PCIデータセキュリティスタンダード「PCIDSS 2.0」への対応
PCIDSSは、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するために策定されています。
この基準は、カード会員データを保存、処理、または送信するその他の事業体などの、ペイメントカードの処理を行うすべての事業体に適用されます。
WEEDS Trace Seriesでは、要件1〜12の中の、要件10に対して適応しています。
※ ただし、10.4及び10.4.1、10.4.3については、監査証跡の確認ではなく、時刻同期設定となるため、本製品では非対応です。
<PCIDSS 要件10>
ログ記録メカニズムおよびユーザの行動を追跡する機能は、データへの侵害を防ぐ、検出する、またはその影響を最小限に抑えるうえで不可欠です。すべての環境でログが存在することにより、何か不具合が発生した場合に徹底的な追跡、警告、および分析が可能になります。侵害の原因の特定は、システムアクティビティログなしでは非常に困難です。
PCIDSS 10.1への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.1 | システムコンポーネントへのすべてのアクセス(特に、ルートなどの管理権限を使用して行われたアクセス)を各ユーザにリンクするプロセスを確立する。 | システム管理者の観察とインタビューを通じて、システムコンポーネントに対する監査証跡が有効になっていてアクティブであることを確認する。 |
WEEDS Trace Seriesでは、各サーバ操作、DBアクセスの監査証跡を取得し、それ以外のシステムコンポーネント(カード会員データ環境に含まれる、 またはこれに接続するすべてのネットワークコンポーネント、またはアプリケーション)からの監査証跡を取得し、WEEDS Log-Repository Managerへ蓄積します。 この監査証跡を確認することで、「監査証跡が有効になっていてアクティブである」ことを確認できます。
PCIDSS 10.2.1への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.2 | 以下のイベントを再現するためにすべてのシステムコンポーネントの自動監査証跡を実装する。 | インタビュー、監査ログの調査、および監査ログ設定の調査を通じて、以下を実行する。 |
| 10.2.1 | カード会員データへのすべての個人アクセス | カード会員データへのすべての個人アクセスがログ記録されることを確認する。 |
WEEDS DB-Traceは、データベースのすべてのアクセス(SQL)を取得し、ログサーバへ蓄積します。DBへのアクセスは、ユーザによるアプリケーションを経由したアクセス、 システム担当者による開発/運用によるアクセス、夜間などに自動実行されるバッチアクセス、すべてを指します。
PCIDSS 10.2.2への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.2.2 | ルート権限または管理権限を持つ個人によって行われたすべてのアクション | ルート権限または管理権限を持つ個人によって行われたアクションがログ記録されることを確認する。 |
WEEDS Trace Seriesでは、データベース(Oracle、SQL Server、DB2、Teradata)、サーバ(UNIX、Linux、Windows)の特権ユーザーの操作を、すべてのログから抽出し、レポーティングする機能があります。
本レポートを監査することで、ルート権限または管理権限を持つ個人によって行われたすべてのアクションを、自動的にログ取得し、監査することが可能です。
PCIDSS 10.2.3への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.2.3 | すべての監査証跡へのアクセス | すべての監査証跡へのアクセスがログ記録されることを確認する。 |
WEEDS Trace Seriesでは、データベース(Oracle、SQL Server、DB2、Teradata)、サーバ(UNIX、Linux、Windows)の特権ユーザーの操作を、すべてのログから抽出し、レポーティングする機能があります。
本レポートを監査することで、ルート権限または管理権限を持つ個人によって行われたすべてのアクションを、自動的にログ取得し、監査することが可能です。
PCIDSS 10.2.4への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.2.4 | 無効な論理アクセス試行 | 無効な論理アクセス試行がログ記録されることを確認する。 |
WEEDS Trace Seriesでは、データベース(Oracle、SQL Server、DB2、Teradata)、サーバ(UNIX、Linux、Windows)のログイン失敗の証跡を取得しています。これらを監査レポートから出力できるため、無効な論理アクセス試行を監査することが可能です。
また、SQLの実行失敗も証跡として取得しているため、データベースへログイン後に、無効な論理アクセス試行を監査することも可能です。
PCIDSS 10.2.5への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.2.5 | 識別および認証メカニズムの使用 | 識別および認証メカニズムの使用がログ記録されることを確認する。 |
