Weitere ähnliche Inhalte
Ähnlich wie PCI DSSで定期的にやるべき10のこと (20)
PCI DSSで定期的にやるべき10のこと
- 2. 注意事項
› 本資料および筆者は、読者に対して何の保証もし
ません
› 抜粋、引用などはしていただいて構いませんが、
すべて自己責任で行う必要があります
› 本資料は、あくまで著者の執筆時点での個人的な
見解であり、所属もしくは関連する企業や組織、
個人の見解を示すものではありません
› 本資料内の企業名、システム名、製品名は各社の
登録商標もしくは商標です
- 3. 本資料について
› 本資料は、PCI DSSで求められる要求事項のうち、年
間を通して「定期的に」行うことが求められているも
のを抜粋し、概要を説明したものです。
› 要求事項として頻度が明記されているものと明記され
ていないものがあります。推奨値を記載していますが
まったくの主観なので、あくまで参考情報ととらえて
下さい
› 1項目に複数の要求事項を含めたものもあります。
› 「要件」を抜粋したものと、「テスト手順」(いわゆ
る「サブ要件」)を抜粋したものがあります。
› 詳細は必ずPCI DSS要件をご確認下さい。
- 4. 本資
料の
読 み方
タイトル
› 要件もしくはテスト › 定期的に実施するこ
手順の抜粋
と、そのポイント
› 頻度:年1回
› 定期的に実施するこ
と、そのポイント
› 頻度:四半期に1回
- 6. 2. パターンファイルやシグネチャ、エンジ
ン、およびパッチを定期的に更新する
› 要件5.2. すべてのアンチウィルスメ › アンチウィルスソフトウェアのパ
カニズムが最新で、有効に実行され
ており、監査ログが生成される ターンファイル/エンジンを定期
› 要件6.1 すべてのシステムコンポー 的に更新する
ネントとソフトウェアに、ベンダ提 › 頻度:未定義。1日1回推奨
供の最新セキュリティパッチが適用
され、既知の脆弱性から保護されて › 公開された重要なパッチは基本
いる。重要なセキュリティパッチは、 1ヶ月以内に適用する。重要でな
リリース後1ヶ月以内にインストー い場合は3ヶ月以内で良い。ただ
ルする。
› 要件11.4 侵入検知システムや侵入防 し重要性を適切に判断している会
止システムを使用して、カード会員 議やその記録が重要。他の定例会
データ環境との境界およびカード会 議等の一部で検討しても良い
員データ環境内の重要なポイントを
通過するすべてのトラフィックを監 › 頻度:パッチ公開毎、1〜3ヶ月
視し、侵害の疑いがある場合は担当 › IDS/IPS等のシグネチャやエンジン
者に警告する。すべての侵入検知お を定期的に更新する。
よび防止エンジン、ベースライン、
シグネチャを最新状態に保つ › 頻度:未定義。1日1回推奨
- 7. 3. 使われていない/不要なアカウントの削
除、およびパスワード変更を90日毎に行う
› 要件8.5.5 少なくとも90日ごとに非 › ユーザアカウントの棚卸を最低
アクティブのユーザアカウントを削 90日毎に行い、使っていないア
除/無効化する カウントの削除/無効化や、パ
› 要件8.5.9 少なくとも90日ごとに スワードを変更していないユー
ユーザパスワードを変更する
ザの強制パスワード変更フラグ
設定等を行う。運用上問題なけ
れば自動化して良いが、記録を
残すとより良い
› 頻度:最低90日毎
- 8. 4. 媒体の在庫ログを確認するため、少なく
とも年1度、媒体の在庫調査を行う
› 要件9.9.1 すべての媒体の在庫ログ › テープなどの媒体の棚卸し(在庫調
を適切に保持し、少なくとも年に一 査)を最低年に1回行う
度媒体の在庫調査を実施する
› これを行わないと、紛失した、もし
くは盗難にあった時などに検知でき
ないため
› CD/DVD等も使用しているのであれ
ば対象と考えて良い
› 頻度: 最低年1回
- 9. 5. すべてのシステム、アプリケーションな
どのログを少なくとも一日に一度確認する
› 要件10.6 少なくとも日に一度、すべ › 「すべての」ログを最低一日に一度
てのシステムコンポーネントのログ 確認する。ただし本当にすべてのロ
を確認する。ログの確認には、侵入 グを人間の目で確認することは不可
検知システム(IDS)や認証、認可、 能なので、ある程度のフィルタリン
アカウンティングプロトコル グを行い、危険と判断されたものを
(AAA)サーバ(RADIUSなど)の 毎日通知し、確認するようなフロー
ようなセキュリティ機能を実行する で良い。
サーバを含める必要がある。 › 確認した記録をとること
注:要件10.6に準拠するために、ロ › しきい値をどのように設定している
グの収集、解析、および警告ツール かが文書化されていると良い
を使用できる。 › 頻度: 最低1日1回
- 10. 6. 無線機器およびシステム、アプリケー
ションに対するテストを定期的に行う
› 要件6.6 一般公開されているWebアプリケー › Webアプリケーションに対するツールもしく
ションは、常時、新しい脅威と脆弱性に対処 は手動での脆弱性評価を最低年に1回行う
› 頻度: 最低年1回
し、以下のいずれかの手法によって既知の攻
› 不正な無線アクセスポイントを検知するため
撃から保護する必要がある。1)アプリケー の無線スキャンを実施、もしくは無線IDS/IPS
ションのセキュリティ脆弱性を手動/自動で評 を導入して監視する
価するツールまたは手法によって、少なくと › 頻度:スキャンは最低四半期に一回
も年1回および何らかの変更を加えた後にレ › システム内の全てのIPアドレスに対して脆弱
