PCI DSS認証 対応事例

PCI DSSとは

PCI DSS 12の要件
 PCIDSS(Payment Card Industry Data Security Standard)とは、カード加盟店やサービスプロバイダ等が取り扱うカード会員情報や取引情報を安全に守るために、 国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

 PCIDSSは、情報セキュリティに関する具体的な対策・実装を要求しており、カード情報を扱う事業者のみならず、広く多くの企業がセキュリティ基準として採用しています。

 PCIDSSには12の要件があり、証跡(ログ)管理に対する要件は「要件10」に詳細に記載されています。

PCIDSS 要件10へのLogstorageの適用

 PCIDSSで求められるログ管理に対する要件(要件10)は、単にログを保管しておけば良いという内容ではありません。 下記のように、取得したログを適切にモニタリング出来る状態になっているかが問われます。

PCI DSS 要件とセキュリティ評価手順 要件10.1/10.2

項番 要件
10.1 システム・コンポーネントに対するすべてのアクセス(特にルートなどのアドミニストレータ権限を持つユーザによるもの)を個々のユーザーとリンクするための手順を確立する
10.2 すべてのシステム・コンポーネントに対して、以下のイベントを追跡するための手順を確立する 「カード会員データに対する、個人ユーザーによる全てのアクセス」 「ルートまたはアドミニストレータ権限を持つ個人が行った全ての操作」 「すべての監査証跡へのアクセス」 「無効な論理的アクセスの試行」 「識別および認証メカニズムの使用」 「監査ログの初期化」 「システムレベルのオブジェクトの作成と削除」


PCI DSS 要件とセキュリティ評価手順 要件10.5/10.7

項番 要件
10.5 監査証跡は、改変できないように保護する
10.7 監査証跡履歴は、少なくとも1年は保管、最低3ヶ月間はオンラインで閲覧利用できるようにする





PCI DSS準拠 出力レポート例

PCI DSS準拠 出力レポート一覧

レポート PCIDSS
対応項目
レビュー観点
ログイン失敗一覧 10.2.4 一定時間内に複数回連続してログイン失敗したアクセスを確認する。
パスワードの変更履歴一覧 - パスワード変更の実施履歴を確認する。
特権権限への昇格の一覧 10.2.4 特権権限の昇格者と昇格時間を確認し、通常運用における操作で無い場合は、実行コマンドを 確認する。
管理者権限の操作履歴一覧 10.2.2 通常運用における操作で無い場合は、システム管理責任者に妥当性を確認する。
ポリシーの変更の一覧 10.2.2 ポリシーなどが変更されている場合は、システム管理責任者に妥当性を確認する。
ログの消去・初期化 10.2.6 イベントログやsyslogが消去されていないか確認する。
カード会員データへのアクセスの一覧 10.2.1 カード会員データへのアクセス履歴を確認する。
ログへのアクセス履歴の一覧 10.2.3 Logstorageの利用履歴を確認する。ログレビュー時間外でのアクセスが無い事を確認する。
重要なファイルの作成・削除の一覧 10.2.7 システム環境下のファイル作成及び削除履歴を確認する。

出力レポート イメージ

(クリックして拡大)