文 書 の 変 更 日 付 バージョ ン 説 明 ページ 2008 年 10 月 1.2 PCI DSS v1.2 を PCI DSS 要 件 とセキュリティ 評 価 手 順 として 紹 介 するために ドキュメント 間 の 重 複 を 削 除 し PCI DSS セキュリティ 監 査 手 続 き

Transcription

1 Payment Card Industry(PCI) データセキュリティ 基 準 要 件 とセキュリティ 評 価 手 順 バージョン 3.0

2 文 書 の 変 更 日 付 バージョ ン 説 明 ページ 2008 年 10 月 1.2 PCI DSS v1.2 を PCI DSS 要 件 とセキュリティ 評 価 手 順 として 紹 介 するために ドキュメント 間 の 重 複 を 削 除 し PCI DSS セキュリティ 監 査 手 続 き v1.1 からの 一 般 的 な 変 更 および 固 有 の 変 更 を 行 った 詳 細 については PCI データセキュリティ 基 準 : PCI DSS バージョン 1.1 から 1.2 への 変 更 点 のまとめ を 参 照 してください 2009 年 7 月 2010 年 10 月 2013 年 11 月 PCI DSS v1.1 と v1.2 で 間 違 って 削 除 された 文 を 追 加 5 テスト 手 順 a と b の then を than に 修 正 32 テスト 手 順 6.5.b の 対 応 と 未 対 応 のグレイアウトのマーキングを 削 除 33 代 替 コントロールワークシート 完 成 例 の ページの 一 番 上 の 文 を このワークシートを 使 用 して 代 替 コントロールにより 対 応 と 記 載 された 要 件 について 代 替 コントロールを 定 義 します に 修 正 v1.2.1 からの 変 更 点 を 更 新 および 反 映 詳 細 については PCI DSS - PCI DSS バージョン から 2.0 への 変 更 点 のまとめ を 参 照 してください v2.0 からアップデート 詳 細 については PCI DSS - PCI DSS バージョン 2.0 から 3.0 への 変 更 点 のまと め を 参 照 してください 64 2 ページ

3 目 次 文 書 の 変 更 2 概 論 および PCI データセキュリティ 基 準 の 概 要... 5 PCI DSS リソース... 7 PCI DSS 適 用 性 情 報... 8 PCI DSS と PA-DSS との 関 係 PCI DSS 要 件 の 適 用 範 囲 ネットワークセグメンテーション ワイヤレス 第 三 者 サービスプロバイダ/アウトソーシングの 使 用 PCI DSS を 通 常 のプロセスに 実 装 するベストプラクティス 評 価 機 関 :ビジネス 設 備 とシステムコンポーネントのサンプリング 代 替 コントロール 準 拠 に 関 するレポートの 指 示 と 内 容 PCI DSS 評 価 プロセス PCI DSS 要 件 およびセキュリティ 評 価 手 順 の 詳 細 安 全 なネットワークの 構 築 と 維 持 要 件 1: カード 会 員 データを 保 護 するために ファイアウォールをインストールして 構 成 を 維 持 する 要 件 2: システムパスワードおよび 他 のセキュリティパラメータにベンダ 提 供 のデフォルト 値 を 使 用 しない カード 会 員 データの 保 護 要 件 3: 保 存 されるカード 会 員 データを 保 護 する 要 件 4: オープンな 公 共 ネットワーク 経 由 でカード 会 員 データを 伝 送 する 場 合 暗 号 化 する 脆 弱 性 管 理 プログラムの 維 持 要 件 5: すべてのシステムをマルウェアから 保 護 し ウィルス 対 策 ソフトウェアまたはプログラムを 定 期 的 に 更 新 する 要 件 6: 安 全 性 の 高 いシステムとアプリケーションを 開 発 し 保 守 する 強 力 なアクセス 制 御 手 法 の 導 入 要 件 7: カード 会 員 データへのアクセスを 業 務 上 必 要 な 範 囲 内 に 制 限 する 要 件 8: システムコンポーネントへのアクセスを 確 認 許 可 する 要 件 9: カード 会 員 データへの 物 理 アクセスを 制 限 する ネットワークの 定 期 的 な 監 視 およびテスト 要 件 10: ネットワークリソースおよびカード 会 員 データへのすべてのアクセスを 追 跡 および 監 視 する ページ

4 要 件 11: セキュリティシステムおよびプロセスを 定 期 的 にテストす 情 報 セキュリティポリシーの 維 持 要 件 12: すべての 担 当 者 の 情 報 セキュリティに 対 応 するポリシーを 維 持 す 付 録 A: 共 有 ホスティングプロバイダ 向 けの PCI DSS 追 加 要 件 付 録 B: 代 替 コントロール 付 録 C: 代 替 コントロールワークシート 付 録 D: ビジネス 設 備 とシステムコンポーネントのセグメンテーションとサンプリング ページ

5 概 論 および PCI データセキュリティ 基 準 の 概 要 Payment Card Industry データセキュリティ 基 準 (PCI DSS) は カード 会 員 データのセキュリティを 強 化 し 均 一 なデータセキュリティ 評 価 基 準 の 採 用 をグローバルに 推 進 するために 策 定 されました PCI DSS はカード 会 員 データを 保 護 するために 規 定 された 技 術 面 および 運 用 面 の 要 件 のベースラインとして 利 用 できます PCI DSS は 加 盟 店 プロセサー アクワイアラー 発 行 者 サービスプロバイダのほか カード 会 員 デー タ (CHD)や 機 密 認 証 データ(SAD)を 保 存 処 理 または 送 信 するその 他 の 事 業 体 などの ペイメントカードの 処 理 を 行 うすべての 事 業 体 に 適 用 されます 以 下 に 12 の PCI DSS 要 件 を 概 説 します PCI データセキュリティ 基 準 概 要 安 全 なネットワークとシステ ムの 構 築 と 維 持 カード 会 員 データの 保 護 脆 弱 性 管 理 プログラムの 維 持 強 力 なアクセス 制 御 手 法 の 導 入 ネットワークの 定 期 的 な 監 視 およびテスト 情 報 セキュリティポリシーの 維 持 1. カード 会 員 データを 保 護 するために ファイアウォールをインストール して 維 持 する 2. システムパスワードおよびその 他 のセキュリティパラメータにベンダ 提 供 のデフォルト 値 を 使 用 しない 3. 保 存 されるカード 会 員 データを 保 護 する 4. オープンな 公 共 ネットワーク 経 由 でカード 会 員 データを 伝 送 する 場 合 暗 号 化 する 5. マルウェアにしてすべてのシステムを 保 護 し ウィルス 対 策 ソフトウェ アを 定 期 的 に 更 新 する 6. 安 全 性 の 高 いシステムとアプリケーションを 開 発 し 保 守 する 7. カード 会 員 データへのアクセスを 業 務 上 必 要 な 範 囲 内 に 制 限 する 8. システムコンポーネントへのアクセスを 識 別 認 証 する 9. カード 会 員 データへの 物 理 アクセスを 制 限 する 10. ネットワークリソースおよびカード 会 員 データへのすべてのアクセスを 追 跡 および 監 視 する 11. セキュリティシステムおよびプロセスを 定 期 的 にテストする 12. すべての 担 当 者 の 情 報 セキュリティに 対 応 するポリシーを 維 持 する この 文 書 CI データセキュリティ 基 準 の 要 件 とセキュリティ 評 価 手 順 では 12 項 目 の PCI DSS 要 件 と これらの 要 件 に 該 当 するテスト 手 順 5 ページ

6 をセキュリティ 評 価 ツールに 統 合 しました この 文 書 は 事 業 体 の 検 証 プロセスの 一 部 としての PCI DSS 準 拠 の 評 価 作 業 において 使 用 するため に 作 成 されています 以 下 のセクションには PCI DSS 評 価 の 準 備 作 業 実 施 結 果 のレポート 作 成 を 行 う 事 業 体 をサポートするための 詳 細 な ガイドラインとベストプラクティスが 記 載 されています PCI DSS 要 件 とテスト 手 順 については 14 ページで 説 明 します 6 ページ

7 PCI DSS はカード 会 員 データを 保 護 するための 必 要 最 小 限 の 要 件 で 構 成 され リスクを 軽 減 する 追 加 の 規 制 や 慣 行 さらには 地 元 地 域 セク ターの 法 規 制 によって 強 化 される 場 合 があります さらに 法 律 または 規 制 上 の 要 件 により 個 人 を 特 定 できる 情 報 またはその 他 のデータ 要 素 (カード 会 員 名 など)の 特 定 の 保 護 が 必 要 になる 場 合 があります PCI DSS は 地 元 や 地 域 の 法 律 政 府 規 制 などの 法 的 要 件 に 取 って 代 わるもの ではありません PCI DSS リソース PCI Security Standards Council(PCI SSC)の Web サイト( 組 織 が 自 社 の PCI DSS の 評 価 と 検 証 を 行 う ために 利 用 できる 以 下 を 含 むその 他 のリソースが 掲 載 されています 以 下 を 含 む 文 書 ライブラリ: o o PCI DSS - PCI DSS バージョン 2.0 から 3.0 への 変 更 点 のまとめ PCI DSS クイックリファレンスガイド o PCI DSS と PA-DSS の 用 語 集 ( 用 語 略 語 および 頭 字 語 ) o o o o o 補 足 情 報 とガイドライン PCI DSS の 優 先 的 なアプローチ 準 拠 に 関 するレポート(ROC) レポートテンプレートおよびレポートの 手 引 き 自 己 問 診 (SAQ)と SAQ の 手 引 きとガイドライン 準 拠 証 明 書 (AOC) よくある 質 問 (FAQ) 小 規 模 加 盟 店 の Web サイト PCI トレーニングコースと 情 報 ウェビナー 認 定 セキュリティ 評 価 機 関 (QSA)と 認 定 スキャニングベンダ(ASV)に 関 するプログラムを 設 けています PTS 認 定 デバイスと PA-DSS 検 証 済 みペイメントアプリケーションのリスト 注 : 補 足 情 報 は PCI DSS を 補 足 し PCI DSS 要 件 を 満 たすための 追 加 の 考 慮 事 項 と 推 奨 事 項 を 指 定 します PCI DSS また はその 要 件 に 優 先 したり 取 って 代 わった り 拡 張 したりするものではありません これらおよびその 他 のリソースの 詳 細 については を 参 照 してください 7 ページ

8 PCI DSS 適 用 性 情 報 PCI DSS は 加 盟 店 プロセサー 取 得 者 発 行 者 サービスプロバイダのほか カード 会 員 データや 機 密 認 証 データを 保 存 処 理 または 送 信 するその 他 の 事 業 体 などの ペイメントカードの 処 理 を 行 うすべての 事 業 体 に 適 用 されます カード 会 員 データと 機 密 認 証 データの 定 義 は 次 の 通 りです アカウントデータ カード 会 員 データには 以 下 の 情 報 が 含 まれま す プライマリアカウント 番 号 (PAN) カード 会 員 名 有 効 期 限 サービスコード 機 密 認 証 データには 以 下 の 情 報 が 含 まれます 全 トラックデータ( 磁 気 ストライプ データまたはチップ 上 の 同 等 データ) CAV2/CVC2/CVV2/CID PIN または PIN ブロック プライマリアカウント 番 号 はカード 会 員 データを 定 義 する 要 素 です カード 会 員 名 サービスコード および 有 効 期 限 が PAN と 共 に 保 存 処 理 または 送 信 される 場 合 またはカード 会 員 データ 環 境 に 存 在 する 場 合 それらは 適 用 される PCI DSS 要 件 に 従 って 保 護 される 必 要 が あります PCI DSS 要 件 はアカウントデータ(カード 会 員 データや 機 密 認 証 データ)が 保 存 処 理 または 送 信 される 組 織 と 環 境 に 適 用 されます 一 部 の PCI DSS 要 件 は 支 払 業 務 や CDE 管 理 をアウトソースしている 組 織 にも 適 用 されます 1 CDE や 支 払 業 務 を 第 三 者 にアウトソースする 組 織 は また アカウントデータが 第 三 者 により PCI DSS 要 件 に 従 って 保 護 されていることを 確 認 する 責 任 があります 次 のページの 表 は カード 会 員 データと 機 密 認 証 データの 一 般 的 な 構 成 要 素 各 データ 要 素 の 保 存 が 許 可 されるか 禁 止 されるか 各 データ 要 素 を 保 護 する 必 要 があるかどうかを 示 したものです この 表 は 完 全 なものではありませんが 各 データ 要 素 に 適 用 されるさまざまな 種 類 の 要 件 を 示 しています 1 ペイメントブランド 準 拠 プログラムに 従 う 8 ページ

