PCI DSS v4.0 ベストプラクティス要件への対策
すでに、運用を開始している必要があるPCI DSS v4.0。2025年3月31日には、より難易度の高いベストプラクティス要件の運用開始が控えています。PCI DSS v4.0準拠を促進するクラウドサービス・運用代行サービスを提供している株式会社リンク セキュリティプラットフォーム事業部 事業部長 滝村 享嗣が、PCI DSS v4.0ベストプラクティス要件への対応策を語ります。
ベストプラクティス要件への対応に向けたクラウドサービスの検討
まずは、PCI DSS v4.0への移行スケジュールを確認です。皆さまは、すでに2024年3月末からPCI DSS v4.0の運用を開始しているかと思います。
ただ、ベストプラクティス要件※に関しては、2025年3月末までの1年間の猶予期間が設けられており、多くの事業者は、今まさにベストプラクティス要件への対応を計画や構築をスタートされている段階にあるのではないでしょうか。
ただ、ベストプラクティス要件※に関しては、2025年3月末までの1年間の猶予期間が設けられており、多くの事業者は、今まさにベストプラクティス要件への対応を計画や構築をスタートされている段階にあるのではないでしょうか。
ベストプラクティス要件:バージョンアップによって企業に大きな負担がかかる新要件に対して、特定の期日までの猶予期間を設ける措置。期限までは対応していなくても不適合にならないが、その期日以降は正式な要件になるという考え方。
リンクが提供する『PCI DSS Ready Cloudマネージドモデル』は、PCI DSS v4.0及びそのベストプラクティス要件への対応を支援するサービスです。PCI DSSに必要なセキュリティコンポーネントをクラウドで提供するコンセプトで2013年よりサービスを開始し、最新モデルが『PCI DSS Ready Cloud マネージドモデル』です。
このマネージドモデルは、AWS、Microsoft Azure、Google Cloud、オンプレミスなどあらゆる環境での利用を可能とし、準拠にかかる構築および運用の工数とコストの大幅な削減を支援します。
また、運用代行サービスもオプションとして用意しています。一つがPCI DSSの運用です。ファイアウォールのルールセットレビューやパッチ適用などを代行しています。もう一つのサービスが、システム監視、障害対応、定期運用といったシステムサポートを提供します。
運用代行サービスは、PCI DSS Ready Cloudを利用いただいているお客さま限定サービスとなっているため、PCI DSS v4.0への移行を機に、すべてをカバーできるPCI DSS Ready Cloudマネージドモデルの導入をぜひ検討いただければと思います。
このマネージドモデルは、AWS、Microsoft Azure、Google Cloud、オンプレミスなどあらゆる環境での利用を可能とし、準拠にかかる構築および運用の工数とコストの大幅な削減を支援します。
また、運用代行サービスもオプションとして用意しています。一つがPCI DSSの運用です。ファイアウォールのルールセットレビューやパッチ適用などを代行しています。もう一つのサービスが、システム監視、障害対応、定期運用といったシステムサポートを提供します。
運用代行サービスは、PCI DSS Ready Cloudを利用いただいているお客さま限定サービスとなっているため、PCI DSS v4.0への移行を機に、すべてをカバーできるPCI DSS Ready Cloudマネージドモデルの導入をぜひ検討いただければと思います。
AWSやMicrosoft Azure、Google Cloud、サーバーレスからオンプレミスまで対応
PCI DSS Ready Cloudマネージドモデルのサービス提供形態について、紹介したいと思います。
AWSやMicrosoft Azure、Google Cloudなど、メガクラウドサービスを利用中のお客さまの場合から説明します。
黄色いボックスのお客さま環境に対して、青いボックスに記載されたサービスをマネージドモデルで提供しています。
左側の緑のボックスは、お客さまのリモート環境を想定しています。お客さま環境からのアクセスに対し、同じくマネージドモデルによって、操作ログの取得や多要素認証機能を提供しています。
黄色いボックスのお客さま環境に対して、青いボックスに記載されたサービスをマネージドモデルで提供しています。
左側の緑のボックスは、お客さまのリモート環境を想定しています。お客さま環境からのアクセスに対し、同じくマネージドモデルによって、操作ログの取得や多要素認証機能を提供しています。
次はサーバーレスの事例です。PCI DSSに準拠したAWSのコンテナサービスと組み合わせて利用するため、全体の構築・運用コストをさらに抑えることが可能です。
また、金融系事業者のように自社データセンターで運用しなければいけない場合でも、サービス提供は可能です。この場合は当社とお客さまのデータセンターを専用線で接続します。