WEEDS Trace Seriesでは、データベース(Oracle、SQL Server、DB2、Teradata)、サーバ(UNIX、Linux、Windows)のログイン情報をすべて取得しています。またログインIDには、個人ユーザが特定出来るようマスター情報と連携されており、 識別および認証メカニズムの使用をすべて証跡として蓄積し、監査可能になります。
PCIDSS 10.2.6への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.2.6 | 監査ログの初期化 | 監査ログの初期化がログ記録されることを確認する。 |
WEEDS Trace Seriesでは、ログを初期化する機能をユーザへ公開していないため、チェックは不要です。
また、監査ログは自動でバックアップされ、さらに初期化することはできないよう、ログDBユーザを公開していません。
したがって、ログの不正初期化が出来ないように対処してあります。
なお、悪意をもった第三者による不正なログ初期化の脅威に対しては、WEEDS DB-Traceでアクセスログを取得することに加え、
バックアップログからリストアする機能を提供することで対応しています。
PCIDSS 10.2.7への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.2.7 | システムレベルオブジェクトの作成および削除 | システムレベルオブジェクトの作成および削除がログ記録されることを確認する。 |
“システムレベルのオブジェクト”を、ファイルやディレクトリの作成/削除と捉え、システムコールまでは問わないと解釈すると、 WEEDS Trace SeriesではWindowsサーバに対しては「WEEDS WinServer-Trace」、UNIX/Linuxサーバに対しては「WEEDS UNIX-Trace」にて、 ファイルやディレクトリの作成/削除を取得し、レポーティングすることでログ記録されていることが確認できます。
PCIDSS 10.3.1〜6への対応方法
| No. | PCI DSS要件 | テスト手順 | 10.3 | イベントごとに、すべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録する。 | インタビューと観察を通じて、監査可能なイベント(10.2に記載)ごとに、以下を実行する。 |
|---|---|---|
| 10.3.1 | ユーザ識別 | ユーザ識別がログエントリに含まれることを確認する。 |
| 10.3.2 | イベントの種類 | イベントの種類がログエントリに含まれることを確認する。 |
| 10.3.3 | 日付と時刻 | 日付および時刻スタンプがログエントリに含まれることを確認する。 |
| 10.3.4 | 成功または失敗を示す情報 | 成功または失敗を示す情報がログエントリに含まれることを確認する。 |
| 10.3.5 | イベントの発生元 | イベントの発生元がログエントリに含まれることを確認する。 |
| 10.3.6 | 影響を受けるデータ、システムコンポーネント、またはリソースのIDまたは名前 | 影響を受けるデータ、システムコンポーネント、またはリソースのID または名前がログエントリに含まれることを確認する。 |
WEEDS Log-Repository Managerは、10.2に記載の監査可能なイベントにごとに、1.ユーザ識別(誰が)、2.イベントの種類(何をしたか)、 3.日付と時刻(いつ)、4.成功または失敗を示す情報、5.イベントの発生元(どこから)、6.影響を受けるデータ、システムコンポーネント、 またはリソースのIDまたは名前(何に)の情報を取得し、監査できるレポートを生成します。
PCIDSS 10.4.2への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.4.2.a | 時刻データが保護されている。 | システム構成および時刻同期設定をレビューし、時刻データへのアクセスが、業務上必要な人員に限られていることを確認する。 |
| 10.4.2.b | システム構成および時刻同期の設定とプロセスをレビューし、重要なシステムの時刻設定を変更する場合は、ログが記録され、監視され、レビューされていることを確認する。 |
“システムレベルのオブジェクト”を、ファイルやディレクトリの作成/削除と捉え、システムコールまでは問わないと解釈すると、 WEEDS Trace SeriesではWindowsサーバに対しては「WEEDS WinServer-Trace」、UNIX/Linuxサーバに対しては「WEEDS UNIX-Trace」にて、 ファイルやディレクトリの作成/削除を取得し、レポーティングすることでログ記録されていることが確認できます。
PCIDSS 10.5.1への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.5 | 変更できないよう、監査証跡をセキュリティで保護する。 | システム管理者にインタビューし、アクセス権限を調査して、次のように、監査証跡が変更できないようにセキュリティで保護されていることを確認する。 |
| 10.5.1 | 監査証跡の表示を、業務上の必要がある人物のみに制限する。 | 業務上の必要がある個人のみが監査証跡ファイルを表示できることを確認する。 |
WEEDS Trace Seriesでは、監査証跡を確認するにはユーザID及びパスワードチェックによるログイン認証機能を設けており、これにより業務上の必要がある個人のみが監査証跡ファイルを表示できることを実現しています。