9 アカウントデータ カード 会 員 データ 機 密 認 証 デー タ 2 データ 要 素 プライマリアカウント 番 号 (PAN) 保 存 の 許 可 はい 要 件 3.4 に 従 って 保 存 されたデータを 読 み 取 り 不 能 にする はい カード 会 員 名 はい いいえ サービスコード はい いいえ 有 効 期 限 はい いいえ 全 トラックデータ 3 いいえ 要 件 3.2 に 従 って 保 存 できない CAV2/CVC2/CVV2/CID 4 いいえ 要 件 3.2 に 従 って 保 存 できない PIN/PIN ブロック 5 いいえ 要 件 3.2 に 従 って 保 存 できない PCI DSS 要 件 3.3 と 3.4 は PAN にのみ 適 用 されます PAN がカード 会 員 データの 他 の 要 素 と 共 に 保 存 された 場 合 PCI DSS 要 件 3.4 に 従 って PAN のみを 読 み 取 り 不 能 にする 必 要 があります 機 密 認 証 データは 承 認 後 たとえ 暗 号 化 していても 保 存 してはなりません これは 環 境 内 に PAN がない 場 合 にも 当 てはまります 組 織 はそのア クワイアラーや 個 々のペイメントブランドに 直 接 連 絡 し 承 認 前 に SAD を 保 存 することが 許 可 されているか どれだけの 期 間 ほど 許 可 されるか 関 連 した 使 用 保 存 要 件 について 確 認 してください 機 密 認 証 データは 承 認 後 (たとえ 暗 号 化 していても) 保 存 してはなりません 磁 気 ストライプのすべてのトラックのデータ チップ 上 の 同 等 のデータなど ペイメントカードの 前 面 または 裏 面 に 印 字 された 3 桁 または 4 桁 の 数 字 取 引 中 にカード 会 員 によって 入 力 される 個 人 識 別 番 号 または 取 引 メッセージ 内 に 存 在 する 暗 号 化 された PIN ブロック あるいはその 両 方 9 ページ

10 PCI DSS と PA-DSS との 関 係 PA-DSS アプリケーションに 対 する PA-DSS 適 用 性 ペイメントアプリケーションデータセキュリティ 基 準 (PA-DSS) 準 拠 アプリケーションを 単 独 で 使 用 しても 事 業 体 の PCI DSS 準 拠 は 確 立 さ れません これは そのアプリケーションが PCI DSS 準 拠 環 境 で 実 装 され ペイメントアプリケーションベンダが 提 供 する PA-DSS 実 装 ガイ ド に 従 っている 必 要 があるためです カード 会 員 データを 保 存 処 理 または 送 信 するすべてのアプリケーションは PA-DSS に 対 して 検 証 されたアプリケーションを 含 み 事 業 体 の PCI DSS 評 価 の 範 囲 に 入 ります PCI DSS 評 価 では PA-DSS 検 証 済 みのペイメントアプリケーションが PCI DSS 要 件 に 従 って 正 しく 設 定 されており セキュアに 実 装 されていることを 確 認 する 必 要 があります ペイメントアプリケーションのカスタマイズが 行 われている 場 合 には そのアプリケーションは PA-DSS で 検 証 済 みのバージョンとは 異 なっている 可 能 性 があるため PCI DSS 評 価 中 により 詳 細 なレビューが 必 要 に なります PA-DSS の 要 件 は PCI DSS 要 件 とセキュリティ 評 価 手 順 (この 文 書 で 定 義 )から 派 生 したものです PA-DSS には 顧 客 の PCI DSS 準 拠 を 容 易 にするためにペイメントアプリケーションが 満 たす 必 要 のある 要 件 が 詳 しく 記 述 されています 安 全 なペイメントアプリケーションは PCI DSS 準 拠 の 環 境 にインストールされることで PAN 全 トラックデータ カード 検 証 コードと 値 (CAV2 CID CVC2 CVV2) PIN と PIN ブロックの 侵 害 につながるセキュリティ 違 反 およびこれらの 違 反 から 生 じる 有 害 な 不 正 行 為 の 可 能 性 を 最 小 限 に 抑 えます 特 定 のペイメントアプリケーションに PA-DSS が 適 用 されるかどうかについては にある PA-DSS プログラム ガイド を 参 照 してください ペイメントアプリケーションベンダに 対 する PA-DSS 適 用 性 ペイメントアプリケーションベンダが 顧 客 のカード 会 員 データを 保 存 処 理 または 送 信 する 場 合 (サービスプロバイダなど) PCI DSS を 適 用 することができます 10 ページ

11 PCI DSS 要 件 の 適 用 範 囲 PCI DSS のセキュリティ 要 件 は カード 会 員 データ 環 境 に 含 まれる または 接 続 されるすべてのシステムコンポーネントに 適 用 されます カー ド 会 員 データ 環 境 (CDE)は カード 会 員 データまたは 機 密 認 証 データを 保 存 処 理 または 送 信 する 人 処 理 およびテクノロジで 構 成 され ます システムコンポーネント には ネットワークデバイス サーバ コンピュータ アプリケーションが 含 まれます システムコンポー ネントの 例 には 次 のものが 含 まれますが これらに 限 定 されるわけではありません セキュリティサービス( 認 証 サーバなど)を 提 供 する セグメンテーションを 促 進 する( 内 部 ファイアウォールなど) または CDE の セキュリティに 影 響 を 及 ぼす( 名 前 解 決 や Web リダイレクションなど)システム 仮 想 マシン 仮 想 スイッチ/ルーター 仮 想 機 器 仮 想 アプリケーション/デスクトップ ハイパーバイザなどの 仮 想 コンポーネント ファイアウォール スイッチ ルーター ワイヤレスアクセスポイント ネットワーク 機 器 その 他 のセキュリティ 機 器 を 含 むが これ らに 限 定 されないネットワークコンポーネント Web アプリケーション データベース 認 証 メール プロキシ ネットワークタイムプロトコル(NTP) ドメインネームサーバ (DNS)などを 含 むが これらに 限 定 されないサーバタイプ 内 部 および 外 部 (インターネットなど)アプリケーションを 含 む すべての 市 販 およびカスタムアプリケーション CDE 内 にあるか CDE に 接 続 されているその 他 のコンポーネントまたはデバイス PCI DSS 評 価 の 最 初 の 手 順 は レビューの 範 囲 を 正 確 に 決 定 することです 少 なくとも 年 に 一 度 毎 年 の 評 価 前 に 評 価 対 象 の 事 業 体 はカード 会 員 データの 場 所 とフローをすべて 識 別 し それらが PCI DSS の 範 囲 に 含 まれていることを 確 認 することによって PCI DSS の 範 囲 の 正 確 性 を 確 認 する 必 要 があります PCI DSS の 範 囲 の 正 確 性 と 適 用 性 を 確 認 するには 以 下 を 実 行 します 評 価 対 象 の 事 業 体 は 環 境 内 に 存 在 するすべてのカード 会 員 データを 識 別 および 文 書 化 して 現 在 定 義 されている CDE の 外 部 にカード 会 員 データが 存 在 していないことを 確 認 します カード 会 員 データのすべての 場 所 を 識 別 および 文 書 化 したら 事 業 体 はその 結 果 を 使 用 して PCI DSS の 範 囲 が 適 切 であることを 確 認 し ます(たとえば 結 果 はカード 会 員 データの 場 所 を 表 す 図 やインベントリである 場 合 があります) 事 業 体 は 見 つかったすべてのカード 会 員 データを PCI DSS 評 価 範 囲 内 にあり CDE の 一 部 であるものと 見 なします 事 業 体 が 現 在 CDE に 含 まれていないデータを 見 つけた 場 合 そのようなデータは 完 全 に 削 除 するか 現 在 定 義 されている CDE に 移 行 するか この データを 含 むように CDE を 再 定 義 する 必 要 があります 事 業 体 は PCI DSS の 範 囲 がどのように 決 められたかを 示 す 文 書 を 保 持 します この 文 書 は 評 価 担 当 者 のレビューのためか 翌 年 の PCI SCC の 範 囲 確 認 作 業 で 参 照 するために 保 持 されます それぞれの PCI DSS 評 価 で 評 価 者 は 評 価 が 正 確 に 定 義 されていて 文 書 化 されていることを 検 証 する 必 要 があります 11 ページ

12 ネットワークセグメンテーション カード 会 員 データ 環 境 のネットワークセグメンテーション またはカード 会 員 データ 環 境 の 残 りの 事 業 体 ネットワークからの 隔 離 (セグメント 化 )は PCI DSS 要 件 ではありません ただし ネットワークセグメンテーションは 以 下 を 引 き 下 げる 方 法 として 強 く 推 奨 されます PCI DSS 評 価 の 対 象 範 囲 PCI DSS 評 価 のコスト PCI DSS コントロールの 実 装 と 維 持 に 関 するコストおよび 難 易 度 組 織 のリスク(カード 会 員 データをコントロールが 強 化 された 少 数 の 場 所 に 統 合 することで 低 減 します) ネットワークセグメンテーションが 適 切 に 設 定 されていない 場 合 ( フラットネットワーク とも 呼 ばれます) ネットワーク 全 体 が PCI DSS 評 価 の 対 象 範 囲 になります ネットワークセグメンテーションは 適 切 に 構 成 された 内 部 ネットワークファイアウォール ネットワークの 特 定 セグメントへのアクセスを 制 限 する 強 力 なアクセス 制 御 リストまたは 他 のテクノロジを 持 つルーターなどのいくつかの 物 理 的 または 論 理 的 な 手 段 を 通 じて 実 現 できます PCI DSS の 範 囲 外 と 見 なされるシステムコンポーネントは 範 囲 外 のシステムコンポーネントが 侵 害 された 場 合 にも CDE のセキュリティに 影 響 しないように CDE から 適 切 に 分 離 (セグメンテーション)する 必 要 があります カード 会 員 データ 環 境 の 範 囲 を 狭 めるための 重 要 な 前 提 条 件 は カード 会 員 データの 保 存 処 理 または 伝 送 に 関 するビジネスニーズおよびプロ セスを 明 確 にすることです 不 必 要 なデータの 削 除 および 必 要 なデータの 統 合 により カード 会 員 データをできるだけ 少 ない 場 所 に 制 限 するに は 長 期 にわたるビジネスプラクティスのリエンジニアリングが 必 要 になる 可 能 性 があります データフロー 図 を 使 用 してカード 会 員 データフローを 文 書 化 することによって すべてのカード 会 員 データフローを 把 握 し すべてのネット ワークセグメンテーションがカード 会 員 データ 環 境 を 効 果 的 に 隔 離 していることを 確 認 できます ネットワークセグメンテーションが 設 定 されていて PCI DSS 評 価 範 囲 の 縮 小 に 使 用 されている 場 合 評 価 担 当 者 はネットワークセグメンテー ションが 評 価 範 囲 の 縮 小 に 適 していることを 確 認 する 必 要 があります ネットワークを 適 切 にセグメント 化 することによって カード 会 員 デー タを 保 存 処 理 伝 送 するシステムはそれ 以 外 のシステムから 高 いレベルで 隔 離 されます ただし ネットワークセグメンテーションの 特 定 の 実 装 が 適 切 であるかどうかは 特 定 ネットワークの 構 成 導 入 されているテクノロジ および 実 装 されている 他 のコントロールなどのいくつか の 要 因 によって 大 きく 左 右 されます 付 録 D: ビジネス 設 備 とシステムコンポーネントのセグメンテーションとサンプリング には ネットワークセグメンテーションの 有 効 性 と PCI DSS 評 価 範 囲 のサンプリングに 関 するその 他 の 情 報 が 記 載 されています ワイヤレス ワイヤレステクノロジを 使 用 してカード 会 員 データを 保 存 処 理 送 信 する 場 合 (POS トランザクション ラインバスティング(line-busting) など) またはワイヤレスローカルエリアネットワーク(WLAN)がカード 会 員 データ 環 境 に 接 続 されている 場 合 またはその 一 部 となっている 場 合 ワイヤレス 環 境 に 関 する PCI DSS 要 件 とテスト 手 順 も 適 用 され これらを 実 行 する 必 要 があります( 要 件 など) ワ イヤレステクノロジを 実 装 する 前 に 事 業 体 はテクノロジの 必 要 性 をリスクと 照 らし 合 わせて 注 意 深 く 評 価 する 必 要 があります ワイヤレステ クノロジは 機 密 でないデータを 伝 送 するためだけに 導 入 することも 検 討 してください 12 ページ

13 第 三 者 サービスプロバイダ/アウトソーシングの 使 用 年 に 一 度 オンサイト 評 価 を 受 ける 必 要 のあるサービスプロバイダは カード 会 員 データ 環 境 内 のシステムコンポーネントに 対 して 準 拠 確 認 を 行 う 必 要 があります サービスプロバイダまたは 加 盟 店 は 第 三 者 サービスプロバイダを 使 用 して カード 会 員 データを 保 存 処 理 伝 送 したり ルーター ファイア ウォール データベース 物 理 セキュリティ サーバなどのコンポーネントを 管 理 できます この 場 合 カード 会 員 データ 環 境 のセキュリティ に 影 響 する 可 能 性 があります 関 係 者 は サービスプロバイダの PCI DSS 評 価 範 囲 サービスプロバイダが 受 け 持 つ 特 定 の PCI DSS 要 件 およびサービスプロバイダの 顧 客 が 自 社 の PCI DSS レビューに 含 める 責 任 を 担 う 要 件 など サービスとシステムコンポーネントを 明 確 に 指 定 する 必 要 があります たとえば 管 理 下 のホスティングプロバイダは どの IP アドレスを 四 半 期 ごとの 脆 弱 性 スキャンの 一 部 としてスキャンするか どの IP アドレスをその 顧 客 自 身 による 四 半 期 スキャンに 含 めるかを 明 確 に 記 述 する 必 要 があります 第 三 者 サービスプロバイダの 準 拠 確 認 には 2 つのオプションがあります 1) 自 ら PCI DSS 評 価 を 行 い その 証 拠 を 顧 客 に 提 出 して 準 拠 していることを 示 すことができます または 2) 自 ら PCI DSS 評 価 を 行 わない 場 合 は 顧 客 の 各 PCI DSS 評 価 期 間 中 にサービスのレビューを 受 ける 必 要 があります 第 三 者 サービスプロバイダが 自 らの PCI DSS 評 価 を 行 う 場 合 自 社 による PCI DSS 評 価 の 範 囲 がその 顧 客 に 該 当 するサービスを 含 んでおり 関 連 する PCI DSS 要 件 が 審 査 され 満 たされていることが 確 認 されたことを 十 分 に 実 証 する 証 拠 を 顧 客 に 提 供 する 必 要 があります サービスプ ロバイダが 顧 客 に 提 供 する 証 拠 の 種 類 は 当 事 者 間 で 締 結 された 契 約 によって 異 なります たとえば AOC やサービスプロバイダの ROC( 機 密 情 報 を 保 護 するために 改 訂 )の 関 連 セクションは その 情 報 の 一 部 またはすべてを 提 供 するのに 役 立 ちます また 加 盟 店 とサービスプロバイダは カード 会 員 データへのアクセス 権 を 持 つ 関 連 するすべての 第 三 者 サービスプロバイダの PCI DSS 準 拠 を 管 理 および 監 視 する 必 要 があります 詳 細 については この 文 書 の 要 件 12.8 を 参 照 してください 13 ページ

