Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
payjp-base-drink-pcidss-2016-04-27
Search
basedevteam
May 10, 2016
Technology
0
2.8k
payjp-base-drink-pcidss-2016-04-27
payjp-base-drink-pcidss-2016-04-27
basedevteam
May 10, 2016
Tweet
Share
More Decks by basedevteam
See All by basedevteam
base-drink-base-many-many-thumbnails-2016-04-27
basedevteam
0
2.7k
base-drink-base-bin-code-2016-04-27
basedevteam
0
2.7k
base-drink-base-ssl-2016-04-27
basedevteam
0
2.7k
payjp-base-drink-creditcard-2016-04-27
basedevteam
0
2.8k
Other Decks in Technology
See All in Technology
AWS re:Inforce 2025 re:Cap Update Pickup & AWS Control Tower の運用における考慮ポイント
htan
1
200
Unson OS|48時間で「売れるか」を判定する AI 市場検証プラットフォーム
unson
0
170
Claude CodeでKiroの仕様駆動開発を実現させるには...
gotalab555
3
860
✨敗北解法コレクション✨〜Expertだった頃に足りなかった知識と技術〜
nanachi
1
390
僕たちが「開発しやすさ」を求め 模索し続けたアーキテクチャ #アーキテクチャ勉強会_findy
bengo4com
0
1.8k
クマ×共生 HACKATHON - 熊対策を『特別な行動」から「生活の一部」に -
pharaohkj
0
290
AIエージェントを現場で使う / 2025.08.07 著者陣に聞く!現場で活用するためのAIエージェント実践入門(Findyランチセッション)
smiyawaki0820
6
530
ビジネス文書に特化した基盤モデル開発 / SaaSxML_Session_2
sansan_randd
0
250
Amazon Q Developerを活用したアーキテクチャのリファクタリング
k1nakayama
2
180
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~
orangemorishita
15
5.4k
Kiroでインフラ要件定義~テスト を実施してみた
nagisa53
3
300
2025新卒研修・HTML/CSS #弁護士ドットコム
bengo4com
3
13k
Featured
See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
60k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.4k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
21
1.4k
Optimizing for Happiness
mojombo
379
70k
Java REST API Framework Comparison - PWX 2021
mraible
32
8.8k
Producing Creativity
orderedlist
PRO
346
40k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.8k
The Cult of Friendly URLs
andyhume
79
6.5k
Scaling GitHub
holman
461
140k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
Transcript
PCI-DSS の無茶振り、そして PCI-DSS に 準拠することによるその効果。
ココハドコワタシハダレ • Christopher S – of BASE, Inc. • PAY.JP
事業部のセキュリティエンジニア – セキュアなインフラ構築 – PCI-DSS 準拠のお手伝い
PCI-DSS とは何じゃ • Payment Card Industry Data Security Standard •
クレジットカード情報を取り扱う業者が任意で 準拠するセキュリティ指針 – 割賦販売法 (2010 年 12 月改正 ) 第 35 条で言及され る「必要な措置」として適する – 某マークよりよっぽどまとも • 常識的な項目から頭を抱える項目まで
頭を抱えた問題その 1 ログを監視して、そのログを監視して、さらに そのログを監視して… … • セキュリティの三大要素のうち 2 つ –
integrity – confidentiality
ログを監視するログを監視するログ を監視しているログ。 • integrity が破れると何も信じられなくなる だから集めてきた syslog は • まず参照元で改竄を監視し(当然これもログ)
• 集約サーバで整合性を検証し(もちろんこれもログ) • 最終転送先( Amazon S3 )でもファイル変更履歴を監視 し、ファイルのバージョンが複数になったら直ちに Lambda 経由で Slack に通報 最終的に Amazon を信じることになる
まぁ、大丈夫じゃろ ( AWS の各サービスは迅速に PCI-DSS 新バー ジョンに対応します)
頭を抱えた問題その 2 ハッシュ化された PAN とトランケートされた PAN の分離 • PAN –
(Primary Account Number) カード番号 のこと – 15 桁 (AMEX) か 16 桁の数字
• PAN のハッシュとそれに対応するカード番号の 一部が暴露されると、 50 億に満たない試行回 数でカード番号が解読できてしまう – DB から漏洩したときは
Issuer 情報も一緒に漏れる ことが想定され、その場合は 10 億回以下になる。 • 「ハッシュ化された PAN とトランケートされ た PAN (通常は下 4 桁)を関連付けられない ことを確認する」
None
無理です★ • トークン / カード ID と PAN の下 4
桁の情報は 同じ親ノード – 同じ機能で使われるから仕方ない
代替コントロール • どうしても無理な要件に対応するときの言い訳代 替手段 • PAN に関係するデータが存在するデータベース へのアクセスを記録? – RDS
だからそれもできない! – RDS へアクセスできるサーバへの SSH アクセスを通 知・記録する←ここに落ち着いた
まとめ • PCI-DSS の要件がらみで、カジュアルに無茶 を言われることがある – あれもこれもセキュリティのためだから仕方ない – 代替コントロールという手段はある •
どうやって代替とするかは腕の見せ所 • Amazon はエライ!
basedevteam
htan
unson
gotalab555
nanachi
bengo4com
pharaohkj
smiyawaki0820
sansan_randd
k1nakayama
orangemorishita
nagisa53
lemiorhan
keavy
bcantrill
honnibal
mojombo
mraible
orderedlist
cassininazir
danielanewman
andyhume
holman
lauravandoore