PCIDSS 10.5.2への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.5.2 | 監査証跡ファイルを不正な変更から保護する。 | アクセス制御メカニズム、物理的な分離、ネットワークの分離などによって、現在の監査証跡ファイルが不正な変更から保護されていることを確認する。 |
WEEDS Trace Seriesでは、監査証跡(ログ)をOracleデータベースへ格納しています。このログデータベースを悪意のある第三者による不正な変更から保護するために、データの変更が可能なDBユーザを公開していません。また、画面などのアプリケーションからのログ変更機能はなく、レポートによる参照のみになっているため、不要な変更はできない仕組みとなっています。
PCIDSS 10.5.3への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.5.3 | 監査証跡ファイルを、変更が困難な一元管理ログサーバまたは媒体に即座にバックアップする。 | 現在の監査証跡ファイルが変更が困難な一元管理ログサーバまたは媒体に即座にバックアップされることを確認する。 |
WEEDS Trace Seriesでは、監査証跡(ログ)を取得するエージェントツールが、リアルタイムもしくは設定されたタイミングによってログを解析し、ログサーバへ転送します。ログサーバ側では、即座にバックアップされ、変更が困難なログDBへ取り込みます。
PCIDSS 10.5.4への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.5.4 | 外部に公開されているテクノロジのログを内部LAN上のログサーバに書き込む。 | 外部に公開されているテクノロジ(ワイヤレス、ファイアウォール、DNS、メールなど)のログが安全な一元管理される内部ログサーバまたは媒体にオフロードまたはコピーされることを確認する。 |
WEEDS Trace Seriesでは、外部公開テクノロジの標準ログなどを、ログDBへ取り込み、レポートティングするツール「WEEDS DataCollector」を提供しています。このツールにより、既存の様々なログをログDBへ取り込み監査することができます。
PCIDSS 10.5.5への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.5.5 | ログに対してファイル整合性監視または変更検出ソフトウェアを使用して、既存のログデータを変更すると警告が生成されるようにする(ただし、新しいデータを追加する場合は警告を発生させない)。 | システム設定、監視対象ファイル、および監視作業からの結果を調査して、ログに対してファイル整合性監視または変更検出ソフトウェアが使用されていることを確認する。 |
WEEDS Trace Seriesでは、監査証跡(ログ)に対して変更をチェックするWEEDS DB-Traceを設置することにより、ログに対して変更検出が可能になります。
PCIDSS 10.6への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.6.a | 少なくとも日に一度、すべてのシステムコンポーネントのログを確認する。ログの確認には、侵入検知システム(IDS)や認証、認可、アカウンティングプロトコル(AAA)サーバ(RADIUSなど)のようなセキュリティ機能を実行するサーバを含める必要がある。 注: 要件10.6に準拠するために、ログの収集、解析、および警告ツールを使用できる。 | セキュリティに関するポリシーと手順を入手して調査し、セキュリティログを?なくとも日に一度確認する手順が含まれていること、および例外への対応が要求されていることを確認する。 |
WEEDS Trace Seriesでは、日々監査できるよう“日次監査レポート”を機能として提供。監査ポリシーを設定することによって、ポリシーに反したアクセスや操作を検出しレポーティングが可能です。
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.6.b | ※上記と10.6.a同一 | 目標期日/コメント観察とインタビューを通じて、すべてのシステムコンポーネントに対して定期的なログの確認が実行されていることを確認する。 |
WEEDS Trace Seriesでは、誰が、いつ、どの抽出条件(日付)で、どの監査レポートを生成したか、をログとして蓄積しています。それを以下のレポートで生成することで、定期的なログの確認が実行されていることを確認できます。
PCIDSS 10.7への対応方法
| No. | PCI DSS要件 | テスト手順 |
|---|---|---|
| 10.7.a | 監査証跡の履歴を少なくとも1年間保持する。少なくも3カ月はすぐに分析できる状態にしておく(オンライン、アーカイブ、バックアップから復元可能など)。 | セキュリティに関するポリシーと手順を入手して調査し、監査ログの保存期間に関するポリシーが含まれていること、および監査ログの保存期間として?なくとも1年を要求していることを確認する。 |
| 10.7.b | 年間利用できること、およびすぐ分析できるように少なくとも過去3カ月間のログを復元するプロセスが整えられていることを確認する。 |
WEEDS Trace Seriesでは、監査証跡(ログ)の保管期間ポリシーとして、“すぐ分析できる状態の期間”、“監査ログの保管期間”を設けています。通常は、すぐ分析できる状態のログ期間を1年〜1年半、監査ログ保管期間を(ログ保管ディスクの容量によりますが) 3年〜5年を保管いただくようアドバイスしております。
.jpg)
.jpg)