ビューする 2)手前にWebアプリケーション 性スキャンを最低四半期に一回行う。外部は
ファイアウォールをインストールする ASVが実施する必要あり。内部はASVでなく
ても構わない
› 要件11.1 四半期ごとにワイヤレスアクセスポ › 頻度:最低四半期に一回
イントの存在をテストし、承認されていない › 外部、内部含めすべてのIPアドレスに対して
ワイヤレスアクセスポイントを検出する ペネトレーションテストを最低年1回行う。
› 要件11.2 内部および外部の脆弱性スキャンを › 頻度:最低年1回
少なくとも四半期に一度およびネットワーク
での大幅な変更後に実行する › 脆弱性スキャン、ペネトレーションテストの
対象が多すぎる場合は段階的に実施。結果の
› 要件11.3 外部および内部のペネトレーション サンプリングや横展開を含む代替コントロー
テストを少なくとも年に一度および大幅なイ ルを検討しても良いが基本は全IPアドレス
ンフラストラクチャまたはアプリケーション
のアップグレードや変更後に実行する
- 11. 7. 重要なファイルの整合性を最低週一回
チェックする
› 要件11.5 ファイル整合性監視ツール › ファイル整合性監視ツールによる整合性
を導入して重要なシステムファイル、 チェックを最低週に1回実施する
構成ファイル、またはコンテンツ › 「重要なシステムファイル、構成ファイル、
コンテンツファイル」とは、「通常変更さ
ファイルの不正な変更を担当者に警
れないが、変更されるとシステムが侵害さ
告し、重要なファイルの比較を少な れているもしくは侵害されている可能性が
くとも週に一度実行するようにソフ 発生する」ファイルとされている。各種設
トウェアを構成する。
定ファイル、ライブラリ、システムファイ
ルなどが考えられる
› 製品にはよく各OS向けのテンプレートが
あるので活用すると良い
› 頻度: 最低週に1度
- 12. 8. 情報セキュリティポリシーを最低年に1
回更新し、従業員を教育、同意書をとる
› 要件12.1.2 脅威、脆弱性、結果を識 › 最新のセキュリティ動向やシステム、
別する年に一度のプロセスを正式な 組織にそった情報セキュリティポリ
リスク評価に含める シーを保ため、ポリシーはリスク評
› 要件12.1.3 (セキュリティポリシー 価結果に基づき最低年1回更新する
の)少なくとも年に一度含め、環境 › 頻度: 最低年1回
の変化に合わせて更新する › セキュリティポリシーの更新にあわ
› 要件12.6.1 雇用時および少なくとも せて、従業員への教育も行う
年に一度担当者を教育する
› 情報の取り扱いやポリシーの内容を
承諾した旨の同意書をとる
› 教育の実施および同意書について記
録を残すこと
› 頻度: 最低年1回
- 13. 9. 委託先のPCI DSS準拠ステータスを少な
くとも年に一度確認する
› 要件12.8.4 少なくとも年1回サービ › カード情報を取り扱う業務、システ
スプロバイダのPCI DSS準拠ステー ムを外部に委託しているような場合、
タスを監視するプログラムを維持す 委託先のPCI DSSS準拠ステータスを
る
最低年1回確認する
› 論理的には、委託先が準拠していな
いとまういが、現実的には必ず準拠
しているとも限らない
› 委託する業務の内容や取り扱う情報
の種類に合わせる
› カード情報取り扱い、およびPCI
DSSへの準拠に関する責任分解点を
明確にすること
› 頻度: 最低年1回
- 14. 10. インシデント対応計画を少なくとも年
に一度テストする
› 要件12.9.2 (インシデントレスポン › インシデントレスポンス計画を最低
ス)計画を少なくとも年に一度テス 年1回テストすること
トする › テスト結果を記録し、問題があれば
› 要件12.9.4 観察とポリシーのレ 計画に反映する
ビューを通じて、セキュリティ違反 › 頻度:最低年1回
への対応を担当するスタッフが定期 › インシデントレスポンス時の担当者
的にトレーニングされていることを に定期的にトレーニングを行う
確認する
› 四半期に1回くらい行うと良いかも
しれないが、定義やトレーニング結
果を文書化すると良い
› 頻度:未定義。四半期に1度程度を推奨
- 15. 定期的にやるべき10のこと まとめ
No.
やること
頻度
ファイアウォール、ルータのルール
1
• すべてのファイアウォール、ルータについて最低6ヶ月に1回
セットレビュー
アンチウィルス、IDS/IPSのシグネ • アンチウィルス、IDS/IPSのシグネチャ、エンジンの更新は1日に1回(推奨)
2
チャ、エンジン更新
• パッチの適用はパッチ公開から1〜3ヶ月以内
不要アカウント削除、パスワード変
3
• 不要アカウントの削除、パスワード変更を最低四半期に1回
更
4
媒体の棚卸し
• 媒体の棚卸しを最低年1回
5
すべてのログの確認
• すべてのログについて最低1日1回
• Webアプリケーションの脆弱性評価を最低年1回
無線AP検知、脆弱性スキャン、ペ • 不正な無線AP検知のための無線スキャンを最低四半期に一回
6
ネトレーションテスト
• 脆弱性スキャンを最低四半期に1回
• ペネトレーションテストを最低年に1回
7
重要なファイルの整合性チェック
• ファイル整合性のチェックを最低週1回
情報セキュリティポリシー更新と教 • 情報セキュリティポリシーの更新を最低年1回
8
育
• あわせて教育の実施と同意書を最低年1回
9
委託先のPCI DSS準拠状況チェック
• 委託先のPCI DSS準拠ステータスチェックを最低年1回
インシデント対応計画のテストと担 • インシデントレスポンス計画のテストを最低年1回
10
当者トレーニング
• 担当者のトレーニングを四半期に1回(推奨)