネットワークの定期的な監視およびテスト 物理ネットワークおよびワイヤレスネットワークは ペイメントインフラストラクチャ内のすべてのエンドポイントおよびサーバを連結する役割を果たします ネットワーク装置およびシステムの脆弱性は ペイメントカードアプリケーションやカード会員データに犯罪者が不正アクセスする隙を生み出します 不正アクセスを防ぐには ネットワークを定期的に監視およびテストして 脆弱性を検出し 修正する必要があります 要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する ログ記録メカニズムおよびユーザの行動を追跡する機能は フォレンジックおよび脆弱性管理を効果的に行うために不可欠です すべての環境でログが存在することにより 何か不具合が発生した場合に徹底的な追跡および分析が可能になります 侵害の原因の特定は システムアクティビティログなしでは非常に困難です 組織は 店舗 地域オフィス 本社などのリモートアクセスによる カード会員データおよび関連するネットワークリソースへのすべてのアクセスを追跡および監視する必要があります 写真 : Wikimedia Commons 10.1 システムコンポーネントへのすべてのアクセス ( 特に 管理権限を使用して行われたアクセス ) を各ユーザにリンクするプロセスを確立する 10.2 カード会員データへのすべての個人ユーザアクセス ルート権限または管理権限を持つ個人によって行われたすべてのアクション すべての監査証跡へのアクセス 無効な論理アクセス試行 識別および認証メカニズムの使用 監査ログの初期化 システムレベルオブジェクトの作成および削除のイベントを再現するためにすべてのシステムコンポーネントの自動監査証跡を実装する 21

22 イベントごとに すべてのシステムコンポーネントについて少なくともユーザ ID イベントの種類 日付と時刻 成功または失敗を示す情報 イベントの発生元 影響を受けるデータ システムコンポーネント またはリソースの ID または名前などの監査証跡エントリを記録する 10.4 すべての重要なシステムクロックおよび時間を同期する 10.5 変更できないよう 監査証跡をセキュリティで保護する 10.6 少なくとも日に一度 セキュリティ機能に関連するすべてのシステムコンポーネントのログを確認する 10.7 監査証跡の履歴を少なくとも 1 年間保持し 少なくとも 3 カ月は履歴をすぐに分析できる状態にしておく 要件 11: セキュリティシステムおよびプロセスを定期的にテストする脆弱性は 悪意のある個人や研究者によって絶えず検出されており 新しいソフトウェアによって広められています システムコンポーネント プロセス およびカスタムソフトウェアを頻繁にテストして セキュリティを継続的に維持する必要があります セキュリティ管理のテストは 新しいソフトウェアの導入やシステム構成の変更など 環境が変更される場合に特に重要です 11.1 無線アナライザを少なくとも四半期に一度使用して または使用中のすべての無線デバイスを識別するための無線 IDS/IPS を導入して 無線アクセスポイントの存在をテストする 11.2 内部および外部のネットワーク脆弱性スキャンを 少なくとも四半期に一度およびネットワークの大幅な変更後に実行する ASV は内部スキャンを実行する必要がない 11.3 少なくとも年に一度 およびインフラストラクチャまたはアプリケーションの大幅なアップグレードまたは変更後に ネットワークインフラストラクチャおよびアプリケーションに対して外部および内部のペネトレーションテスト ( ネットワーク層およびアプリケーション層のペネトレーションテストなど ) を実施する 脆弱性スキャンの重大度レベル 5 緊急 : トロイの木馬 ファイルの読み取り / 書き込み攻撃 リモートコマンド実行 4 重大 : トロイの木馬 ファイルの読み取り / 書き込み攻撃の可能性がある 3 高 : 限定的な読み取り攻撃 ディレクトリ ブラウジング DoS 2 中 : 機密構成情報がハッカーに入手される可能性がある 1 低 : 構成情報がハッカーに入手される可能性がある 準拠を認定されるには レベル 3 4 または 5 に指定された脆弱性が存在しないことが不可欠です また 顧客インフラストラクチャ内のすべてのコンポーネントが準拠している必要があります スキャンレポートには PCI DSS 要件に違反する可能性がある機能や構成を示す脆弱性が含まれていてはなりません

