Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
payjp-base-drink-pcidss-2016-04-27
Search
basedevteam
May 10, 2016
Technology
0
2.8k
payjp-base-drink-pcidss-2016-04-27
payjp-base-drink-pcidss-2016-04-27
basedevteam
May 10, 2016
Tweet
Share
More Decks by basedevteam
See All by basedevteam
base-drink-base-many-many-thumbnails-2016-04-27
basedevteam
0
2.8k
base-drink-base-bin-code-2016-04-27
basedevteam
0
2.8k
base-drink-base-ssl-2016-04-27
basedevteam
0
2.7k
payjp-base-drink-creditcard-2016-04-27
basedevteam
0
2.9k
Other Decks in Technology
See All in Technology
迷わない!AI×MCP連携のリファレンスアーキテクチャ完全ガイド
cdataj
0
600
20260114_データ横丁 新年LT大会:2026年の抱負
taromatsui_cccmkhd
0
350
善意の活動は、なぜ続かなくなるのか ーふりかえりが"構造を変える判断"になった半年間ー
matsukurou
0
610
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
yuriemori
0
500
サラリーマンソフトウェアエンジニアのキャリア
yuheinakasaka
41
19k
田舎で20年スクラム(後編):一個人が企業で長期戦アジャイルに挑む意味
chinmo
1
1.6k
純粋なイミュータブルモデルを設計してからイベントソーシングと組み合わせるDeciderの実践方法の紹介 /Introducing Decider Pattern with Event Sourcing
tomohisa
1
1.2k
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
6
63k
「違う現場で格闘する二人」——社内コミュニティがつないだトヨタ流アジャイルの実践とその先
shinichitakeuchi
0
500
Oracle Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
1
940
Data Hubグループ 紹介資料
sansan33
PRO
0
2.6k
AI Agent Standards and Protocols: a Walkthrough of MCP, A2A, and more...
glaforge
0
400
Featured
See All Featured
Mind Mapping
helmedeiros
PRO
0
50
Scaling GitHub
holman
464
140k
Information Architects: The Missing Link in Design Systems
soysaucechin
0
740
How to make the Groovebox
asonas
2
1.9k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.1k
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
82
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
1
1.3k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
9.3k
Marketing to machines
jonoalderson
1
4.5k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
54
49k
Skip the Path - Find Your Career Trail
mkilby
0
44
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
0
150
Transcript
PCI-DSS の無茶振り、そして PCI-DSS に 準拠することによるその効果。
ココハドコワタシハダレ • Christopher S – of BASE, Inc. • PAY.JP
事業部のセキュリティエンジニア – セキュアなインフラ構築 – PCI-DSS 準拠のお手伝い
PCI-DSS とは何じゃ • Payment Card Industry Data Security Standard •
クレジットカード情報を取り扱う業者が任意で 準拠するセキュリティ指針 – 割賦販売法 (2010 年 12 月改正 ) 第 35 条で言及され る「必要な措置」として適する – 某マークよりよっぽどまとも • 常識的な項目から頭を抱える項目まで
頭を抱えた問題その 1 ログを監視して、そのログを監視して、さらに そのログを監視して… … • セキュリティの三大要素のうち 2 つ –
integrity – confidentiality
ログを監視するログを監視するログ を監視しているログ。 • integrity が破れると何も信じられなくなる だから集めてきた syslog は • まず参照元で改竄を監視し(当然これもログ)
• 集約サーバで整合性を検証し(もちろんこれもログ) • 最終転送先( Amazon S3 )でもファイル変更履歴を監視 し、ファイルのバージョンが複数になったら直ちに Lambda 経由で Slack に通報 最終的に Amazon を信じることになる
まぁ、大丈夫じゃろ ( AWS の各サービスは迅速に PCI-DSS 新バー ジョンに対応します)
頭を抱えた問題その 2 ハッシュ化された PAN とトランケートされた PAN の分離 • PAN –
(Primary Account Number) カード番号 のこと – 15 桁 (AMEX) か 16 桁の数字
• PAN のハッシュとそれに対応するカード番号の 一部が暴露されると、 50 億に満たない試行回 数でカード番号が解読できてしまう – DB から漏洩したときは
Issuer 情報も一緒に漏れる ことが想定され、その場合は 10 億回以下になる。 • 「ハッシュ化された PAN とトランケートされ た PAN (通常は下 4 桁)を関連付けられない ことを確認する」
None
無理です★ • トークン / カード ID と PAN の下 4
桁の情報は 同じ親ノード – 同じ機能で使われるから仕方ない
代替コントロール • どうしても無理な要件に対応するときの言い訳代 替手段 • PAN に関係するデータが存在するデータベース へのアクセスを記録? – RDS
だからそれもできない! – RDS へアクセスできるサーバへの SSH アクセスを通 知・記録する←ここに落ち着いた
まとめ • PCI-DSS の要件がらみで、カジュアルに無茶 を言われることがある – あれもこれもセキュリティのためだから仕方ない – 代替コントロールという手段はある •
どうやって代替とするかは腕の見せ所 • Amazon はエライ!
basedevteam
cdataj
taromatsui_cccmkhd
matsukurou
yuriemori
yuheinakasaka
chinmo
tomohisa
sansan33
shinichitakeuchi
oracle4engineer
glaforge
helmedeiros
holman
soysaucechin
asonas
danielanewman
jdejongh
sarafernandez
aleyda
jonoalderson
madoxten
mkilby
apolaine
