【勉強会資料】ネットワークアクセス制御編 for PCI DSS

1$*%44ษڧձ ωοτϫʔΫΞΫηε੍ޚฤ 5BLVSP*XBLJ Ϋϥεϝιουגࣜձࣾ"84ࣄۀຊ෦

໨࣍ w ωοτϫʔΫΞΫηε੍ޚ w *".ʹΑΔΞΫηε੍ޚ w ·ͱΊ

ຊ೔ͷΰʔϧ w *".ʹΑΔΞΫηε੍ޚ w ΞΠσϯςΟςΟϕʔεϙϦγʔ w ϦιʔεϕʔεϙϦγʔ w
"84ʹ͓͚ΔҎԼͷΞΫηε੍ޚػೳΛཧղ͢Δ w ωοτϫʔΫΞΫηε੍ޚ w ϧʔτςʔϒϧ w ηΩϡϦςΟάϧʔϓ w ωοτϫʔΫ"$- w 8"' w 71$ΤϯυϙΠϯτ w 63-ϑΟϧλϦϯάϑΥϫʔυϓϩΩγPO"84

ຊ೔ͷΰʔϧ

ࠓճऔΓ্͛ͳ͍αʔϏε ͓٬༷ڌ఺ͱ઀ଓ͢ΔҎԼͷαʔϏε͸ ࣌ؒͷؔ܎্औΓ্͛·ͤΜ w 71/ w %JSFDU$POOFDU w
5SBOTJU(BUFXBZ

෮श 71$

ߏ੒ਤͰݟΔͱ

w "84ΞΧ΢ϯτઐ༻ͷԾ૝ωοτϫʔΫ w "84Ϋϥ΢υͷଞͷԾ૝ωοτϫʔΫ͔Β࿦ཧతʹ੾Γ཭ ͞Ε͍ͯΔ w ಉ͡ϦʔδϣϯͷΞϕΠϥϏϦςΟκʔϯશͯʹ͓ΑͿ w "84ϦιʔεΛ71$಺ʹىಈ͢Δ w
$*%3ܗࣜͰΞυϨεൣғΛࢦఆͯ͠࡞੒͢Δ w ྫ 71$ͱ͸ʁ

෮श αϒωοτ

ߏ੒ਤͰݟΔͱ

w 71$Λ෼ׂͨ͠ΞυϨεۭؒ w ΞϕΠϥϏϦςΟκʔϯ͝ͱʹͭҎ্ͷαϒωοτ Λ࡞੒ w ΞϕΠϥϏϦςΟκʔϯΛލ͙͜ͱ͸Ͱ͖ͳ͍ αϒωοτͱ͸ʁ

w ύϒϦοΫαϒωοτ w Πϯλʔωοτ΁௚઀ΞΫηεͰ͖Δαϒωοτ w Πϯλʔωοτ(8ʹϧʔςΟϯά͞Εͨαϒωοτ w ϓϥΠϕʔταϒωοτ w Πϯλʔωοτ΁௚઀ΞΫηεͰ͖ͳ͍αϒωοτ
w ΠϯλʔωοτʹΞΫηε͍ͨ͠৔߹͸ɺ/"5(8ʹϧʔ ςΟϯά͢Δ ύϒϦοΫαϒωοτͱϓϥΠϕʔταϒωοτ

֤αϒωοτͷτϥϑΟοΫͷϧʔςΟϯά Λઃఆ͍ͨ͠

ωοτϫʔΫΞΫηε੍ޚᶃ w ϧʔτςʔϒϧ w ηΩϡϦςΟάϧʔϓ w ωοτϫʔΫ"$- w
8"' w 71$ΤϯυϙΠϯτ w 63-ϑΟϧλϦϯάϑΥϫʔυϓϩΩγPO"84