23 11.4 ネットワークの侵入検知システムや侵入防止システムを使用して カード会員データ環境内のすべてのトラフィックを監視し 侵害の疑いがある場合は担当者に警告する IDS/IPS エンジンを最新状態に保つ 11.5 ファイル整合性監視ソフトウェアを導入して 重要なシステムファイル 構成ファイル またはコンテンツファイルの不正な変更を担当者に警告する 重要なファイルの比較を少なくとも週に一度実行するようにソフトウェアを構成する 情報セキュリティポリシーの整備 強力なセキュリティポリシーは 会社全体に影響するセキュリティの方向性を設定し 従業員に対して期待されるセキュリティ関連の責務を示します すべての従業員は カード会員データの極秘性とその保護に関する自身の責任を認識する必要があります PCI DSS は カード会員データの保護を強化するために役立つ最善のフレームワークを示しています また PCI DSS への準拠を通じて実現されるカード会員データのセキュリティを利用して 他の機密ビジネスデータの保護を強化し 他の基準や規制への準拠に対応する機会を示しています AberdeenGroup IT 業界アナリスト 要件 12: 従業員および派遣社員向けの情報セキュリティポリシーを整備する 12.1 すべての PCI DSS 要件に対応し 脆弱性を特定して正式にリスクを評価するプロセスを年に一度実施し 少なくとも年に一度および環境が変更されたときにレビューを実施することを規定するセキュリティポリシーを確立 公開 維持 および周知する 12.2 PCI DSS の要件と整合する日常的な運用上のセキュリティ手順を作成する 12.3 従業員に公開されている重要なテクノロジに関する使用ポリシーを作成して すべての従業員および請負業者向けにこれらのテクノロジの適切な使用を定義する 重要なテクノロジ の例として リモートアクセス 無線 リムーバブル電子メディア ラップトップ ハンドヘルドデバイス 電子メール インターネットなどが挙げられる 12.4 セキュリティポリシーおよび手順に すべての従業員および派遣社員の情報セキュリティに対する責任を明確に定義する 23

24 個人またはチームに 12.5 のサブセクションに規定された情報セキュリティの責任を割り当てる 12.6 正式なセキュリティに関する認識を高めるプログラムを実施して すべての従業員がカード会員データセキュリティの重要性を認識するようにする 12.7 雇用する前に 従業員を選別して 内部ソースからの攻撃リスクを最小限に抑える 12.8 カード会員データをサービスプロバイダと共有する場合は サービスプロバイダに PCI DSS のポリシーおよび手順の実施を義務付ける 12.9 インシデント対応計画を実施する システム違反に直ちに対応できるよう準備する PCI セキュリティに対応する代替コントロール 事業体が正当な技術上の制約または文書化されたビジネス上の制約のために記載されているとおりに明示的に要件を満たすことができないが その他の ( つまり代替の ) コントロールを通じて要件に関連するリスクを十分に軽減している場合 ほとんどの PCI DSS 要件に対して代替コントロールを検討することができます 代替コントロールが有効と認定されるためには QSA によってレビューされる必要があります 代替コントロールの有効性は コントロールが実装される環境 周囲のセキュリティコントロール およびコントロールの構成の詳細によって異なります 組織は 特定の代替コントロールが必ずしもすべての環境において有効ではないことを認識する必要があります 詳細については PCI DSS バージョン 1.2 の付録 B および C を参照してください

25 PCI DSS の準拠方法 カード会員のデータの保存 処理 転送を行う加盟店および組織は PCI DSS バージョン 1.2 に準拠する必要があります PCI SSC が管理するデータセキュリティ基準以外に 各カードブランドには準拠実施のための固有のプログラムがあります 各カードブランドは 自己評価を行う場合と認定セキュリティ評価機関を利用する場合の規定など 準拠の検証および報告の要件を独自に規定しています 各カードブランドが個別に規定した組織分類またはリスクレベルに応じて 加盟店金融機関に対する準拠および報告の検証は 通常 次の手法に従います 1. PCI DSS 範囲設定 PCI DSS の規定対象となるシステムコンポーネントを決定する 2. サンプリング 対象となるシステムコンポーネントのサブセットの準拠を検査する 3. 代替コントロール QSA が代替コントロールのテクノロジおよびプロセスを検証する 4. 報告 加盟店または組織が必要な文書を提出する 5. 分類 銀行の要求に応じて 加盟店または組織が報告書を明確化または修正する ( 該当する場合 ) 25 PCI DSS の準拠方法