14 PCI DSS を 通 常 のプロセスに 実 装 するベストプラクティス セキュリティコントロールが 適 切 に 実 施 されていることを 確 認 するには PCI DSS を 事 業 体 の 総 合 セキュリティ 戦 略 の 一 環 として 日 常 業 務 (BAU)に 組 み 込 む 必 要 があります これにより 事 業 体 が 自 社 のセキュリティコントロールの 有 効 性 を 継 続 的 に 監 視 し PCI DSS 評 価 間 の PCI DSS 準 拠 環 境 を 維 持 できます PCI DSS を BAU 活 動 に 組 み 込 む 方 法 の 例 には 次 のようなものがありますが これらに 限 定 されません 1. セキュリティコントロールの 監 視 - ファイアウォール 侵 入 検 知 システム/ 侵 入 防 止 システム(IDS/IPS) ファイル 整 合 性 監 視 (FIM) アンチウイルス アクセス 制 御 など - により 効 果 的 かつ 意 図 された 運 用 を 確 保 す 2. セキュリティコントロールの 失 敗 は すべてタイムリーに 検 出 され 対 処 されたことを 確 認 すセキュリティコントロールの 失 敗 に 対 処 するためのプロセスには 以 下 のよ うなものがあります セキュリティコントロールの 復 元 失 敗 の 原 因 特 定 セキュリティコントロールが 失 敗 した 際 に 発 生 したセキュリティ 問 題 を 特 定 し 対 処 する 移 行 (プロセスやテクニカルコントロールなど)を 行 うことにより 失 敗 の 再 発 を 防 止 する 一 定 期 間 監 視 を 強 化 してセキュリティコントロールの 監 視 を 再 開 し コントロールが 効 果 的 に 行 われていることを 確 認 する 3. 変 更 ( 新 しいシステムの 追 加 システムまたはネットワーク 設 定 の 変 更 など)を 完 了 する 前 に 環 境 への 変 更 を 確 認 し 以 下 を 行 う PCI DSS の 範 囲 に 対 する 潜 在 的 な 影 響 を 特 定 する(たとえば CDE 内 のあるシステムと 別 のシステム 間 の 接 続 を 許 可 するという 新 しいファイアウォール 規 則 により 追 加 のシステムまたはネットワークが PCI DSS の 範 囲 内 に 含 まれるようになるなど) 変 更 の 影 響 を 受 けるシステムとネットワークに 適 用 される PCI DSS 要 件 を 特 定 する(たとえば 新 しいシステムが PCI DSS の 範 囲 内 にある 場 合 それを FIM AV パッチ 監 査 ログなどのシステム 設 定 規 格 に 従 って 設 定 し 四 半 期 ごとの 脆 弱 性 スキャンスケジュールに 追 加 する 必 要 がある) 必 要 に 応 じて PCI DSS の 範 囲 を 更 新 し セキュリティコントロールを 導 入 する 4. 組 織 構 造 への 変 更 ( 会 社 の 合 併 や 買 収 など)があった 場 合 は PCI DSS の 範 囲 と 要 件 への 影 響 の 正 式 なレビューをする 必 要 があります 5. 定 期 的 なレビューと 連 絡 により PCI DSS の 要 件 が 引 き 続 き 満 たされており 担 当 者 がセキュアプロセスに 従 っていることを 確 認 する 必 要 があります これらの 定 期 レビューは 小 売 店 データセンターなどを 含 むすべての 施 設 や 場 所 を 対 象 とし システムコンポーネント(またはシステムコンポーネントのサンプル)のレビューによ り PCI DSS の 要 件 が 引 き 続 き 満 たされていること 設 定 規 格 が 適 用 されていること パッチや AV が 最 新 のものであること 監 査 ログがレビューされていることな どを 確 認 する 必 要 があります 定 期 レビューの 頻 度 は 事 業 体 によってその 環 境 のサイズと 複 雑 さに 応 じて 決 定 されます これらのレビューはまた 事 業 体 による 次 回 の 準 拠 評 価 の 準 備 において 監 査 ログ 脆 弱 性 スキャンレポート ファイアウォールレビューなど 適 切 な 証 拠 が 保 持 さ れていることの 証 として 使 用 することもできます 6. ハードウェアとソフトウェアのテクノロジを 少 なくとも 年 に 一 度 レビューして 引 き 続 きベンダによりサポートされており PCI DSS などの 事 業 体 のセキュリティ 要 件 を 満 たしていることを 確 認 します テクノロジがベンダによりサポートされなくなったか 事 業 体 のセキュリティニーズを 満 たすことができなくなった 場 合 事 業 体 は 必 要 に 応 じてテクノロジの 置 き 換 えに 至 るまでの 修 正 計 画 を 準 備 する 必 要 があります 14 ページ

15 上 記 の 実 践 に 加 え 組 織 は セキュリティおよび/または 監 査 部 門 が 運 用 部 門 から 独 立 するよう セキュリティ 部 門 の 責 任 分 離 を 実 装 することを 考 慮 する 場 合 があります 個 人 が 複 数 の 役 割 を 担 うような 環 境 では( 管 理 者 とセキュリティ 運 用 など) 独 立 したチェックポイントを 利 用 せずに 個 人 がエンドツーエンドのプロセスコントロールを 持 たな いよう 責 任 を 割 り 当 てる 必 要 があります たとえば 構 成 の 責 任 と 変 更 を 承 認 する 責 任 は 別 々の 個 人 に 割 り 当 てます 注 : 日 常 プロセスに PCI DSS を 実 装 するためのこれらのベストプラクティスは 推 奨 およびガイダンスとしてのみ 提 供 されており PCI DSS 要 件 を 置 き 換 えるまたは 拡 張 するものではありません 15 ページ

16 評 価 機 関 :ビジネス 設 備 とシステムコンポーネントのサンプリング サンプリングは ビジネス 設 備 および/またはシステムコンポーネントの 数 が 多 い 場 合 に 評 価 プロセスの 実 行 を 容 易 にするため 評 価 機 関 が 使 用 できるオプションのひとつです 評 価 機 関 が 事 業 体 の PCI DSS 準 拠 レビューの 一 環 としてビジネス 設 備 /システムコンポーネントをサンプルすることは 問 題 ありませんが 事 業 体 がその 環 境 (たとえば 四 半 期 ごとの 脆 弱 性 スキャンの 要 件 がすべてのシステムコンポーネントに 適 用 される)のサンプルのみに PCI DSS 要 件 を 適 用 することはできません 同 様 に 評 価 機 関 が PCI DSS 要 件 のサンプルのみの 準 拠 をレビューすることはできません 評 価 対 象 となる 環 境 全 体 の 範 囲 と 複 雑 さを 考 慮 した 後 で 評 価 担 当 者 は PCI DSS 要 件 に 関 する 事 業 体 の 準 拠 状 態 を 評 価 するために ビジネス 設 備 とシステムコンポーネントの 代 表 的 なサンプルを 個 別 に 選 択 できます 最 初 にビジネス 設 備 のサンプルを 定 義 し 次 に 選 択 した 各 ビジネス 設 備 のシステムコンポーネントを 定 義 する 必 要 があります ビジネス 設 備 のすべてのタイプと 場 所 および 選 択 されたビジネス 設 備 内 のシステ ムコンポーネントのすべてのタイプから 代 表 的 なものを 選 択 する 必 要 があります 評 価 担 当 者 が 予 定 どおりにコントロールが 実 装 されている と 確 信 できるほど 十 分 な 量 でなければなりません ビジネス 設 備 の 例 として 会 社 のオフィス 店 舗 フランチャイズ 場 所 処 理 設 備 データセンター さまざまな 場 所 のビジネス 設 備 などが 挙 げられます サンプリングには 選 択 された 各 ビジネス 設 備 のシステムコンポーネントが 含 まれている 必 要 があります たとえば 選 択 された 各 ビジネス 設 備 について レビュー 対 象 領 域 で 使 用 されるさまざまなオペレーティングシステム 機 能 アプリケーションを 含 めます 例 として 評 価 担 当 者 は 各 ビジネス 設 備 で Apache を 実 行 する Sun サーバ Oracle を 実 行 する Windows サーバ 従 来 のカード 処 理 アプリ ケーションを 実 行 するメインフレームシステム HP-UX を 実 行 するデータ 転 送 サーバ MYSQL を 実 行 する Linux サーバなどを 含 むサンプルを 定 義 できます すべてのアプリケーションが 単 一 OS (Windows 7 や Solaris 10 など) 上 で 実 行 されている 場 合 も サンプルには 各 種 のアプリ ケーション(データベースサーバ Web サーバ データ 転 送 サーバなど)が 含 まれている 必 要 があります ビジネス 設 備 とシステムコンポーネントのサンプルを 個 別 に 選 択 する 場 合 評 価 担 当 者 は 以 下 を 考 慮 する 必 要 があります 整 合 性 を 確 保 し 各 ビジネス 設 備 /システムコンポーネントが 従 うべき 標 準 的 な 一 元 化 された PCI DSS セキュリティおよび 運 用 プロセス/ コントロールがある 場 合 サンプルは 標 準 プロセス/コントロールがない 場 合 に 必 要 とされる 量 より 少 なくて 済 みます サンプルは す べてのビジネス 設 備 /システムコンポーネントが 標 準 プロセスに 合 わせて 構 成 されていると 評 価 担 当 者 が 確 信 できるほど 十 分 な 量 でなけ ればなりません 評 価 担 当 者 は 標 準 化 された 一 元 管 理 が 実 装 されており 効 果 的 に 機 能 していることを 確 認 する 必 要 があります 複 数 タイプの 標 準 のセキュリティおよび 運 用 プロセスがある 場 合 (さまざまなタイプのビジネス 設 備 /システムコンポーネントなど) サンプルは 各 プロセスタイプでセキュリティ 保 護 されたビジネス 設 備 /システムコンポーネントを 含 む 十 分 な 量 でなければなりません 標 準 の PCI DSS プロセス/コントロールがなく 各 ビジネス 設 備 /システムコンポーネントが 標 準 以 外 のプロセスによって 管 理 されている 場 合 サンプルは 各 ビジネス 設 備 /システムコンポーネントにおいて PCI DSS 要 件 が 適 切 に 実 装 されていると 評 価 担 当 者 が 確 信 できるほ ど 十 分 な 量 でなければなりません 16 ページ

17 システムコンポーネントのサンプリングには 使 用 中 のすべての 種 類 と 組 み 合 わせを 含 む 必 要 があります たとえば アプリケーション をサンプルするとき 各 種 類 のアプリケーションのすべてのバージョンとプラットフォームを 含 める 必 要 があります サンプリングを 使 用 する 状 況 ごとに 評 価 担 当 者 は 以 下 を 実 行 する 必 要 があります サンプリング 方 法 とサンプルサイズの 根 拠 を 文 書 化 す サンプルサイズの 決 定 に 使 用 した 標 準 的 な PCI DSS プロセスとコントロールを 文 書 化 および 検 証 す サンプルが 母 集 団 全 体 を 代 表 する 適 切 なものであることを 説 明 す 関 連 項 目 : 付 録 D: ビジネ ス 設 備 とシステムコンポー ネントのセグメンテーショ ンとサンプリング 評 価 担 当 者 はサンプリングの 根 拠 を 評 価 ごとに 再 検 証 する 必 要 があります サンプルを 使 用 する 場 合 は ビジネス 設 備 /システムコンポーネント のさまざまなサンプルを 各 評 価 ごとに 選 択 する 必 要 があります 代 替 コントロール 年 に 一 度 評 価 担 当 者 は 代 替 コントロールをすべて 文 書 化 レビュー 検 証 し 付 録 B: 代 替 コントロール および 付 録 C: 代 替 コントロー ルワークシート に 従 って 準 拠 に 関 するレポートに 含 める 必 要 があります 代 替 コントロールごとに 代 替 コントロールワークシート( 付 録 C)を 記 入 する 必 要 があります また 代 替 コントロールの 結 果 を 対 応 する PCI DSS 要 件 セクション 内 の ROC に 文 書 化 する 必 要 があります 代 替 コントロールの 詳 細 については 上 述 の 付 録 B と C を 参 照 してください 17 ページ