αϒωοτ಺ʹ͋ΔϦιʔε͕Ͳ͜ʹ௨৴͢Δ͔ͷϧʔϧΛఆΊͨ΋ͷ w αϒωοτʹؔ࿈෇͚ͯར༻ w ૹ৴ઌͱλʔήοτΛઃఆ w ྫʣ w ͭͷϧʔτςʔϒϧʹෳ਺αϒωοτΛؔ࿈෇͚ΒΕΔ w
ͭͷαϒωοτʹෳ਺ϧʔτςʔϒϧΛؔ࿈෇͚ΒΕͳ͍ ϧʔτςʔϒϧͱ͸ʁ ૹ৴ઌ λʔήοτ MPDBM *(8

ߏ੒ਤͰݟΔͱ

ૹ৴ݩͱϙʔτͰΞΫηεΛ੍ޚ͍ͨ͠

ωοτϫʔΫΞΫηε੍ޚᶄ w ϧʔτςʔϒϧ w ηΩϡϦςΟάϧʔϓ w ωοτϫʔΫ"$- w

ηΩϡϦςΟάϧʔϓͱ͸ʁ w ؔ࿈෇͚ΒΕͨΠϯελϯεͷϑΝΠΞ΢Υʔϧͱͯ͠ಈ࡞ ͢Δ w ΠϯελϯεϨϕϧͰಈ࡞ w ϧʔϧͷڐՄͷΈ͕ઃఆՄೳɺڋ൱͸ઃఆෆՄ
w εςʔτϑϧ w Πϯό΢ϯυͰڐՄ͞Εͨ௨৴͸Ξ΢τό΢ϯυͰ໌ࣔత ʹڐՄͤͣͱ΋ɺࣗಈͰڐՄ͞ΕΔ w τϥϑΟοΫΛڐՄ͢Δ͔Ͳ͏͔ΛܾΊΔલʹɺશͯͷϧʔ ϧΛධՁ͢Δ

ηΩϡϦςΟάϧʔϓͷྫ w ιʔεʹηΩϡϦςΟάϧʔϓ*%ΛࢦఆՄೳ w ಛఆͷηΩϡϦςΟάϧʔϓʹଐͨ͠Πϯελϯε͔Βͷ઀ଓΛڐՄ w *1͕มΘͬͨΓɺΠϯελϯε͕૿ݮ͢Δ৔߹ɺ౎౓ϝϯςφϯεෆཁ

ߏ੒ਤͰݟΔͱ 8&#͔Βͷ.Z42-ϙʔ τΛར༻ͨ͠௨৴ͷΈ઀ଓͷΈ ڐՄ "-#͔Βͷ)551௨৴ɺ͓Α ͼ#BTUJPO͔Βͷ44)઀ଓΛ ڐՄ ಛఆͷڌ఺*1͔Βͷ#BTUJPO
΁ͷ44)઀ଓڐՄ શͯͷૹ৴ݩ͔Β)551·ͨ ͸)5514௨৴ΛڐՄ

ωοτϫʔΫΞΫηε੍ޚᶅ w ϧʔτςʔϒϧ w ηΩϡϦςΟάϧʔϓ w ωοτϫʔΫ"$- w

ωοτϫʔΫ"$-ͱ͸ʁ w ؔ࿈෇͚ΒΕͨαϒωοτͷ಺֎ͷτϥϑΟοΫΛ੍ޚ͢ ΔϑΝΠΞ΢Υʔϧͱͯ͠ಈ࡞͢Δ w αϒωοτϨϕϧͰಈ࡞ w ڐՄ͓Αͼڋ൱ϧʔϧΛઃఆՄೳ
w εςʔτϨε w Πϯό΢ϯυɺΞ΢τό΢ϯυڞʹڐՄ͢Δ w αϒωοτ಺ͷτϥϑΟοΫΛ੍ޚͰ͖ͳ͍ w ϧʔϧ൪߸ͷ௿͍ॱʹධՁ͞ΕҰக͢Δϧʔϧ͕͋Ε͹Ҏ ߱ͷධՁ͸ߦΘΕͳ͍

ωοτϫʔΫ"$-ͷྫ w σϑΥϧτͰ͸"--08΋%&/:΋ఆٛ͞Ε͍ͯΔ w "--08͕ઌʹධՁ͞Ε%&/:͸ධՁ͞Εͳ͍ w ݁Ռ͢΂ͯͷΠϯό΢ϯυΞ΢τό΢ϯυ௨৴ΛڐՄ

