Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
payjp-base-drink-pcidss-2016-04-27
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
basedevteam
May 10, 2016
Technology
2.9k
0
Share
payjp-base-drink-pcidss-2016-04-27
payjp-base-drink-pcidss-2016-04-27
basedevteam
May 10, 2016
More Decks by basedevteam
See All by basedevteam
base-drink-base-many-many-thumbnails-2016-04-27
basedevteam
0
2.8k
base-drink-base-bin-code-2016-04-27
basedevteam
0
2.8k
base-drink-base-ssl-2016-04-27
basedevteam
0
2.8k
payjp-base-drink-creditcard-2016-04-27
basedevteam
0
2.9k
Other Decks in Technology
See All in Technology
Do Ruby::Box dream of Modular Monolith?
joker1007
0
250
LLM時代の検索アーキテクチャと技術的意思決定
shibuiwilliam
2
610
Rapid Start: Faster Internet Connections, with Ruby's Help
kazuho
1
120
Zero-Downtime Migration: Moving a Massive, Historic iOS App from CocoaPods to SPM and Tuist without Stopping Feature Delivery
kagemiku
0
250
生成AI時代のエンジニア育成 変わる時代と変わらないコト
starfish719
0
8.2k
Digitization部 紹介資料
sansan33
PRO
1
7.3k
猫でもわかるKiro CLI(CDKコーディング編)
kentapapa
1
120
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
4.2k
ハーネスエンジニアリングの概要と設計思想
sergicalsix
6
3k
明日からドヤれる!超マニアックなAWSセキュリティTips10連発 / 10 Ultra-Niche AWS Security Tips
yuj1osm
0
510
🀄️ on swiftc
giginet
PRO
0
380
DIPS2.0データに基づく森林管理における無人航空機の利用状況
naokimuroki
1
220
Featured
See All Featured
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
330
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.4k
The Language of Interfaces
destraynor
162
26k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.1k
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
440
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
430
Embracing the Ebb and Flow
colly
88
5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
WENDY [Excerpt]
tessaabrams
10
37k
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
150
Transcript
PCI-DSS の無茶振り、そして PCI-DSS に 準拠することによるその効果。
ココハドコワタシハダレ • Christopher S – of BASE, Inc. • PAY.JP
事業部のセキュリティエンジニア – セキュアなインフラ構築 – PCI-DSS 準拠のお手伝い
PCI-DSS とは何じゃ • Payment Card Industry Data Security Standard •
クレジットカード情報を取り扱う業者が任意で 準拠するセキュリティ指針 – 割賦販売法 (2010 年 12 月改正 ) 第 35 条で言及され る「必要な措置」として適する – 某マークよりよっぽどまとも • 常識的な項目から頭を抱える項目まで
頭を抱えた問題その 1 ログを監視して、そのログを監視して、さらに そのログを監視して… … • セキュリティの三大要素のうち 2 つ –
integrity – confidentiality
ログを監視するログを監視するログ を監視しているログ。 • integrity が破れると何も信じられなくなる だから集めてきた syslog は • まず参照元で改竄を監視し(当然これもログ)
• 集約サーバで整合性を検証し(もちろんこれもログ) • 最終転送先( Amazon S3 )でもファイル変更履歴を監視 し、ファイルのバージョンが複数になったら直ちに Lambda 経由で Slack に通報 最終的に Amazon を信じることになる
まぁ、大丈夫じゃろ ( AWS の各サービスは迅速に PCI-DSS 新バー ジョンに対応します)
頭を抱えた問題その 2 ハッシュ化された PAN とトランケートされた PAN の分離 • PAN –
(Primary Account Number) カード番号 のこと – 15 桁 (AMEX) か 16 桁の数字
• PAN のハッシュとそれに対応するカード番号の 一部が暴露されると、 50 億に満たない試行回 数でカード番号が解読できてしまう – DB から漏洩したときは
Issuer 情報も一緒に漏れる ことが想定され、その場合は 10 億回以下になる。 • 「ハッシュ化された PAN とトランケートされ た PAN (通常は下 4 桁)を関連付けられない ことを確認する」
None
無理です★ • トークン / カード ID と PAN の下 4
桁の情報は 同じ親ノード – 同じ機能で使われるから仕方ない
代替コントロール • どうしても無理な要件に対応するときの言い訳代 替手段 • PAN に関係するデータが存在するデータベース へのアクセスを記録? – RDS
だからそれもできない! – RDS へアクセスできるサーバへの SSH アクセスを通 知・記録する←ここに落ち着いた
まとめ • PCI-DSS の要件がらみで、カジュアルに無茶 を言われることがある – あれもこれもセキュリティのためだから仕方ない – 代替コントロールという手段はある •
どうやって代替とするかは腕の見せ所 • Amazon はエライ!
SiteGround - Reliable hosting with speed, security, and support you can count on.
basedevteam
joker1007
shibuiwilliam
kazuho
kagemiku
starfish719
sansan33
kentapapa
sergicalsix
yuj1osm
giginet
naokimuroki
skipperchong
sergeychernyshev
destraynor
inesmontani
portentint
marktimemedia
colly
sstephenson
morganepeng
pedronauck
tessaabrams
jdejongh