18 準 拠 に 関 するレポートの 指 示 と 内 容 準 拠 に 関 するレポート(ROC)の 指 示 と 内 容 は PCI DSS ROC レポートテンプレートにて 提 供 されています PCI DSS ROC レポートテンプレートは 準 拠 に 関 するレポートを 作 成 するためのテンプレートとして 使 用 する 必 要 があります 評 価 対 象 の 事 業 体 は 各 ペイメントブランドが 事 業 体 の 準 拠 状 況 を 認 識 できるように ペイメントブランドごとのレポート 要 件 に 従 う 必 要 があります レポー ト 要 件 と 作 成 手 順 については 各 ペイメントブランドまたはアクワイアラーに 問 い 合 わせてください 18 ページ

19 PCI DSS 評 価 プロセス 1. PCI DSS 評 価 の 対 象 範 囲 を 確 認 します 2. 各 要 件 のテスト 手 順 に 従 って 環 境 の PCI DSS 評 価 を 行 います 3. 必 要 に 応 じて 未 対 応 項 目 の 修 正 を 行 います 4. すべての 代 替 コントロールの 記 録 を 含 む 該 当 する 評 価 レポート( 自 己 問 診 (SAQ)または 準 拠 に 関 するレポート(ROC))を 該 当 する PCI ガイダンスと 指 示 書 に 従 って 作 成 します 5. サービスプロバイダまたは 加 盟 店 に 対 する 準 拠 証 明 書 を 完 成 させます 準 拠 証 明 書 は PCI SSC Web サイトから 入 手 可 能 です 6. SAQ または ROC 準 拠 証 明 書 を 他 の 必 須 文 書 とともに アクワイアラー( 加 盟 店 の)またはペイメントブランドまたは 他 の 要 求 者 (サービスプロバイダの)に 提 出 します 19 ページ

20 PCI DSS 要 件 およびセキュリティ 評 価 手 順 の 詳 細 以 下 に PCI DSS 要 件 およびセキュリティ 評 価 手 順 に 関 する 表 の 列 見 出 しを 定 義 します PCI DSS 要 件 - この 列 では データセキュリティ 基 準 要 件 を 定 義 します これらの 要 件 に 照 合 して PCI DSS 準 拠 が 検 証 されます テスト 手 順 - この 列 には PCI DSS 要 件 に 対 応 していることを 検 証 するために 評 価 担 当 者 が 行 うプロセスが 表 示 されています ガイダンス この 列 には 各 PCI DSS 要 件 の 意 図 とセキュリティ 目 標 が 表 示 されています この 列 には ガイダンスのみ 表 示 され 各 要 件 の 意 図 を 理 解 しやすくすることを 目 的 としています この 列 のガイダンスは PCI DSS 要 件 およびテスト 手 順 を 置 き 換 えたり 拡 張 するものではありません 注 : コントロールがまだ 導 入 されていないか 将 来 の 日 付 に 完 了 する 予 定 の 場 合 には PCI DSS 要 件 に 未 対 応 と 見 なされます 事 業 体 が 未 解 決 または 未 対 応 項 目 に 対 処 した 後 評 価 担 当 者 は 対 策 が 施 され すべての 要 件 が 満 たされていることを 再 評 価 します PCI DSS 評 価 の 文 書 化 については 以 下 のリソース(PCI SSC Web サイトで 入 手 可 )を 参 照 してください 準 拠 に 関 するレポート(ROC)の 作 成 手 順 については PCI DSS ROC レポートテンプレートを 参 照 してください 自 己 問 診 (SAQ)の 記 入 方 法 については PCI DSS SAQ に 関 する 指 示 およびガイドラインを 参 照 してください PCI DSS 準 拠 の 検 証 レポートの 提 出 手 順 については PCI DSS 準 拠 の 証 明 書 を 参 照 してください 20 ページ

21 安 全 なネットワークの 構 築 と 維 持 要 件 1: カード 会 員 データを 保 護 するために ファイアウォールをインストールして 構 成 を 維 持 する ファイアウォールは 事 業 体 のネットワーク( 社 内 )と 信 頼 できないネットワーク( 外 部 )とのコンピュータトラフィック および 事 業 体 の 信 頼 できる 内 部 ネットワーク 内 の 機 密 性 の 高 い 領 域 へのトラフィックを 制 御 するデバイスです 事 業 体 の 信 頼 できるネットワーク 内 の 非 常 に 機 密 性 の 高 いエリアの 例 として カード 会 員 データ 環 境 が 挙 げられます ファイアウォールはすべてのネットワークトラフィックを 調 べて 指 定 されたセキュリティ 基 準 を 満 たさない 伝 送 をブロックします すべてのシステムは 電 子 商 取 引 従 業 員 のデスクトップブラウザからのインターネットアクセス 従 業 員 の 電 子 メールによるアクセス B2B 接 続 などの 専 用 接 続 ワイヤレスネットワーク その 他 のソースを 介 したシステムへのアクセスなど 信 頼 できないネットワークからの 不 正 な アクセスから 保 護 されなければなりません しばしば 信 頼 できないネットワークへの(からの) 問 題 ないように 思 われるアクセス 経 路 が 重 要 なシステムへの 侵 入 経 路 になっていることがあります ファイアウォールは すべてのコンピュータネットワークのための 重 要 な 保 護 メカ ニズムです 要 件 1 に 記 載 されているファイアウォールの 最 小 要 件 を 他 のシステムコンポーネントが 満 たしている 場 合 は それらのファイアウォール 機 能 を 利 用 できます カード 会 員 データ 環 境 内 の 他 のシステムコンポーネントのファイアウォール 機 能 を 使 用 している 場 合 は 要 件 1 の 評 価 範 囲 にそ れらのデバイスが 含 まれている 必 要 があります PCI DSS 要 件 テスト 手 順 ガイダンス 1.1 以 下 を 含 むファイアウォールとルーターの 構 成 基 準 を 確 立 し 実 施 する: すべてのネットワーク 接 続 およびファ イアウォール/ルーター 構 成 への 変 更 を 承 認 お よびテストする 正 式 なプロセス 1.1 ファイアウォール/ルーター 構 成 基 準 および 以 下 で 指 定 された その 他 の 文 書 を 検 査 し 標 準 が 完 全 であり 以 下 のように 実 施 さ れていることを 確 認 する: a 文 書 化 された 手 順 を 調 べて すべてをテストし 承 認 する ための 正 式 なプロセスがあることを 確 認 す ネットワーク 接 続 および ファイアウォール/ルーター 構 成 の 変 更 b ネットワーク 接 続 のサンプルでは 責 任 者 をインタ ビューし 記 録 を 検 査 してネットワーク 接 続 が 承 認 されてテス トされていることを 確 認 す c ファイアウォールおよびルーター 構 成 に 実 際 に 加 えられ ファイアウォールとルーターは ネットワークへ の 出 入 りを 管 理 するアーキテクチャの 重 要 コン ポーネントです これらのデバイスは 不 要 なア クセスをブロックし ネットワークに 出 入 りする 承 認 済 みアクセスを 管 理 するソフトウェアまたは ハードウェアデバイスです 構 成 基 準 と 手 順 は データを 保 護 するための 組 織 における 防 御 の 第 一 線 の 強 度 を 維 持 するのに 役 立 ちます ファイアウォールとルーターへのすべての 接 続 と 変 更 を 承 認 およびテストするために 文 書 化 されて 実 施 されているプロセスは ネットワーク ルー ター またはファイアウォールの 誤 った 構 成 によ り 発 生 するセキュリティ 上 の 問 題 を 防 ぐのに 役 立 ちます 変 更 の 正 式 な 承 認 とテストなしでは 変 更 の 記 録 が 更 新 されず ネットワーク 文 書 と 実 際 の 構 成 間 に 不 整 合 が 生 じる 原 因 となります 21 ページ

22 1.1.2 ワイヤレスネットワークなど カード 会 員 データ 環 境 とその 他 のネットワーク 間 の すべての 接 続 をを 示 す 最 新 ネットワーク 図 システムとネットワーク 内 でのカード 会 員 データのフローを 示 す 最 新 図 各 インターネット 接 続 および DMZ (demilitarized zone)と 内 部 ネットワーク ゾーンとの 間 のファイアウォール 要 件 ネットワークコンポーネントを 管 理 す るためのグループ 役 割 責 任 に 関 する 記 述 使 用 が 許 可 されているすべてのサービ ス プロトコル ポートの 文 書 化 および 使 用 が 許 可 されている 業 務 上 の 理 由 ( 安 全 でな いとみなされているプロトコルに 実 装 されて た 変 更 のサンプルを 特 定 し 変 更 記 録 と 比 較 して 責 任 者 をイ ンタビューして 変 更 が 承 認 されテストされたことを 確 認 す a ネットワーク 図 を 検 査 してネットワーク 構 成 を 観 察 し 現 在 のネットワーク 図 が 存 在 すること また その 文 書 がワイ ヤレスネットワークを 含 む カード 会 員 データへの 全 接 続 を 含 んでいることを 確 認 す b 責 任 者 をインタビューして 図 が 最 新 のものであること を 確 認 す a データフロー 図 を 調 べ 担 当 者 をインタビューして 図 を 確 認 す システムとネットワーク 内 でのすべてのカード 会 員 デー タのフローを 示 す 最 新 状 態 に 保 たれており 環 境 に 変 化 があれば 必 要 に 応 じて 更 新 されている a ファイアウォール 構 成 基 準 を 調 べて 各 インターネッ ト 接 続 および DMZ と 内 部 ネットワークゾーンとの 間 のファ イアウォール 要 件 が 含 まれていることを 確 認 す b 現 在 のネットワーク 図 が ファイアウォール 構 成 基 準 と 一 致 していることを 確 認 す c 文 書 化 されている 構 成 基 準 とネットワーク 図 に 基 づき ネットワーク 構 成 を 見 て 各 インターネット 接 続 および 非 武 装 地 帯 (DMZ)と 内 部 ネットワークゾーンとの 間 にファイア ウォールがあることを 確 認 す a ファイアウォールおよびルーター 構 成 基 準 に ネット ワークコンポーネントの 管 理 のためのグループ 役 割 責 任 に 関 する 記 述 が 含 まれていることを 確 認 す b ネットワークコンポーネントの 管 理 責 任 者 をインタ ビューし 文 書 通 りに 役 割 と 責 任 が 割 り 当 てられていることを 確 認 す a ファイアウォール/ルーター 構 成 基 準 に 業 務 における 必 要 性 を 含 む すべてのサービス プロトコル ポートを 文 書 化 したリストが 含 まれていることを 確 認 する(HTTP(ハイ パーテキストプロトコル) SSL(セキュアソケットレイ ヤ) SSH(セキュアシェル) VPN( 仮 想 プライベートネッ ネットワーク 図 は ネットワークの 構 成 とすべて のネットワークデバイスの 位 置 を 示 します 最 新 のネットワーク 図 がないと デバイスが 見 過 ごされ PCI DSS 用 に 実 装 されるセキュリティ コントロールから 誤 って 外 れ 侵 害 を 受 けやすく なる 可 能 性 があります カード 会 員 データフロー 図 は ネットワーク 内 で 保 存 処 理 または 送 信 されたすべてのカード 会 員 データの 場 所 を 示 します ネットワーク 図 とカード 会 員 データフロー 図 は ネットワーク 内 および 個 々のデバイス 間 のカード 会 員 データのデータフローを 示 すことで 組 織 が カード 会 員 データ 環 境 の 範 囲 を 理 解 し 追 跡 する ことができるようにします ネットワークへの(およびネットワークからの) すべての 接 続 に 対 してファイアウォールを 使 用 す ることで 組 織 はアクセスを 監 視 および 管 理 し 悪 意 のある 者 が 内 部 ネットワークにアクセスする 可 能 性 を 最 小 限 に 抑 えることができます この 役 割 と 責 任 の 割 り 当 ての 記 述 により スタッ フがすべてのネットワークコンポーネントについ て 各 コンポーネントのセキュリティの 責 任 者 は 誰 かを 知 り コンポーネントの 管 理 を 任 された 責 任 者 が 各 自 の 責 任 を 認 識 できるようになります 役 割 と 責 任 が 正 式 に 割 り 当 てられないと デバイ スは 管 理 されないままになる 可 能 性 があります 未 使 用 または 安 全 でないサービスとポートには 多 くの 既 知 の 脆 弱 性 があるため 多 くの 場 合 侵 害 はこれらが 原 因 で 発 生 します 多 くの 組 織 は (その 脆 弱 性 がいまだに 存 在 するにもかかわら ず) 使 用 しないサービス プロトコル ポートの 22 ページ