ωοτϫʔΫ"$-ͷϢʔεέʔε w ໌ࣔతͳڋ൱ϧʔϧΛࢦఆՄೳ w ಛఆ*1ΞυϨεϙʔτΛϒϥοΫϦετܗࣜͰొ࿥Մೳ w ϧʔϧ਺͸σϑΥϧτͰɺ্ݶ؇࿨ͯ͠࠷େ·Ͱ w
ϧʔϧΛॲཧ͢ΔϫʔΫϩʔυ͕૿͑ΔͨΊɺωοτϫʔΫύ ϑΥʔϚϯεʹӨڹ͢Δ͜ͱ͕͋ΔͷͰཁ஫ҙ w ઀ଓ௥੻͞ΕͨτϥϑΟοΫϑϩʔΛ੾அ w ηΩϡϦςΟάϧʔϓΛ࡟আͨ͠ࡍɺτϥϑΟοΫ͕͙͢ʹதஅ ͞ΕΔΑ͏͍ͨ͠৔߹ʹར༻

ߏ੒ਤͰݟΔͱ

ηΩϡϦςΟάϧʔϓͱ ωοτϫʔΫ"$-ͷҧ͍

ηΩϡϦςΟάϧʔϓͱωοτϫʔΫ"$-ͷҧ͍ IUUQTEPDTBXTBNB[PODPNKB@KQWQDMBUFTUVTFSHVJEF71$@4FDVSJUZIUNM ηΩϡϦςΟάϧʔϓ ωοτϫʔΫ"$- ΠϯελϯεϨϕϧͰಈ࡞ αϒωοτϨϕϧͰಈ࡞ ϧʔϧͷڐՄͷΈ͕αϙʔτ ϧʔϧͷڐՄͱڋ൱͕αϙʔτ
εςʔτϑϧ εςʔτϨε ͢΂ͯͷϧʔϧΛධՁ ॱ൪ʹϧʔϧΛධՁ ؔ࿈෇͚ΒΕͨΠϯελϯεʹ ͷΈద༻ ؔ࿈෇͚ΒΕͨαϒωοτ಺ͷ શͯͷΠϯελϯεʹద༻

ૹ৴ݩͷࠃΛ੍ݶ͍ͨ͠

ωοτϫʔΫΞΫηε੍ޚᶆ w ϧʔτςʔϒϧ w ηΩϡϦςΟάϧʔϓ w ωοτϫʔΫ"$- w

8"'ͱ͸ʁ w $MPVE'SPOUɺ"QQMJDBUJPO-PBE#BMBODFSɺ"1*(BUFXBZ্Ͱ ಈ࡞͢ΔΫϥ΢υܕ8"'ͷαʔϏε w ڐՄ·ͨ͸ڋ൱͢Δ8&#ϦΫΤετͷ৚݅ w ѱҙͷ͋Δ42-ΠϯδΣΫγϣϯ΍944ͷ߈ܸݕ஌
w ૹ৴ݩ͕ಛఆͷ*1ΞυϨε·ͨ͸*1ΞυϨεൣғ w ૹ৴ݩ͕ಛఆͷࠃ w ϦΫΤετͷಛఆ෦෼͕ࢦఆͨ͠จࣈྻ΍ਖ਼نදݱͱҰக w ϦΫΤετ͕ࢦఆͨ͠௕͞Λ௒͍͑ͯΔ