お客さまの環境に合わせて、カスタマイズできるのもPCI DSS Ready Cloudマネージドモデルの特長となっています。
お客さまの環境に合わせて、カスタマイズできるのもPCI DSS Ready Cloudマネージドモデルの特長となっています。
難易度の高いベストプラクティス要件へどのように対応するのか
難易度の高い3つのベストプラクティス要件に対して、我々がどのような・サービスを提供しているのかを説明します。
1つ目がログ管理への対応です。
PCI DSS v4.0ではログ管理の要件が厳しくなっています。要件番号「10.4.1.1」には「監査ログのレビューを行うために、自動化されたメカニズムが使用されている」と記載されています。
さらに要件番号「10.5」では「監査ログの履歴は保持され、分析に利用できる状態にする。監査ログの履歴を少なくとも12カ月間保持し、少なくとも直近の3カ月間は分析のために直ちに利用できるようにする」といった対応の必要があります。
これらの要件に対応するソリューションとして、SIEM※の導入が不可欠です。SIEMもさまざまなソリューションがリリースされていますが、「運用に手間がかかり、使いこなせない、高額だ」といった課題を伺います。その点、PCI DSS Ready CloudマネージドモデルのSIEMは要件をスムーズに実現する機能を備えています。
※SIEMとは、「Security Information and Event Management」の略。セキュリティ機器やネットワーク機器などのログを一元的に管理してリアルタイムに分析することで、セキュリティ上の脅威や問題を早期に発見するためのソリューションの一つ。
例えば、クラウドコンピューティングリソースを活用するため、大量のログ分析がスピーディーに実現でき、標準で366日間ログを保存できます。特定のキーワードやしきい値を越えたログを検知すると、自動でアラートを担当者に通知する機能も備えているなど、難易度の高い要件を満たすことが可能です。
1つ目がログ管理への対応です。
PCI DSS v4.0ではログ管理の要件が厳しくなっています。要件番号「10.4.1.1」には「監査ログのレビューを行うために、自動化されたメカニズムが使用されている」と記載されています。
さらに要件番号「10.5」では「監査ログの履歴は保持され、分析に利用できる状態にする。監査ログの履歴を少なくとも12カ月間保持し、少なくとも直近の3カ月間は分析のために直ちに利用できるようにする」といった対応の必要があります。
これらの要件に対応するソリューションとして、SIEM※の導入が不可欠です。SIEMもさまざまなソリューションがリリースされていますが、「運用に手間がかかり、使いこなせない、高額だ」といった課題を伺います。その点、PCI DSS Ready CloudマネージドモデルのSIEMは要件をスムーズに実現する機能を備えています。
※SIEMとは、「Security Information and Event Management」の略。セキュリティ機器やネットワーク機器などのログを一元的に管理してリアルタイムに分析することで、セキュリティ上の脅威や問題を早期に発見するためのソリューションの一つ。
例えば、クラウドコンピューティングリソースを活用するため、大量のログ分析がスピーディーに実現でき、標準で366日間ログを保存できます。特定のキーワードやしきい値を越えたログを検知すると、自動でアラートを担当者に通知する機能も備えているなど、難易度の高い要件を満たすことが可能です。
2つ目は、WAFとオンラインスキミング対策です。
ベストプラクティス要件には、オンラインスキミングに対する対策の項目が含まれています。要件番号の「6.4.2」、「6.4.3」、「11.6.1」にWAFやオンラインスキミング対策への要件がまとまっています。
要件「6.4.2」は「一般公開されているウェブアプリケーションについては、ウェブベースの攻撃を継続的に検知・防止する自動化された技術的ソリューションを導入」と記載されており、要件を満たすWAFを準備する必要があります。
要件「6.4.3」は「消費者のブラウザに読み込まれ実行されるすべての決済ページスクリプトの管理」、そして、「11.6.1」は、「消費者のブラウザが受信したHTTPヘッダー情報と決済ページのコンテンツに対する不正な変更がなされてないかを監視」と記載されています。
ツールを購入せずに、CSPを記述すればオンラインスキミング対策は可能です。ただし、これは非常に難易度が高い。そこで、我々としてはWAFとオンラインスキミング対策をセットにした「WAF/オンラインスキミング対策サービス」をオプションとして提供しています。
ベストプラクティス要件には、オンラインスキミングに対する対策の項目が含まれています。要件番号の「6.4.2」、「6.4.3」、「11.6.1」にWAFやオンラインスキミング対策への要件がまとまっています。
要件「6.4.2」は「一般公開されているウェブアプリケーションについては、ウェブベースの攻撃を継続的に検知・防止する自動化された技術的ソリューションを導入」と記載されており、要件を満たすWAFを準備する必要があります。