23 いるセキュリティ 機 能 の 文 書 化 など) 安 全 でないサービス プロトコル ポートの 例 として FTP Telnet POP3 IMAP SNMP v1 および v2 などがあるがこれらに 限 定 されない ファイアウォールおよびルーターの ルールセットは 少 なくとも 6 カ 月 ごとにレ ビューされる 必 要 がある 1.2 信 頼 できないネットワークとカード 会 員 データ 環 境 内 のすべてのシステムコンポーネン トの 接 続 を 制 限 する ファイア ウォール 構 成 を 構 築 す 注 : 信 頼 できないネットワーク とは レ ビュー 対 象 の 事 業 体 に 属 するネットワーク 外 の ネットワーク または 事 業 体 の 制 御 または 管 理 が 及 ばないネットワーク(あるいはその 両 方 ) のことであ トワーク)プロトコルなど) b 使 用 が 許 可 されているが 安 全 でないサービス プロトコ ル ポートを 識 別 し セキュリティ 機 能 が 文 書 化 されているこ とを 確 認 す c ファイアウォールとルーターの 構 成 を 検 査 し 文 書 化 さ れているセキュリティ 機 能 が 安 全 でない 各 サービス プロトコ ル ポートに 実 装 されていることを 確 認 す a ファイアウォール/ルーター 構 成 基 準 で ファイア ウォールおよびルーターのルールセットを 少 なくとも 6 カ 月 ご とにレビューするように 要 求 していることを 確 認 す b ルールセットのレビューに 関 連 した 文 書 を 検 査 し 担 当 者 をインタビューすることで ルールセットが 少 なくとも 6 カ 月 ごとにレビューされていることを 確 認 す 1.2 ファイアウォール/ルーター 構 成 を 調 べて 信 頼 できないネッ トワークとカード 会 員 データ 環 境 内 のシステムコンポーネント 間 で 接 続 が 制 限 されていることを 確 認 す セキュリティ 脆 弱 性 のパッチ 処 理 を 行 いません 各 組 織 は どのサービス プロトコル ポートが ビジネスにとって 必 要 かを 明 確 に 決 定 し 文 書 化 することで その 他 のサービス プロトコル ポートはすべて 無 効 にするか 削 除 する 必 要 があり ます 安 全 でないサービス プロトコル またはポート が 業 務 上 必 要 な 場 合 これらのプロトコルの 使 用 によってもたらされるリスクが 組 織 によって 明 確 に 理 解 および 承 認 され プロトコルの 使 用 が 正 当 化 され さらにこれらのプロトコルを 安 全 に 使 用 できるようにするセキュリティ 機 能 が 文 書 化 され て 実 装 されている 必 要 があります これらの 安 全 でないサービス プロトコル またはポートがビ ジネスにとって 不 要 な 場 合 は 無 効 にするか 削 除 する 必 要 があります このレビューにより 組 織 は 少 なくとも 6 カ 月 ご とに 不 要 期 限 切 れ または 不 正 なルールを 取 り 除 くことができ すべてのルールセットで 業 務 上 の 正 当 な 理 由 に 一 致 する 承 認 済 みのサービスと ポートのみが 許 可 されていることを 確 認 できま す ファイアウォールおよびルーターのルールセッ トへの 変 更 が 多 い 組 織 は レビュー 頻 度 を 増 やし てルールセットが 継 続 的 にビジネスニーズを 満 た すようにすることが 推 奨 されます 内 部 の 信 頼 できるネットワークと 外 部 にある または 事 業 体 の 制 御 または 管 理 が 及 ばない 信 頼 で きないネットワークとの 間 にネットワーク 保 護 を インストールすることは 不 可 欠 です この 手 段 を 正 しく 実 装 しないと 事 業 体 は 悪 意 のある 者 やソ フトウェアによる 不 正 アクセスに 対 して 脆 弱 にな ります ファイアウォールの 機 能 が 効 果 的 であるために は 事 業 体 のネットワークに 出 入 りするトラ フィックを 適 切 に 制 御 または 制 限 する 必 要 があり ます 23 ページ

24 1.2.1 着 信 および 発 信 トラフィックを カー ド 会 員 データ 環 境 に 必 要 なトラフィックに し それ 以 外 のすべてのトラフィックを 特 定 的 に 拒 否 す ルーター 構 成 ファイルをセキュリティ 保 護 および 同 期 化 す すべてのワイヤレスネットワークと カード 会 員 データ 環 境 の 間 に 境 界 ファイア ウォールをインストールし ワイヤレス 環 境 とカード 会 員 データ 環 境 間 のトラフィックを 業 務 上 必 要 な 場 合 に 拒 否 または 承 認 されたト ラフィックのみを 許 可 するようにファイア ウォールを 構 成 す a ファイアウォール/ルーター 構 成 基 準 を 調 べて カード 会 員 データ 環 境 に 必 要 な 着 信 および 発 信 トラフィックが 特 定 さ れていることを 確 認 す b 着 信 および 発 信 トラフィックが カード 会 員 データ 環 境 に 必 要 なトラフィックに 制 限 されており 制 限 が 文 書 化 されて いることを 確 認 す c ファイアウォール/ルーター 構 成 を 検 査 して たとえば 明 示 の すべてを 拒 否 または 許 可 文 の 後 の 暗 黙 の 拒 否 を 使 用 することで 他 のすべての 着 信 および 発 信 トラフィックが 明 確 に 拒 否 されていることを 確 認 す a ルーター 構 成 ファイルを 調 べて 不 正 アクセスからセ キュリティ 保 護 されていることを 確 認 す b ルーター 構 成 を 調 べて 同 期 化 されていることを 確 認 すたとえば 実 行 (アクティブ) 構 成 ファイルが 起 動 構 成 (マシンの 再 起 動 時 に 使 用 )に 一 致 することを 確 認 す a ファイアウォール/ルーター 構 成 を 調 べて すべてのワ イヤレスネットワークとカード 会 員 データ 環 境 間 に 境 界 ファイ アウォールがインストールされていることを 確 認 す b ファイアウォールが ワイヤレス 環 境 とカード 会 員 データ 環 境 間 のすべてのトラフィックを 拒 否 または 業 務 上 必 要 な 場 合 承 認 されたトラフィックのみ 許 可 することを 確 認 す この 要 件 は 悪 意 のある 者 が 不 正 な IP アドレス 経 由 で 事 業 体 のネットワークにアクセスしたり 不 正 な 方 法 でサービス プロトコル またはポー トを 使 用 ( 組 織 のネットワーク 内 から 取 得 した データを 信 頼 できないサーバに 送 出 するなど)し たりするのを 防 止 することを 目 的 としています 特 に 必 要 でない 発 信 および 着 信 トラフィックをす べて 拒 否 するルールを 実 装 することにより 意 図 しない 有 害 の 可 能 性 があるトラフィックの 着 信 または 発 信 を 可 能 にするセキュリティホールが 不 用 意 に 開 かれるのを 防 ぐことができます 実 行 中 (またはアクティブな)ルーター 構 成 ファ イルには 最 新 のセキュア 設 定 が 入 っていますが 起 動 ファイル(ルーターの 再 起 動 またはブート 時 に 使 用 )は 同 じセキュア 設 定 で 更 新 して 起 動 時 構 成 が 実 行 されるときにこれらの 設 定 が 適 用 され るようにする 必 要 があります 起 動 構 成 ファイルはあまり 実 行 されることがない ため 更 新 を 忘 れがちになります ルーターが 起 動 され 実 行 中 の 構 成 ファイルと 同 じ 安 全 な 設 定 で 更 新 されていない 起 動 構 成 ファイルを 読 み 込 ん だ 場 合 より 脆 弱 なルールが 適 用 され 悪 意 のあ る 者 がネットワークに 侵 入 できる 可 能 性 がありま す ネットワーク 内 のワイヤレステクノロジの 既 知 の (または 不 明 な) 実 装 および 利 用 は 悪 意 のある 者 がネットワークとカード 会 員 データにアクセス するための 一 般 的 な 経 路 となります ワイヤレス デバイスまたはネットワークが 事 業 体 の 知 らない 間 にインストールされた 場 合 悪 意 のある 者 は ネットワークに 容 易 に かつ 認 識 されずに 侵 入 できます ファイアウォールがワイヤレスネッ トワークから CDE へのアクセスを 制 限 していな い 場 合 ワイヤレスネットワークへの 不 正 アクセ スを 得 た 悪 意 のある 者 は 容 易 に CDE に 接 続 し アカウント 情 報 を 侵 害 することができます ワイヤレスネットワークが 接 続 されている 環 境 の 目 的 に 関 係 なく すべてのワイヤレスネットワー 24 ページ

25 クと CDE の 間 にファイアウォールをインストー ルする 必 要 があります これには 企 業 ネットワー ク 小 売 店 倉 庫 などの 環 境 も 含 まれますがこれ らに 限 定 されません 1.3 インターネットとカード 会 員 データ 環 境 内 のすべてのシステムコンポーネント 間 の 直 接 的 なパブリックアクセスを 禁 止 す DMZ を 実 装 し 承 認 された 公 開 サービ ス プロトコル ポートを 提 供 するシステム コンポーネントのみへの 着 信 トラフィックに 制 限 す 着 信 インターネットトラフィックを DMZ 内 の IP アドレスに 制 限 す 1.3 ファイアウォールおよびルーター 構 成 を 以 下 に 説 明 するとお りに 調 査 し 以 下 の 詳 細 に 従 って インターネットとシステムコ ンポーネント 間 に 直 接 アクセスがないことを 確 認 すシステム コンポーネントには インターネットのチョークルーター DMZ ルーターおよびファイアウォール DMZ カード 会 員 セグメン ト 境 界 ルーター 内 部 のカード 会 員 ネットワークセグメントな どが 含 まれるが これらに 限 定 されない ファイアウォール/ルーター 構 成 を 検 査 し DMZ が 実 装 さ れ 承 認 された 公 開 サービス プロトコル ポートを 提 供 する システムコンポーネントのみへの 着 信 トラフィックに 制 限 して いることを 確 認 す ファイアウォール/ルーター 構 成 を 検 査 し 着 信 インター ネットトラフィックが DMZ 内 の IP アドレスに 制 限 されてい ることを 確 認 す ファイアウォールの 目 的 は 公 共 システムと 内 部 システム 特 にカード 会 員 データを 保 存 処 理 または 伝 送 するシステムとの 間 のすべての 接 続 を 管 理 および 制 御 することです 公 共 システムと CDE との 間 で 直 接 のアクセスが 許 可 されている 場 合 ファイアウォールが 提 供 する 保 護 が 迂 回 さ れ カード 会 員 データを 保 存 するシステムコン ポーネントが 侵 害 にさらされる 可 能 性 がありま す DMZ は インターネット(またはその 他 の 信 頼 できないネットワーク)と 組 織 が 公 開 する 必 要 が あるサービス(Web サーバなど)との 間 の 接 続 を 管 理 するネットワークの 一 部 です この 機 能 は 悪 意 のある 者 がインターネットから 組 織 の 内 部 ネットワークにアクセスしたり 不 正 な 方 法 でサービス プロトコル またはポートを 使 用 したりするのを 防 止 することを 目 的 としてい ます インターネットとカード 会 員 データ 環 境 間 トラフィックの すべての 直 接 経 路 ( 着 信 / 発 信 )を 使 用 不 可 にす アンチスプーフィング 対 策 を 実 施 し 偽 の 送 信 元 IP アドレスを 検 出 して ネット ワークに 侵 入 されないようにブロックす (たとえば 内 部 送 信 元 アドレスを 持 つイン ターネットからのトラフィックをブロックす ファイアウォール/ルーター 構 成 を 検 査 し インターネッ トとカード 会 員 データ 環 境 間 トラフィックの 直 接 経 路 ( 着 信 / 発 信 )がないことを 確 認 す ファイアウォールおよびルーター 構 成 を 検 査 し たとえ ば 内 部 アドレスがインターネットから DMZ 内 へ 通 過 できな いなど スプーフィング 対 策 が 実 装 されていることを 確 認 す すべての 送 信 元 / 宛 先 アドレスに 基 づくトラ フィックの 検 査 および 制 限 や 不 要 なコンテンツ の 検 査 /ブロックを 行 い 信 頼 できない 環 境 と 信 頼 できる 環 境 との 間 のフィルタ 処 理 されていない アクセスを 阻 止 できます この 要 件 は 悪 意 のあ る 者 が 組 織 のネットワーク 内 から 取 得 したデータ を 信 頼 できないネットワーク 内 にある 外 部 の 信 頼 できないサーバに 送 出 したりするのを 防 止 するこ とを 目 的 としています 通 常 パケットには 最 初 にそのパケットを 送 信 したコン ピュータの IP アドレスが 含 まれ ネットワーク 上 の 他 のコン ピュータでパケットがどこから 来 たかがわかるようになってい ます 悪 意 を 持 つユーザは 送 信 元 IP アドレスをスプーフ ( 詐 称 )して 宛 先 システムにパケットが 信 頼 されている 送 25 ページ