*1Ұக৚݅ w ΞΫηεΛڐՄ·ͨ͸ڋ൱͢Δ*1ΞυϨεΛొ࿥ w ϦΫΤετͷૹ৴ݩͷ*1ΞυϨε·ͨ͸*1ΞυϨ εൣғΛ ݅·Ͱొ࿥Մೳ

(FP (FPHSBQIJD Ұக৚݅ w ϦΫΤετૹ৴ݩͷࠃʹج͍ͮͯ΢ΣϒϦΫΤετΛ ڐՄ·ͨ͸ڋ൱͢ΔࠃΛొ࿥

ߏ੒ਤͰݟΔͱ

ΠϯλʔωοτΛܦ༝ͤͣʹ"84αʔϏε ʹΞΫηε͍ͨ͠

ωοτϫʔΫΞΫηε੍ޚᶇ w ϧʔτςʔϒϧ w ηΩϡϦςΟάϧʔϓ w ωοτϫʔΫ"$- w

71$ΤϯυϙΠϯτͱ͸ʁ w ΠϯλʔωοτΛܦ༝ͤͣ71$͔Β"84αʔϏε ΁ͷ઀ଓΛఏڙ w 71$ΤϯυϙΠϯτͷछྨ͸ͭ w 71$(BUFXBZ&OEQPJOU
w 71$*OUFSGBDF&OEQPJOU

71$(BUFXBZ&OEQPJOUͱ͸ʁ w ϓϥΠϕʔτ*1͔Β4·ͨ͸%ZOBNP%#ʹΞΫηε͠ ͍ͨ৔߹ʹར༻ w *(8ɺ/"5(8ɺύϒϦοΫ*1͸ෆཁ w 71$ΤϯυϙΠϯτϙϦγʔΛ࢖༻ͯ͠ΞΫηε੍ޚ

71$ΤϯυϙΠϯτϙϦγʔͷྫʢ4ʣ { "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal":
"*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"] } ] } https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-endpoints-s3.html#vpc- endpoints-policies-s3

71$*OUFSGBDF&OEQPJOUͱ͸ʁ w ϓϥΠϕʔτ*1͔Βࢦఆͨ͠ಛఆͷ"84αʔϏε 4 ΍%ZOBNP%#Ҏ֎ʣʹΞΫηε͍ͨ͠৔߹ʹར༻ w *(8ɺ/"5(8ɺύϒϦοΫ*1͸ෆཁ w
71$ΤϯυϙΠϯτϙϦγʔΛ࢖༻ͯ͠ΞΫηε੍ޚ w ηΩϡϦςΟάϧʔϓʹΑΔΞΫηε੍ޚ IUUQTEPDTBXTBNB[PODPNWQDMBUFTUVTFSHVJEFWQDFJOUFSGBDFIUNM

71$ΤϯυϙΠϯτར༻࣌ʹؾΛ͚ͭΔ͜ͱ w ར༻Ͱ͖Δͷ͸71$ͱಉ͡Ϧʔδϣϯͷ71$ΤϯυϙΠϯτ w Ϧʔδϣϯࢦఆͳ͠ͰΞΫηε͠Α͏ͱ͢Δͱ71$ΤϯυϙΠϯ τΛར༻͠ͳ͍ΞΫηεͱͳΔͷͰ஫ҙ͕ඞཁ IUUQTEFWDMBTTNFUIPEKQDMPVEBXTTSFHJPOXJUIWQDFOEQPJOU

ߏ੒ਤͰݟΔͱ

8&#Πϯελϯε͔Β઀ଓͰ͖Δ63-Λ੍ ޚ͍ͨ͠

ωοτϫʔΫΞΫηε੍ޚᶈ w ϧʔτςʔϒϧ w ηΩϡϦςΟάϧʔϓ w ωοτϫʔΫ"$- w

63-ϑΟϧλϦϯάϑΥϫʔυϓϩΩγPO"84 w "84ϚωʔδυαʔϏεʹ͸ͳ͍ͨΊɺ&$্ʹ )551ϓϩΩγΛߏஙͯ͠ར༻ w Πϯλʔωοτ΁ͷΞ΢τό΢ϯυ௨৴Λಛఆͷ৴པ Ͱ͖ΔυϝΠϯʹ੍ݶՄೳ w
ྫʣ)551ϓϩΩγ4RVJEΛ&$্ʹߏங͢Δ IUUQTBXTBNB[PODPNKQCMPHTTFDVSJUZIPXUPTFUVQBOPVUCPVOEWQD QSPYZXJUIEPNBJOXIJUFMJTUJOHBOEDPOUFOUpMUFSJOH