要件「6.4.3」は「消費者のブラウザに読み込まれ実行されるすべての決済ページスクリプトの管理」、そして、「11.6.1」は、「消費者のブラウザが受信したHTTPヘッダー情報と決済ページのコンテンツに対する不正な変更がなされてないかを監視」と記載されています。
ツールを購入せずに、CSPを記述すればオンラインスキミング対策は可能です。ただし、これは非常に難易度が高い。そこで、我々としてはWAFとオンラインスキミング対策をセットにした「WAF/オンラインスキミング対策サービス」をオプションとして提供しています。
リンクが提供するWAFは、マネージドルールによるサービスを提供しているので、お客さまがルールを設定する必要はありません。クラウド、オンプレといったお客さまの環境に依存することなく、サービス提供が可能です。
また、オンラインスキミング対策に関しては、決済ページなどに対し、入力フォームの監視やスクリプト監視、データ送信元のサイトの監視を提供しています。
異常を検知後、SIEMにログを連携してお客さまにアラートを送信します。またWAFの場合は、異常を検知した際、通信のブロックやレポート提供、アラートを関係者に通知する設定も可能です。
また、オンラインスキミング対策に関しては、決済ページなどに対し、入力フォームの監視やスクリプト監視、データ送信元のサイトの監視を提供しています。
異常を検知後、SIEMにログを連携してお客さまにアラートを送信します。またWAFの場合は、異常を検知した際、通信のブロックやレポート提供、アラートを関係者に通知する設定も可能です。
この図は、入力フォーム監視の例です。コンテンツが改ざんされてないかや不正なJavaScriptの動きがないかを検知する、スクリプト監視サービスになります。許可していない接続先への通信が発生した場合、アラートを通知します。
最後は、なりすまし、フィッシング対応です。
要件番号「5.4」に「フィッシング対策機構は、フィッシング攻撃からユーザーを保護する」必要があります。
実はPCI DSSの要件以外にも、経産省、総務省、検察庁からクレジットカード事業者などに対して、フィッシング対策が要請されており、送信ドメイン認証技術であるDMARCの導入とポリシー強化が求められています※。
※クレジットカード会社等に対するフィッシング対策の強化を要請
https://www.meti.go.jp/press/2022/02/20230201001/20230201001.html
これらの要件に対して、お客さまのメール環境がDMARC、SPF、DKIMに対応できているのかを数値化する「迷惑メールスコアリングサービス」を提供しています。
このサービスは、お客さまがメールを送信すると、メールの内容を評価・スコアリング化したレポートを提供します。
さらに、DMARCレポートの分析を簡単に行うことが可能です。DMARC認証がNGになる原因を4つのパターンに分類した「エラーパターン分析」や、自社で把握できていないIPアドレスについて分析をできる「成りすまし可能性分析」といったレポートを活用することで、ポリシーを強化するDMARCの運用を支援します。
今回はベストプラクティス要件に関するソリューションの説明をさせていただきましたが、ベストプラクティス運用開始日は、迫ってきています。お気軽に問い合わせいただければと思います。
最後は、なりすまし、フィッシング対応です。
要件番号「5.4」に「フィッシング対策機構は、フィッシング攻撃からユーザーを保護する」必要があります。
実はPCI DSSの要件以外にも、経産省、総務省、検察庁からクレジットカード事業者などに対して、フィッシング対策が要請されており、送信ドメイン認証技術であるDMARCの導入とポリシー強化が求められています※。
※クレジットカード会社等に対するフィッシング対策の強化を要請
https://www.meti.go.jp/press/2022/02/20230201001/20230201001.html
これらの要件に対して、お客さまのメール環境がDMARC、SPF、DKIMに対応できているのかを数値化する「迷惑メールスコアリングサービス」を提供しています。
このサービスは、お客さまがメールを送信すると、メールの内容を評価・スコアリング化したレポートを提供します。
さらに、DMARCレポートの分析を簡単に行うことが可能です。DMARC認証がNGになる原因を4つのパターンに分類した「エラーパターン分析」や、自社で把握できていないIPアドレスについて分析をできる「成りすまし可能性分析」といったレポートを活用することで、ポリシーを強化するDMARCの運用を支援します。
今回はベストプラクティス要件に関するソリューションの説明をさせていただきましたが、ベストプラクティス運用開始日は、迫ってきています。お気軽に問い合わせいただければと思います。
株式会社リンク
セキュリティプラットフォーム事業部
事業部長
滝村 享嗣
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。