26 るなど) PCI DSS 要 件 テスト 手 順 ガイダンス カード 会 員 データ 環 境 からインター ネットへの 発 信 トラフィックを 禁 止 す 動 的 パケットフィルタリングとも 呼 ば れる ステートフルインスペクションを 実 装 す(ネットワーク 内 へは 確 立 され た 接 続 のみ 許 可 され) DMZ やその 他 の 信 頼 できないネット ワークから 隔 離 されている 内 部 ネットワーク ゾーンで カード 会 員 データを 保 存 するコン ポーネント(データベース)が 実 装 されてい ファイアウォール/ルーター 構 成 を 検 査 し カード 会 員 データ 環 境 からインターネットへの 発 信 トラフィックが 明 示 的 に 承 認 されていることを 確 認 す ファイアウォール/ルーター 構 成 を 検 査 し ファイア ウォールがステートフルインスペクション( 動 的 パケットフィ ルタリング)を 実 行 することを 確 認 す( 確 立 された 接 続 の み 許 可 され 前 に 確 立 されたセッションに 関 連 付 けられている 場 合 にのみ 許 可 される 必 要 があ) ファイアウォール/ルーター 構 成 を 検 査 し DMZ やその 他 の 信 頼 できないネットワークから 隔 離 されている 内 部 ネット ワークゾーンで カード 会 員 データを 保 存 するシステムコン ポーネントを 確 認 す 信 元 から 来 たと 信 じさせようと 試 みます ネットワークに 入 ってくるパケットをフィルタリングすることによ り パケットが 内 部 ネットワークから 送 信 されたものであるか のように スプーフィング されていないことを 確 認 できます カード 会 員 データ 環 境 から 発 信 されるすべてのト ラフィックを 評 価 して 発 信 トラフィックが 確 立 承 認 されたルールに 確 実 に 従 うようにする 必 要 があります 接 続 を 検 査 して 許 可 された 通 信 のみにトラフィックを 制 限 する 必 要 があります ( 送 信 元 / 宛 先 のアドレス/ポートの 制 限 やコンテ ンツのブロックなど) ステートフルパケットインスペクションを 実 行 す るファイアウォールは ファイアウォールへの 各 接 続 の ステート ( 状 態 )を 保 持 します ス テート を 保 持 することで ファイアウォールは 以 前 の 接 続 への 応 答 であるように 見 えるものが 本 当 に 有 効 で 承 認 されている 応 答 なのか( 各 接 続 の ステータスを 保 持 しているため) それとも 悪 意 のある 者 やソフトウェアが スプーフィングした りファイアウォールをだましたりして 接 続 の 許 可 を 得 ようとしているのかを 判 断 できます カード 会 員 データが DMZ 内 に 配 置 されている 場 合 侵 入 する 層 の 数 がより 少 ないため この 情 報 へのアクセスは 外 部 の 攻 撃 者 にとって 容 易 になり ます DMZ などの 信 頼 できないネットワークか らファイアウォールで 分 離 された 内 部 ネットワー クゾーンに カード 会 員 データを 保 存 する 安 全 な システムコンポーネントを 配 置 してシステムコン ポーネントからの 不 正 ネットワークトラフィック を 防 止 する 必 要 があります 注 : この 要 件 は 揮 発 性 メモリ 内 におけるカード 会 員 データの 一 時 記 憶 には 適 用 されません 26 ページ

27 1.3.8 プライベート IP アドレスとルーティン グ 情 報 を 許 可 されていない 第 三 者 に 開 示 しな い 注 : IP アドレスを 開 示 しない 方 法 には 以 下 のものが 含 まれるが これらに 限 定 されるわ けではない: ネットワークアドレス 変 換 (NAT) カード 会 員 データを 保 持 するサーバをプ ロキシサーバ/ファイアウォールの 背 後 に 配 置 す 登 録 されたアドレス 指 定 を 使 用 するプラ イベートネットワークのルートアドバタ イズを 削 除 するか フィルタリングす 登 録 されたアドレスの 代 わりに RFC1918 アドレス 空 間 を 内 部 で 使 用 す 1.4 インターネットに 直 接 接 続 するすべてのモ バイルデバイスまたは 従 業 員 所 有 のデバイス (あるいはその 両 方 )で ネットワークの 外 側 ではインターネットに 接 続 され またネット ワークへのアクセスにも 使 用 されるものに( 従 業 員 が 使 用 するラップトップなど) パーソナ ルファイアウォールソフトウェアをインストー ルすファイアウォール 構 成 には 以 下 が 含 ま れます パーソナルファイアウォールソフトウェ ア 専 用 の 構 成 設 定 が 定 義 されていること パーソナルファイアウォールソフトウェ アがアクティブに 実 行 中 であること パーソナルファイアウォールソフトウェ アがモバイルデバイスまたは 従 業 員 所 有 のデバイスのユーザによって 変 更 されて いないこと a ファイアウォール/ルーター 構 成 を 検 査 し プライベー ト IP アドレスおよび 内 部 ネットワークからインターネットへ のルーティング 情 報 を 開 示 しない 方 法 が 導 入 されていることを 確 認 す b 担 当 者 のインタビューや 文 書 の 調 査 により どのプライ ベート IP アドレスおよび 外 部 事 業 体 へのルーティング 情 報 開 示 にも 許 可 が 必 要 であることを 確 認 す 1.4.a ポリシーと 構 成 基 準 を 調 べて 以 下 を 確 認 する: ネットワーク 外 でインターネットに 接 続 し ネットワーク へのアクセスにも 使 用 される すべてのモバイルデバイス または 従 業 員 所 有 のデバイス(あるいはその 両 方 )にパー ソナルファイアウォールソフトウェアが 必 要 とされている パーソナルファイアウォールソフトウェア 専 用 の 構 成 設 定 が 定 義 されている パーソナルファイアウォールソフトウェアがアクティブに 実 行 するために 構 成 されている パーソナルファイアウォールソフトウェアの 構 成 がモバイ ルデバイスや 従 業 員 所 有 のデバイスのユーザによって 変 更 できないようになっている 1.4.b モバイルデバイスまたは 従 業 員 所 有 デバイス(またはその 両 方 )を 検 査 して 以 下 を 確 認 す パーソナルファイアウォールソフトウェアがインストール されており 組 織 の 構 成 設 定 に 従 って 設 定 されている パーソナルファイアウォールソフトウェアがアクティブに 実 行 中 である パーソナルファイアウォールソフトウェアがモバイルデバ イスまたは 従 業 員 所 有 のデバイスのユーザによって 変 更 さ インターネットまたはプライベート IP アドレス の 開 示 を 制 限 することは ハッカーに 内 部 ネット ワークの IP アドレスを 知 られ て この 情 報 をネットワークへのアクセスに 使 用 されることを 防 ぐために 不 可 欠 です この 要 件 の 目 的 を 満 たすための 手 段 は 使 用 して いるネットワークテクノロジによって 異 なる 場 合 があります たとえば この 要 件 を 満 たすために 使 用 するコントロールは IPv4 ネットワークの 場 合 と IPv6 ネットワークの 場 合 とで 異 なる 可 能 性 があります 企 業 ファイアウォールの 外 部 からインターネット に 接 続 できる 携 帯 コンピューティングデバイス は インターネットベースの 脅 威 よりも 脆 弱 で す パーソナルファイアウォールを 使 用 すると デバイスがシステムに 再 接 続 された 時 点 で 組 織 のシステムとデータにアクセスできる インター ネットベースの 攻 撃 からデバイスを 保 護 するのに 役 立 ちます 特 定 のファイアウォール 構 成 設 定 は 組 織 によっ て 決 定 されます 注 : この 要 件 は 従 業 員 所 有 コンピュータと 会 社 所 有 コンピュータを 適 用 対 象 とします 会 社 のポ リシーで 管 理 できないシステムは 境 界 に 弱 点 をも たらし 悪 意 のある 者 により 攻 撃 される 可 能 性 が あります 信 頼 できないシステムが 組 織 のネット ワークに 接 続 することを 許 可 すると 攻 撃 者 やそ の 他 の 悪 意 のあるユーザにアクセスが 付 与 される ことにつながります 27 ページ

28 れていない 1.5 ファイアウォールの 管 理 に 関 するセキュリ ティポリシーと 操 作 手 順 が 文 書 化 および 使 用 さ れており 影 響 を 受 ける 関 係 者 全 員 に 知 らされ ていることを 確 認 す 1.5 文 書 を 調 べ 関 係 者 をインタビューすることで ファイア ウォールの 管 理 に 関 するセキュリティポリシーと 操 作 手 順 が 以 下 の 要 件 を 満 たしていることを 確 認 す 文 書 化 されている 使 用 されている 影 響 を 受 ける 関 係 者 全 員 に 知 らされている ファイアウォールとルーターが 継 続 的 に 管 理 され てネットワークへの 不 正 アクセスが 確 実 に 防 止 さ れるように 関 係 者 はセキュリティポリシーと 操 作 手 順 を 認 識 順 守 する 必 要 があります 28 ページ

29 要 件 2: システムパスワードおよび 他 のセキュリティパラメータにベンダ 提 供 のデフォルト 値 を 使 用 しない ( 社 内 外 の) 悪 意 のある 者 は 多 くの 場 合 ベンダのデフォルトパスワードおよびベンダのその 他 のデフォルト 設 定 を 使 用 して システムを 脅 か します これらのパスワードと 設 定 はハッカーの 間 でよく 知 られており 公 開 情 報 を 通 じて 容 易 に 特 定 できます PCI DSS 要 件 テスト 手 順 ガイダンス 2.1 システムをネットワークに 導 入 する 前 に 必 ずベンダ 提 供 のデフォルト 値 を 変 更 し 不 要 なデフォルトアカウントを 無 効 にす これは オペレーティングシステム セキュリ ティサービスを 提 供 するソフトウェア アプリ ケーション システムアカウント ポイントオ ブセールス(POS) 端 末 簡 易 ネットワーク 管 理 プロトコル(SNMP)コミュニティ 文 字 列 で 使 用 されるがこれらに 限 定 されない すべての デフォルトパスワードに 適 用 されます カード 会 員 データ 環 境 に 接 続 されてい る またはカード 会 員 データを 伝 送 するワイ ヤレス 環 境 の 場 合 インストール 時 にすべて のワイヤレスベンダのデフォルト 値 を 変 更 す 2.1.a システムコンポーネントのサンプルを 選 択 し ベンダ 提 供 のデフォルトのアカウントとパスワードを 使 用 してデバイス へのログオンを 試 み(システム 管 理 者 の 協 力 を 得 て) すべて のデフォルトパスワード(オペレーティングシステム セキュ リティサービスを 提 供 するソフトウェア アプリケーション システムアカウント POS 端 末 簡 易 ネットワーク 管 理 プロト コル(SNMP)コミュニティ 文 字 列 で 使 用 されるものを 含 む) が 変 更 されていることを 確 認 す(ベンダのマニュアルおよ びインターネット 上 のソースを 使 用 して ベンダ 提 供 のアカウ ント/パスワードを 探 す ) 2.1.b システムコンポーネントのサンプルで すべての 不 要 な デフォルトアカウントを 検 証 する(オペレーティングシステ ム セキュリティソフトウェア アプリケーション システ ム POS 端 末 SNMP などで 使 用 されているアカウントを 含 む) が 削 除 または 無 効 化 されていることを 確 認 す 2.1.c 担 当 者 をインタビューし 関 係 文 書 を 調 べて 以 下 を 確 認 す システムをネットワークにインストールする 前 にすべての ベンダデフォルト(オペレーティングシステム セキュリ ティサービスを 提 供 するソフトウェア アプリケーショ ン システムアカウント POS 端 末 簡 易 ネットワーク 管 理 プロトコル(SNMP)コミュニティ 文 字 列 のデフォルト パスワード)が 変 更 されている システムがネットワークにインストールされる 前 にすべて の 不 要 なデフォルトアカウント(オペレーティングシステ ム セキュリティソフトウェア アプリケーション シス テム POS 端 末 SNMP などで 使 用 されているアカウント を 含 む) が 削 除 または 無 効 化 されている a 担 当 者 をインタビューし 関 係 文 書 を 調 べて 以 下 を 確 認 す 暗 号 化 キーがインストール 時 のデフォルトから 変 更 されて 悪 意 のある 者 ( 組 織 の 内 外 にかかわらず)は 多 くの 場 合 ベンダのデフォルト 設 定 アカウン ト 名 およびパスワードを 使 用 して それがイ ンストールされているオペレーティングシステ ムソフトウェア アプリケーション システム を 侵 害 します これらのデフォルト 設 定 は 公 開 されることが 多 く ハッカーの 間 でよく 知 られ ていますが 設 定 を 変 更 することで 攻 撃 に 対 す るシステムの 脆 弱 性 を 軽 減 することができま す デフォルトアカウントを 使 う 予 定 がない 場 合 に も デフォルトパスワードを 強 力 で 一 意 なパス ワードに 変 更 してからそのアカウントを 無 効 に することで 悪 意 のある 者 がそのアカウントを 再 び 有 効 にしてデフォルトパスワードを 使 って アクセスすることを 防 止 できます ワイヤレスネットワークが 十 分 なセキュリティ 構 成 (デフォルト 設 定 の 変 更 を 含 む)で 実 装 さ れていない 場 合 盗 聴 者 はワイヤレストラ フィックを 傍 受 し データとパスワードを 容 易 29 ページ