͝ࢀߟ IUUQTEFWDMBTTNFUIPEKQDMPVEBXTTRVJEXIJUFMJTUVCVOUV

֤αʔϏεͰ࣮ߦͰ͖ΔΞΫγϣϯΛ੍ݶ͠ ͍ͨ

*".ʹΑΔΞΫηε੍ޚᶃ w ΞΠσϯςΟςΟϕʔεϙϦγʔ w ϦιʔεϕʔεϙϦγʔ

ΞΠσϯςΟςΟϕʔεϙϦγʔ w *".ϢʔβʔɺάϧʔϓɺϩʔϧʹΞλον͢ΔϙϦγʔ w ্هΞΠσϯςΟςΟʢҎ߱ɺ*%ʣ͕࣮ߦͰ͖ΔΞΫγϣϯΛࢦఆ Մೳ w *%ʹΞλον͢ΔͨΊϓϦϯγύϧͷࢦఆෆཁ
w "84ఏڙͷ؅ཧϙϦγʔͱࣗ਎ͰΧελϚΠζͨ͠ΠϯϥΠϯϙ ϦγʔΛઃఆ͢Δ͜ͱ͕Մೳ

ΞΠσϯςΟςΟϕʔεϙϦγʔͷྫ \ 7FSTJPO 4UBUFNFOU< \ 4JE-JTU0CKFDUT*O#VDLFU
&⒎FDU"MMPX "DUJPO<T-JTU#VDLFU> 3FTPVSDF<BSOBXTTFYBNQMFCVDLFU> ^ > ^ w Ξλον͞Εͨ*%͕FYBNQMFCVDLFUͷΦϒδΣ ΫτϦετͷΈڐՄ͞ΕͨϙϦγʔ

*".ʹΑΔΞΫηε੍ޚᶃ w ΞΠσϯςΟςΟϕʔεϙϦγʔ w ϦιʔεϕʔεϙϦγʔ

ϦιʔεϕʔεϙϦγʔ w "84ϦιʔεʹΞλον͢ΔϙϦγʔ w ୭͕ϦιʔεʹΞΫηεͰ͖ɺͲͷΑ͏ͳΞΫγϣϯΛ࣮ߦ Ͱ͖Δ͔ࢦఆ͢Δ w ϓϦϯγύϧΛࢦఆ͠ϦιʔεʹΞΫηεͰ͖ΔϢʔβʔΛ
w ؅ཧϙϦγʔ͸ఏڙ͞Ε͍ͯͳ͍ɺΠϯϥΠϯϙϦγʔͷΈ

ಛఆ4όέοτͷΞΫηεΛ71$Τϯυ ϙΠϯτ͔ΒͷΞΫηεʹ੍ݶ͍ͨ͠

ϦιʔεϕʔεϙϦγʔͷྫ \ 7FSTJPO 4UBUFNFOU< \ 1SJODJQBM
"DUJPOT &⒎FDU%FOZ 3FTPVSDF<BSOBXTTFYBNQMFCVDLFU BSOBXTTFYBNQMFCVDLFU > $POEJUJPO\ 4USJOH/PU&RVBMT\ BXTTPVSDF7QDFWQDFBCDE ^ ʙεϖʔεͷ౎߹ҎԼলུʙ w ಛఆͷ71$ΤϯυϙΠϯτ͔ΒͷΞΫηε͡Όͳ͍৔߹ڋ൱͢Δ

·ͱΊ

ΞΫηε੍ޚػೳ w *".ʹΑΔΞΫηε੍ޚ w ΞΠσϯςΟςΟϕʔεϙϦγʔ w ϦιʔεϕʔεϙϦγʔ w
"84ʹ͓͚ΔҎԼͷΞΫηε੍ޚػೳΛઆ໌͠·ͨ͠ w ωοτϫʔΫΞΫηε੍ޚ w ϧʔτςʔϒϧ w ηΩϡϦςΟάϧʔϓ w ωοτϫʔΫ"$- w 8"' w 71$ΤϯυϙΠϯτ w 63-ϑΟϧλϦϯάϑΥϫʔυϓϩΩγPO"84

·ͱΊ

【勉強会資料】ネットワークアクセス制御編 for PCI DSS

【勉強会資料】ネットワークアクセス制御編 for PCI DSS

Other Decks in Technology

Featured

Transcript