26 26 加盟店金融機関に準拠の検証レベルに関する疑問点を質問する 検証レベルを加盟店に割り当てることができるのは加盟店金融機関のみです カードブランドの準拠プログラムへのリンクを次に示します American Express: Discover Financial Services: JCB International: MasterCard Worldwide: Visa Inc: Visa Europe: 認定セキュリティ評価機関の選択 認定セキュリティ評価機関 (QSA) は PCI Security Standards Council(PCI SSC) によるトレーニングを受けて認定され オンサイトセキュリティ評価を行って PCI DSS 準拠を検証するデータセキュリティ会社です QSA は次の実務を行います 加盟店またはサービスプロバイダから提供されたすべての技術情報を検証する 独自の判断によって 基準が満たされていることを確認する 準拠プロセス中のサポートとガイダンスを提供する 必要に応じてオンサイトでの評価の検証またはオンサイト訪問を行う PCI DSS 要件およびセキュリティ評価手順をサポートする作業生産物をレビューする PCI セキュリティ評価手順に従う 評価の対象範囲を決定する サンプリングが採用されているシステムおよびシステムコンポーネントを選択する 代替コントロールを評価する 最終的なレポートを作成する PCI DSS 評価の準備 文書の収集 : セキュリティポリシー 変更管理 ネットワーク図 PCI の書簡および通知 リソースのスケジュール作成 : IT セキュリティ アプリケーション 人事 法務部門のプロジェクトマネージャおよび主要担当者を参加させる環境の説明 : カード会員データ環境に関する情報 ( カード会員データフロー カード会員データリポジトリの場所など ) を整理する

27 QSA には 対象業務を熟知し 同様の組織のセキュリティ評価を経験している評価機関を選択する必要があります 知識豊富な QSA は PCI DSS に従ってカード会員データを保護する場合の業種固有のニュアン スを理解することができます また 評価対象企業の社風に合った QSA を選択することも重要です 評価 は準拠の有無に関わらず完了しますが QSA は評価対象の組織と協力して 準拠を達成および維持する 方法を模索します 多くの QSA は 継続的な脆弱性評価や改善などのセキュリティ関連サービスも実施しています QSA のリストについては 次の情報をご覧ください : 認定スキャニングベンダの選択 認定スキャニングベンダ (ASV) は スキャニングソリューションを利用して 顧客が PCI DSS の外部脆弱性スキャンの要件に準拠しているかどうかを判定するデータセキュリティ会社です ASV は PCI Security Standards Council(PCI SSC) によるトレーニングを受けて認定され PCI DSS に規定されたネットワークお よびシステムスキャンを実行します ASV は 固有のソフトウェア あるいは承認された市販ソリューショ ンまたはオープンソースソリューションを使用して準拠を検証します ASV のソリューションが顧客のシ ステムおよびデータに混乱を来たすことのないようにする必要があります システムの再起動 ドメイン ネームサーバ (DNS) のルーティング スイッチング アドレス解決との衝突やこれらの変更を引き起こすこ とは避けなければなりません ルートキットなどのソフトウェアは ソリューションの一部に含まれ 顧客か ら事前に承認を受けている場合を除いてインストールしないでください ASV ソリューションで許可され ないテストには サービス拒否 バッファオーバーフロー パスワードロックアウトを引き起こす総当たり攻撃 使用可能な通信帯域幅の過剰使用などがあります ASV のスキャニングソリューションには スキャニングツール 関連するスキャニングレポート スキャニングベンダと顧客との間で交わされた情報の処理などがあります ASV は 加盟店またはサービスプロバイダを代理して加盟店機関に準拠レポートを提出することができます ASV のリストについては 次の情報をご覧ください : 27

28 28 自己問診 (SAQ) の使用 SAQ は PCI DSS 準拠のオンサイト評価を受ける必要のない加盟店およびサービスプロバイダ向けの自己検証ツールです SAQ は 準拠に関するはい / いいえ形式の質問の集まりです 回答が いいえ の場 合は 今後の改善日と対応処置を示す必要があります 加盟店とその準拠検証プロセスにより沿った内容にするために SAQ は改変され 現在では 個々の加盟店またはサービスプロバイダの事業状況の複雑さに応じた柔軟性が認められるようになっています ( 下の表を参照 ) SAQ 検証タイプは加盟店の分類またはリスクレベルとは関連していません 自己問診 SAQ 検証タイプ説明 SAQ 1 カードを提示しない ( 電子商取引または通信販売 ) 加盟店で すべてのカード会員データ機能は外部に委託されている 対面式の加盟店に適用されることはありません 2 カード会員データを保存しない インプリントのみの加盟店 B 3 カード会員データを保存しない スタンドアロン型ダイアルアップ端末の加盟店 B 4 カード会員データを保存しない ペイメントアプリケーションシステムがインターネットに接続された加盟店 5 ( 上記の SAQ A ~ C の説明に含まれない ) 他のすべての加盟店 およびカードブランドにより SAQ を完了する資格があると定義されたすべてのサービスプロバイダ A C D