30 いること これには デフォルトのワイヤレス 暗 号 化 キー パスワード SNMP コミュニティ 文 字 列 が 含 まれるが これらに 限 定 されない 2.2 すべてのシステムコンポーネントについ て 構 成 基 準 を 作 成 すこの 基 準 は す べての 既 知 のセキュリティ 脆 弱 性 をカバー し また 業 界 で 認 知 されたシステム 強 化 基 準 と 一 致 している 必 要 があ 業 界 で 認 知 されたシステム 強 化 基 準 のソー スには 以 下 が 含 まれる(これらに 限 定 され ない) Center for Internet Security(CIS) 国 際 標 準 化 機 構 (ISO) SysAdmin Audit Network Security 暗 号 化 キーの 知 識 を 持 つ 人 物 が 退 社 または 異 動 するたび に そのキーが 変 更 されていること b 担 当 者 をインタビューし ポリシーと 手 順 を 調 べること で 以 下 を 確 認 す デフォルトの SNMP コミュニティ 文 字 列 をインストール 後 に 変 更 する 必 要 があること アクセスポイントのデフォルトのパスワード/パスフレーズ をインストールごとに 変 更 する 必 要 があること c システム 管 理 者 の 協 力 を 得 て ベンダ 文 書 を 調 べ ワイ ヤレスデバイスにログインして 以 下 を 確 認 す ワイヤレスデバイスのデフォルトの SNMP コミュニティ 文 字 列 が 変 更 されていないこと アクセスポイントのデフォルトのパスワード/パスフレーズ が 変 更 されていないこと d ベンダ 文 書 を 調 べ ワイヤレス 構 成 設 定 を 観 察 して ワ イヤレスデバイスのファームウェアが 以 下 の 強 力 な 暗 号 化 を サポートするために 更 新 されていることを 確 認 す ワイヤレスネットワーク 経 由 での 認 証 ワイヤレスネットワーク 経 由 での 送 信 e ベンダ 文 書 を 調 べ ワイヤレス 構 成 設 定 を 観 察 すること で 必 要 に 応 じて 他 のセキュリティに 関 するワイヤレスベン ダのデフォルトが 変 更 されたことを 確 認 す 2.2.a すべてのタイプのシステムコンポーネントについて 企 業 のシステム 構 成 基 準 を 調 べて システム 構 成 基 準 が 業 界 で 認 知 されたシステム 強 化 基 準 と 一 致 していることを 確 認 す 2.2.b ポリシーを 調 べ 担 当 者 をインタビューすることで シ ステム 構 成 基 準 が 新 たな 脆 弱 性 の 問 題 が 見 つかったときに 要 件 6.2 で 規 定 されているように 更 新 されていることを 確 認 す 2.2.c ポリシーを 調 べ 担 当 者 をインタビューすることで 新 しいシステムが 構 成 されたときにシステム 構 成 基 準 が 適 用 さ れ ネットワークにシステムがインストールされる 前 にその 実 装 が 検 証 されたことを 確 認 す にキャプチャしてネットワークに 容 易 に 侵 入 し て 攻 撃 することができます さらに 古 いバージョンの x 暗 号 化 (Wired Equivalent Privacy (WEP)) 用 の キー 交 換 プロトコルは 破 られており 暗 号 化 が 役 に 立 たなくなっている 可 能 性 があります デ バイスのファームウェアが 安 全 性 の 高 いプロト コルをサポートするように 更 新 されていること を 確 認 します 多 くのオペレーティングシステム データベー ス エンタープライズアプリケーションには 既 知 の 弱 点 があります また セキュリティの 脆 弱 性 を 修 正 するようにこれらのシステムを 構 成 する 既 知 の 方 法 もあります セキュリティの 専 門 家 でない 人 々のために 多 数 のセキュリティ 組 織 がシステム 強 化 に 関 するガイドラインと 推 奨 事 項 を 確 立 し これらの 弱 点 を 修 正 する 方 法 についてアドバイスしています 構 成 基 準 に 関 するガイドラインは ページ

31 (SANS)Institute 米 国 国 立 標 準 技 術 研 究 所 (NIST) 同 じサーバに 異 なったセキュリティ レベルを 必 要 とする 機 能 が 共 存 しないよう に 1 つのサーバには 主 要 機 能 を 1 つだ け 実 装 す(たとえば We サーバ データベースサーバ DNS は 別 々のサーバ に 実 装 する 必 要 があ) 注 : 仮 想 化 テクノロジを 使 用 している 場 合 は 1 つの 仮 想 システムコンポーネントに 主 要 機 能 を 1 つだけ 実 装 す 2.2.d システム 構 成 基 準 に すべての 種 類 のシステムコンポー ネントに 対 する 以 下 の 手 順 が 含 まれていることを 確 認 す すべてのベンダ 提 供 デフォルト 値 を 変 更 し 不 要 なデフォルトアカウン トを 削 除 する 同 じサーバに 異 なったセキュリティレベルを 必 要 とする 機 能 が 共 存 し ないように 1 つのサーバには 主 要 機 能 を 1 つだけ 実 装 する システムの 機 能 に 必 要 な 安 全 性 の 高 いサービス プロトコル デーモ ンなどのみを 有 効 にする 安 全 でないとみなされている 必 要 なサービス プロトコル またはデー モンに 追 加 のセキュリティ 機 能 を 実 装 する システムセキュリティのパラメータが 誤 用 を 防 ぐために 設 定 されてい る スクリプト ドライバ 機 能 サブシステム ファイルシステム 不 要 な Web サーバなど 不 要 な 機 能 をすべて 削 除 する a システムコンポーネントのサンプルを 選 択 し システ ム 構 成 を 調 べて 1 つのサーバに 主 要 機 能 が 1 つだけ 実 装 され ていることを 確 認 す b 仮 想 テクノロジが 使 用 されている 場 合 は システム 構 成 を 調 べて 1 つの 仮 想 システムコンポーネントまたはデバ イスに 主 要 機 能 が 1 つだけ 実 装 されていることを 確 認 す 製 品 ベンダ などから 入 手 できます システムをネットワーク 上 にインストールする 前 に 新 たに 発 見 された 弱 点 を 確 実 に 修 正 する ためには システム 構 成 基 準 を 最 新 状 態 に 保 つ 必 要 があります 同 じサーバ 上 に 異 なるセキュリティレベルが 必 要 なサーバ 機 能 がある 場 合 より 高 いセキュリ ティレベルを 必 要 とする 機 能 のセキュリティレ ベルはより 低 いセキュリティレベルの 機 能 の 存 在 によって 低 下 する 場 合 があります さらに セキュリティレベルが 低 い 方 のサーバ 機 能 が 同 じサーバ 上 の 他 の 機 能 に 対 し セキュリティの 脆 弱 性 をもたらす 可 能 性 があります システム 構 成 基 準 と 関 連 プロセスの 一 部 として 異 なる サーバ 機 能 のセキュリティの 必 要 性 を 考 慮 する ことで 組 織 は 同 じサーバ 上 に 異 なるセキュ リティレベルを 必 要 とする 機 能 を 共 存 させない ことを 保 証 できます システムの 機 能 に 必 要 なサービス プロトコル デーモンなどのみを 有 効 にす a システムコンポーネントのサンプルを 選 択 し 有 効 な システムサービス デーモン プロトコルを 検 査 して 必 要 なサービスまたはプロトコルだけが 有 効 になっていることを 確 認 す b 有 効 になっているが 安 全 でないサービス デーモン プロトコルを 特 定 し 担 当 者 をインタビューして それらが 文 書 化 された 構 成 基 準 に 従 って 正 当 化 されていることを 確 認 す 要 件 に 記 述 されているとおり 悪 意 のあ る 者 によりネットワークを 侵 害 するために 一 般 的 に 使 用 される 多 くのプロトコルが 業 務 上 必 要 となる(またはデフォルトで 有 効 になってい る) 場 合 があります 組 織 の 構 成 基 準 と 関 連 プ ロセスの 一 部 としてこの 要 件 を 含 めることで 必 要 なサービスとプロトコルのみを 有 効 にして いることを 保 証 できます 安 全 でないとみなされている 必 要 な a 構 成 設 定 を 調 べて 安 全 でないすべてのサービス 新 しいサーバを 導 入 する 前 にセキュリティ 機 能 31 ページ

32 サービス プロトコル またはデーモンに セキュリティ 機 能 を 実 装 する(たとえば SSH S-FTP SSL または IPSec VPN な どの 安 全 なテクノロジを 使 用 して NetBIOS ファイル 共 有 Telnet FTP な どの 安 全 性 の 低 いサービスを 保 護 する システムセキュリティのパラメータ が 誤 用 を 防 ぐために 設 定 されてい スクリプト ドライバ 機 能 サブ システム ファイルシステム および 不 要 な Web サーバなど すべての 不 要 な 機 能 を 削 除 す デーモン プロトコルに 対 するセキュリティ 機 能 が 文 書 化 お よび 反 映 されていることを 確 認 す a システム 管 理 者 やセキュリティ 管 理 者 のインタビュー を 行 い システムコンポーネントの 一 般 的 なセキュリティパ ラメータ 設 定 に 関 する 知 識 があることを 確 認 す b システム 構 成 基 準 を 調 べて 一 般 的 なセキュリティパ ラメータ 設 定 が 含 まれていることを 確 認 す c システムコンポーネントのサンプルを 選 択 し 一 般 的 なセキュリティパラメータ 設 定 を 調 べて それらが 構 成 基 準 に 従 って 正 しく 設 定 されていることを 確 認 す a システムコンポーネントのサンプルを 選 択 し 構 成 を 調 べ 不 要 な 機 能 (スクリプト ドライバ 機 能 サブシス テム ファイルシステムなど)がすべて 削 除 されていること を 確 認 す b. 文 書 とセキュリティパラメータを 調 べて 有 効 な 機 能 が 文 書 化 されていて セキュリティ 保 護 された 構 成 をサ ポートしていることを 確 認 す c. 文 書 とセキュリティパラメータを 調 べて 文 書 化 さ れた 機 能 だけがサンプリングされたシステムコンポーネント に 存 在 していることを 確 認 す を 有 効 にすることで サーバが 安 全 でない 構 成 の 環 境 にインストールされることを 防 止 できま す すべての 安 全 でないサービス プロトコル デーモンが 適 切 なセキュリティ 機 能 によって 十 分 にセキュリティ 保 護 されるようにすること で 悪 意 のある 者 がネットワーク 内 で 一 般 的 に 使 用 される 侵 害 ポイントを 利 用 しにくくなりま す 組 織 のシステム 構 成 基 準 と 関 連 プロセスによっ て セキュリティへの 影 響 があることが 明 らか であるセキュリティ 設 定 およびパラメータを 確 実 に 設 定 する 必 要 があります システムを 安 全 に 設 定 するためには システム の 構 成 と 管 理 の 責 任 者 が そのシステムに 適 用 する 特 定 のセキュリティパラメータと 設 定 に 精 通 している 必 要 があります 不 要 な 機 能 は 悪 意 のある 者 がシステムにアク セスする 機 会 を 与 える 可 能 性 があ 不 要 な 機 能 を 削 除 することで 組 織 は 必 要 な 機 能 の 安 全 を 保 護 し 不 明 な 機 能 が 悪 用 されるリスクを 軽 減 できます サーバ 強 化 基 準 とプロセスを 含 めることで 不 要 な 機 能 に 関 連 したセキュリティ 上 の 影 響 に 対 処 する(サーバがこの 機 能 を 実 行 していない 場 合 FTP または Web サーバを 削 除 / 無 効 化 する など) 32 ページ

33 2.3 強 力 な 暗 号 化 を 使 用 して すべてのコ ンソール 以 外 の 管 理 アクセスを 暗 号 化 す Web ベースの 管 理 など 非 コンソール 管 理 アクセスについては SSH VPN また は SSL/TLS などのテクノロジを 使 用 しま す 2.4 PCI DSS の 適 用 範 囲 であるシステムコン ポーネントのインベントリを 維 持 する 2.5 ベンダデフォルト 値 およびその 他 のセ キュリティパラメータの 管 理 に 関 するセキュ リティポリシーと 操 作 手 順 が 文 書 化 されて 使 用 されており 影 響 を 受 ける 関 係 者 全 員 に 知 られていることを 確 認 す 2.6 共 有 ホスティングプロバイダは 各 事 業 体 のホスト 環 境 およびカード 会 員 データを 保 護 する 必 要 があこれらのプロバイダは 付 録 A: 共 有 ホスティングプロバイダでの 追 加 PCI DSS 要 件 に 示 されているよう 2.3 システムコンポーネントのサンプルを 選 択 し コンソー ル 以 外 の 管 理 アクセスが 以 下 によって 暗 号 化 されているこ とを 確 認 す 2.3.a 各 システムへの 管 理 者 ログオンを 観 察 し システム 構 成 を 調 べて 管 理 者 のパスワードが 要 求 される 前 に 強 力 な 暗 号 化 メソッドが 実 行 されていることを 確 認 す 2.3.b サービスおよびパラメータファイルシステムをレ ビューし Telnet やその 他 の 安 全 でないリモートログインコ マンドがコンソール 外 からのアクセスに 使 用 できないことを 確 認 す 2.3.c 管 理 者 の 各 システムへのログオンを 観 察 し Web ベー スの 管 理 インタフェースへの 管 理 者 アクセスが 強 力 な 暗 号 方 式 で 暗 号 化 されていることを 確 認 す 2.3.d ベンダ 文 書 を 調 べ 担 当 者 をインタビューすること で 使 用 テクノロジの 強 力 な 暗 号 化 が 業 界 のベストプラク ティスとベンダの 推 奨 事 項 に 従 って 導 入 されていることを 確 認 する 2.4.a システムのインベントリを 調 べて ハードウェアとソフ トウェアのコンポーネントリストが 維 持 されており それぞれ の 機 能 / 使 用 に 関 する 説 明 が 含 まれていることを 確 認 す 2.4.b 担 当 者 をインタビューして 文 書 化 されたインベントリ が 最 新 状 態 に 保 たれていることを 確 認 す 2.5 文 書 を 調 べ 関 係 者 をインタビューすることで ファイア ウォールの 管 理 に 関 するセキュリティポリシーと 操 作 手 順 が 以 下 の 要 件 を 満 たしていることを 確 認 す 文 書 化 されている 使 用 されている 影 響 を 受 ける 関 係 者 全 員 に 知 らされている 2.6 共 有 ホスティングプロバイダの PCI DSS 評 価 について 付 録 A: 共 有 ホスティングプロバイダ 向 けの PCI DSS 追 加 要 件 に 詳 しく 説 明 されているテスト 手 順 A.1.1 ~ A.1.4 を 実 行 し 共 有 ホスティングプロバイダが 事 業 体 ( 加 盟 店 およびサー ビスプロバイダ)のホスト 環 境 およびデータを 保 護 しているこ コンソール 外 (リモートを 含 む)からの 管 理 が 安 全 な 認 証 と 暗 号 化 された 通 信 を 使 用 して 行 わ れない 場 合 管 理 または 運 用 レベルの 機 密 情 報 ( 管 理 者 の ID やパスワードなど)が 盗 聴 者 に 知 られてしまう 可 能 性 があります 悪 意 のある 者 は この 情 報 を 使 用 してネットワークにアク セスし 管 理 者 となってデータを 盗 むことがで きます 平 文 プロトコル(HTTP Telnet など) はトラ フィックやログオン 情 報 を 暗 号 化 しないため この 情 報 が 盗 聴 されやすいという 欠 点 がありま す 強 力 な 暗 号 化 とみなされるためには 適 切 なキー 強 度 とキー 管 理 機 能 を 持 ち 業 界 で 認 識 されているプロトコルを 使 用 テクノロジの 種 類 に 合 わせて 導 入 する 必 要 があります ( PCI DSS と PA-DSS の 用 語 集 ( 用 語 略 語 およ び 頭 字 語 ) の 強 力 な 暗 号 化 技 術 を 参 照 し てください ) すべてのシステムコンポーネントの 最 新 リスト を 維 持 することで 組 織 は PCI DSS コント ロールを 導 入 するための 環 境 範 囲 を 正 確 かつ 効 率 的 に 定 義 できインベントリなしでは 一 部 のシステムのコンポーネントが 忘 れられた り 組 織 の 構 成 基 準 から 誤 って 除 外 されたりす ることがあります ベンダデフォルト 値 およびその 他 のセキュリ ティパラメータが 継 続 的 に 管 理 されて 安 全 でな い 構 成 が 防 止 されるように 関 係 者 はセキュリ ティポリシーと 毎 日 の 操 作 手 順 を 認 識 順 守 す る 必 要 があります これは 同 じサーバ 上 で 複 数 のクライアント 向 けの 共 有 ホスティング 環 境 を 提 供 するホスティ ングプロバイダを 対 象 としています すべての データが 同 じサーバ 上 にあり 単 一 の 環 境 の 管 理 下 にあると 多 くの 場 合 これらの 共 有 サー バの 設 定 が 個 々のクライアントから 管 理 できま 33 ページ

