payjp-base-drink-pcidss-2016-04-27

Transcript

1. PCI-DSS の無茶振り、そして PCI-DSS に 準拠することによるその効果。

2. ココハドコワタシハダレ • Christopher S – of BASE, Inc. • PAY.JP

   事業部のセキュリティエンジニア – セキュアなインフラ構築 – PCI-DSS 準拠のお手伝い

3. PCI-DSS とは何じゃ • Payment Card Industry Data Security Standard •

   クレジットカード情報を取り扱う業者が任意で 準拠するセキュリティ指針 – 割賦販売法 (2010 年 12 月改正 ) 第 35 条で言及され る「必要な措置」として適する – 某マークよりよっぽどまとも • 常識的な項目から頭を抱える項目まで

4. 頭を抱えた問題その 1 ログを監視して、そのログを監視して、さらに そのログを監視して… … • セキュリティの三大要素のうち 2 つ –

   integrity – confidentiality

5. ログを監視するログを監視するログ を監視しているログ。 • integrity が破れると何も信じられなくなる だから集めてきた syslog は • まず参照元で改竄を監視し（当然これもログ）

   • 集約サーバで整合性を検証し（もちろんこれもログ） • 最終転送先（ Amazon S3 ）でもファイル変更履歴を監視 し、ファイルのバージョンが複数になったら直ちに Lambda 経由で Slack に通報 最終的に Amazon を信じることになる

6. まぁ、大丈夫じゃろ （ AWS の各サービスは迅速に PCI-DSS 新バー ジョンに対応します）

7. 頭を抱えた問題その 2 ハッシュ化された PAN とトランケートされた PAN の分離 • PAN –

   (Primary Account Number) カード番号 のこと – 15 桁 (AMEX) か 16 桁の数字

8. • PAN のハッシュとそれに対応するカード番号の 一部が暴露されると、 50 億に満たない試行回 数でカード番号が解読できてしまう – DB から漏洩したときは

   Issuer 情報も一緒に漏れる ことが想定され、その場合は 10 億回以下になる。 • 「ハッシュ化された PAN とトランケートされ た PAN （通常は下 4 桁）を関連付けられない ことを確認する」
9. None

10. 無理です★ • トークン / カード ID と PAN の下 4

    桁の情報は 同じ親ノード – 同じ機能で使われるから仕方ない

11. 代替コントロール • どうしても無理な要件に対応するときの言い訳代 替手段 • PAN に関係するデータが存在するデータベース へのアクセスを記録？ – RDS

    だからそれもできない！ – RDS へアクセスできるサーバへの SSH アクセスを通 知・記録する←ここに落ち着いた

12. まとめ • PCI-DSS の要件がらみで、カジュアルに無茶 を言われることがある – あれもこれもセキュリティのためだから仕方ない – 代替コントロールという手段はある •

    どうやって代替とするかは腕の見せ所 • Amazon はエライ！