29 報告 報告は 加盟店およびその他の組織が加盟店金融機関に対して PCI DSS 準拠を確認する正式な手段です カードブランドの要件に応じて 加盟店およびサービスプロバイダは SAQ またはオンサイト評価による年 1 回の準拠証明書の提出が必要になる場合があります ( 詳細については PCI DSS バージョン 1.2 の付録 D および E を参照 ) また 四半期に一度 ネットワークスキャンレポートを提出する必要があります カードブランドが独自にその他の文書の提出を要求する場合もあります 詳細については 各カードブランドの Web サイトをご覧ください (URL は上記のとおり ) PCI DSS レポートに記載する情報 発見内容の概要 ( 全般的な記述 セキュリティ評価の詳細 ) ビジネス情報 ( 連絡先 業務内容 プロセサー関係 ) カード決済インフラストラクチャ ( ネットワーク図 トランザクションのフロー図 使用している POS 製品 ワイヤレス LAN またはワイヤレス POS 端末 あるいはその両方 ) 準拠プログラム 評価 ネットワークと IT リソースの脆弱性を評価します カード会員データへのアクセスと使用を常に監視する必要があります 分析用にデータのログを記録する必要があります是正カード会員データへの不正アクセスの脅威をもたらす脆弱性を修正する必要があります報告準拠レポートを提出し データ保護の管理が行われていることを証明します 外部関係 ( カード会員データを共有しているサービスプロバイダ カード決済会社との関係 PCI DSS 準拠が要求される国内および海外の 100% 出資子会社のリスト ) 29 Web リソース

30 Web リソース 30 PCI Security Standards Council(PCI SSC) の Web サイト よくある質問 (FAQ) メンバシップ情報 ウェビナー トレーニング ( 評価機関が対象 ) QSA: PA-DSS: PTS 認定装置 PIN トランザクションセキュリティ (PTS) 装置 : ペイメントアプリケーション : PCI データセキュリティ基準バージョン 1.2(PCI DSS) 基準 : サポート文書 : 認定された評価機関およびスキャニングベンダ : 基準のナビゲート : 自己問診 : 用語集 : 認定 QSA: 認定 ASV:

31 PCI Security Standards Council について PCI SSC の設立メンバ PCI Security Standards Council(PCI SSC) は 支払い口座のセキュリティに関するセキュリティ基準についての理解を育成 強化 普及 および支援することを目的に結成された国際的でオープンな団体です PCI SSC は Payment Card Industry セキュリティ基準を維持 発展 推進しています また 評価およびスキャ ンのガイドライン 自己問診 トレーニングと教育 製品認定プログラムなど 基準の実装に必要なツール も提供しています PCI SSC の設立メンバである American Express Discover Financial Services JCB International MasterCard Worldwide Visa Inc. は 各データセキュリティ準拠プログラムの技術的要件と して PCI データセキュリティ基準を採用することに同意しています また 設立メンバは PCI SSC によって 承認された認定セキュリティ評価機関と認定スキャニングベンダを PCI DSS の準拠を評価するために適 切であると認識しています PCI SSC の設立メンバである各カードブランドは PCI SSC の統括と運営を平等に分担しています レビューにはその他の業界関係者 ( 加盟店 ペイメントカード発行銀行 プロセサー ハードウェアおよび ソフトウェア開発者 その他のベンダなど ) も参加し 基準の追加や変更の提案が出されました 参加組織 加盟店 銀行 プロセサー ハードウェアおよびソフトウェア開発者 POS ベンダ 31 PCI Security Standards Council について

32 PCI データセキュリティ基準 PCI DSS バージョン 1.2 は 支払い口座データのセキュリティを強化するための包括的な要件を規定しています PCI DSS は最善のセキュリティ慣行を反映した常識的な手順を示しています この PCI クイックリファレンスガイド に記載されている PCI DSS の要件 セキュリティ管理および処理 準拠の評価手順について さらに知識を深めてください 目的安全なネットワークの構築と維持カード会員データの保護脆弱性管理プログラムの整備 PCI DSS 要件カード会員データを保護するために ファイアウォールをインストールして構成を維持するシステムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない保存されるカード会員データを保護するオープンな公共ネットワーク経由でカード会員データを伝送する場合 暗号化するアンチウィルスソフトウェアまたはプログラムを使用し 定期的に更新する安全性の高いシステムとアプリケーションを開発し 保守する 強固なアクセス制御手法の導入 7. カード会員データへのアクセスを 業務上必要な範囲内に制限する 8. コンピュータにアクセスできる各ユーザに一意の ID を割り当てること 9. カード会員データへの物理アクセスを制限する ネットワークの定期的な監視およびテスト 情報セキュリティポリシーの整備 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する セキュリティシステムおよびプロセスを定期的にテストする 従業員および派遣社員向けの情報セキュリティポリシーを整備する