34 に 特 定 の 要 件 を 満 たす 必 要 があ とを 確 認 す せん このため クライアントはその 他 のすべ てのクライアント 環 境 のセキュリティに 影 響 を 及 ぼす 安 全 でない 機 能 やスクリプトを 追 加 でき るので 悪 意 のある 者 はあるクライアントの データを 容 易 に 侵 害 でき さらにその 他 のすべ てのクライアントのデータにアクセスすること ができます 要 件 の 詳 細 については 付 録 A を 参 照 してください 34 ページ

35 カード 会 員 データの 保 護 要 件 3: 保 存 されるカード 会 員 データを 保 護 する 暗 号 化 トランケーション マスキング ハッシュなどの 保 護 方 式 は カード 会 員 データ 保 護 のための 重 要 な 要 素 です 侵 入 者 が 他 のセキュリ ティコントロールを 回 避 し 暗 号 化 されたデータにアクセスできても 正 しい 暗 号 化 キーがなければ そのデータを 読 み 取 り 使 用 することは できません 保 存 したデータを 保 護 するための 効 果 的 な 別 の 方 法 として 考 えられるのは リスクを 軽 減 する 方 法 です たとえば リスクを 最 小 限 にする 方 法 として カード 会 員 データが 絶 対 的 に 必 要 でない 限 り 保 存 しない 完 全 な PAN が 不 要 ならカード 会 員 データを 切 り 捨 てる 電 子 メールやインスタントメッセージングなどのエンドユーザメッセージング 技 術 を 使 用 して 保 護 されていない PAN を 送 信 しない などがあります 強 力 な 暗 号 化 技 術 および 他 の PCI DSS 用 語 については PCI DSS と PA-DSS の 用 語 集 ( 用 語 略 語 および 頭 字 語 ) を 参 照 してくだ さい PCI DSS 要 件 テスト 手 順 ガイダンス 3.1 データ 保 存 および 廃 棄 ポリシー 手 順 プロセスを 実 装 し すべてのカード 会 員 データ(CHD)ストレージに 少 なく とも 以 下 のものを 含 めようにすることで 保 存 するカード 会 員 データを 最 小 限 に 抑 え 保 存 するデータ 量 と 保 存 期 間 を 法 律 上 規 則 上 業 務 上 必 要 な 範 囲 に 限 定 す 必 要 性 がなくなった 場 合 のデータを 安 全 に 削 除 するためのプロセス カード 会 員 データの 特 定 のデータ 保 存 要 件 定 義 された 保 存 要 件 を 超 えるカード 会 員 データを 安 全 に 廃 棄 する 四 半 期 ごとのプロ セス 3.1.a データの 保 存 および 廃 棄 について ポリシー 手 順 プロ セスを 調 べ 少 なくとも 以 下 のことが 含 まれていることを 確 認 す 以 下 を 含 むデータ 保 存 についての 法 律 上 規 制 上 業 務 上 の 要 件 カード 会 員 データの 保 存 についての 特 定 の 要 件 (カード 会 員 データ は X の 期 間 Y という 業 務 上 の 理 由 で 保 存 する 必 要 がある な ど) 法 律 上 規 制 上 または 業 務 上 の 理 由 で 不 要 になったカード 会 員 データの 安 全 な 削 除 カード 会 員 データの 保 存 すべてを 対 象 とする 定 義 された 保 存 要 件 を 超 えるカード 会 員 データを 安 全 に 廃 棄 す る 四 半 期 ごとのプロセス 正 式 なデータ 保 存 ポリシーで 保 存 する 必 要 があ るデータとそのデータの 保 存 場 所 を 識 別 し 不 要 になった 場 合 は 即 座 に 安 全 な 方 法 で 破 棄 または 削 除 できるようにしておきます 承 認 後 に 保 存 できるカード 会 員 データは プライ マリアカウント 番 号 (PAN)( 読 み 取 り 不 能 に 処 理 したもの) 有 効 期 限 カード 会 員 名 サービ スコードのみです カード 会 員 データを 正 しく 保 存 し 必 要 なくなっ たときに 破 棄 するためには それがどこにあるか を 知 っていることが 必 要 です 適 切 な 保 存 要 件 を 定 義 するには まず 事 業 体 は 固 有 のビジネス ニーズと 業 界 または 保 存 するデータの 種 類 (あ るいはその 両 方 )に 適 用 される 法 律 上 または 規 則 上 の 義 務 を 理 解 する 必 要 があります 特 定 の 保 存 期 間 を 過 ぎて 保 存 されているデータを 特 定 して 削 除 することで 不 要 になったデータの 不 要 な 保 存 を 防 止 できます このプロセスは 自 動 的 でも 手 動 でも あるいはその 組 み 合 わせでも できます たとえば プログラムされた 手 順 ( 自 動 または 手 動 )を 使 ってデータを 見 つけて 削 除 し たり データストレージエリアを 手 動 でレビュー したりすることなどが 可 能 です 35 ページ

36 3.2 承 認 後 に 機 密 認 証 データを 保 存 しな い( 暗 号 化 されている 場 合 でも) 機 密 認 証 データを 受 け 取 った 場 合 認 証 プロ セスが 完 了 し 次 第 すべてのデータを 復 元 不 可 能 にす 以 下 の 場 合 に データが 安 全 に 保 存 され る 場 合 は 発 行 者 と 企 業 が 機 密 認 証 データを 保 存 するため 発 行 サービスを サポートすることが 可 能 であ 業 務 上 の 理 由 がある データが 安 全 に 保 存 されている 3.1.b 担 当 者 をインタビューして 以 下 を 確 認 す 保 存 されているカード 会 員 データの 場 所 すべてがデータ 保 存 および 破 棄 プロセスに 含 まれてい カード 会 員 データを 見 つけて 安 全 に 廃 棄 する 四 半 期 ごとの 自 動 または 手 動 プロセスが 含 まれてい カード 会 員 データのすべての 場 所 に 対 して 四 半 期 ごとの 自 動 または 手 動 プロセスが 実 施 されてい 3.1.c カード 会 員 データを 保 存 するシステムコンポーネントのサ ンプル ファイルとシステムレコードを 調 べて 保 存 されているデー タがデータ 保 存 ポリシーで 定 義 された 要 件 を 超 えていないこ とを 確 認 す 削 除 方 法 を 観 察 して データが 安 全 に 削 除 されることを 確 認 す 3.2.a サービスの 発 行 をサポートし 機 密 認 証 データを 保 存 する 発 行 者 または 会 社 について 機 密 認 証 データの 保 存 に 関 して 業 務 上 の 理 由 があることを 確 認 す 3.2.b サービスの 発 行 をサポートし 機 密 認 証 データを 保 存 する 発 行 者 または 会 社 について データストアとシステム 構 成 を 調 べ て 機 密 認 証 データがセキュリティで 保 存 されていることを 確 認 す 3.2.c その 他 のすべての 事 業 体 では 機 密 認 証 データを 受 信 した 場 合 ポリシーと 手 順 をレビューし システム 構 成 を 調 べて 認 証 後 にデータが 保 存 されていないことを 確 認 します 安 全 な 削 除 方 法 を 実 装 することにより 不 要 に なったデータを 確 実 に 取 得 できなくします 必 要 ない 場 合 は 保 存 してはいけません 機 密 認 証 データは フルトラックデータ カード 検 証 コードまたは 値 PIN データ から 構 成 されま す 承 認 後 の 機 密 認 証 データの 保 存 は 禁 止 されて います このデータからペイメントカードを 偽 造 し 不 正 トランザクションを 作 成 することができ るため このデータは 悪 意 のある 者 にとって 非 常 に 貴 重 です ペイメントカードを 発 行 するか 発 行 サービスを 実 施 するかサポートする 事 業 体 は 発 行 機 能 の 一 部 として 機 密 認 証 データを 作 成 制 御 することが よくあります サービスの 発 行 を 実 施 推 進 ま たはサポートする 会 社 は 業 務 上 の 正 当 な 理 由 が ある 場 合 に 限 り 機 密 認 証 データを 保 存 できま す イシュアにはすべての PCI DSS 要 件 が 適 用 さ 36 ページ

37 機 密 認 証 データには 以 降 の 要 件 ~ で 言 及 されているデータを 含 む (カードの 背 面 やチップ 上 の 同 等 のデータなどにある 磁 気 ストライプ の) 追 跡 データの 完 全 な 内 容 を 保 存 し ない このデータは 全 トラック ト ラック トラック 1 トラック 2 磁 気 ストライプデータとも 呼 ばれます 注 : 通 常 の 取 引 過 程 では 磁 気 ストライプか らの 以 下 のデータ 要 素 を 保 存 する 必 要 が 生 じ る 場 合 があります カード 会 員 名 プライマリアカウント 番 号 (PAN) 有 効 期 限 サービスコード リスクを 最 小 限 に 抑 えるため 取 引 に 必 要 な データ 要 素 のみを 保 存 します カードを 提 示 しない 取 引 を 検 証 す るために 使 用 された カード 検 証 コー ドまたは 値 (ペイメントカードの 前 面 または 背 面 に 印 字 されている 3 桁 また は 4 桁 の 数 字 )を 保 存 しない 3.2.d その 他 のすべての 事 業 体 では 機 密 認 証 データを 受 け 取 っ た 場 合 手 順 をレビューしてデータを 安 全 に 削 除 するプロセスを 調 べ データが 回 復 不 能 であることを 確 認 す システムコンポーネントのサンプルで データソースを 調 べこれには 以 下 の 項 目 が 含 まれるがこれらに 限 定 されな い また カード 裏 面 の 磁 気 ストライプまたはチップの 同 等 データから 得 られたトラック 内 容 が 承 認 後 保 存 されていな いことを 確 認 す 受 信 トランザクションデータ すべてのログ(トランザクション 履 歴 デバッグ エラーなど) 履 歴 ファイル トレースファイル データベーススキーマ データベースコンテンツ システムコンポーネントのサンプルについて カード 前 面 または 署 名 欄 に 印 字 されている 3 桁 または 4 桁 のカード 検 証 コードまたは 値 (CVV2 CVC2 CID CAV2 データ)を 含 む (ただし これらに 限 定 されない)データソースを 調 べて こ れらが 承 認 後 保 存 されないことを 確 認 す 受 信 トランザクションデータ すべてのログ(トランザクション 履 歴 デバッグ エラーなど) 履 歴 ファイル トレースファイル データベーススキーマ データベースコンテンツ れますが イシュアとイシュアプロセサーにとっ て 唯 一 の 例 外 は 業 務 上 の 正 当 な 理 由 がある 場 合 は 機 密 認 証 データを 保 存 できるということです 正 当 な 理 由 とは イシュアが 提 供 する 機 能 の 遂 行 に 必 要 で 単 なる 利 便 性 を 目 的 としない 理 由 のこ とです これらのデータは PCI DSS および 個 別 の ペイメントブランド 要 件 に 従 って 安 全 に 保 存 する 必 要 があります 発 行 しない 事 業 体 では 認 証 後 機 密 認 証 データを 保 存 することは 許 可 されません 全 トラックデータが 保 存 されると そのデータを 入 手 した 悪 意 のある 者 はそのデータを 使 ってペイ メントカードを 複 製 し 不 正 なトランザクション を 行 うことができます カード 検 証 コードの 目 的 は 消 費 者 とカードを 対 面 で 取 引 しない カードを 提 示 しない 取 引 (インターネットまたは 通 信 販 売 (MO/TO) 取 引 )を 保 護 することです このデータが 盗 まれた 場 合 悪 意 のある 者 はイン ターネットおよび MO/TO 取 引 を 偽 造 できます 37 ページ