PCI-DSS/PCI-3DS とは何か？ 白"雪姫"(Shirayuki)

PCIDSSやPCI3DSとは・・・？ オンライン・オフラインに問わず不正利用を防止・抑止するために 国際ブランド(VISA/Master/JCB/Diners/AmericanExpress/銀聯※)が共同で策定した クレジットカード決済システムにおける準拠すべき項目をまとめたグローバルセキュリ ティスタンダード基準です 準拠規約に沿ってインフラ構築とアプリ開発が必要になります。 PCI-DSSは6個の目的と12の要件 PCI-3DSはPCI-DSSの取得した上で3DSセキュア認証のセキュリティ基準

概略

PCI-DSS 準拠要件概要 1. FWのインストールと維持 2. デフォルト値パラメータの変更 3. カードデータの保護 4. 公共ネットワークの伝送の暗号化 5. マルウェア対策 6. 安全性の高い開発 7. 必要な特権の管理 8. アクセス識別 9. 物理アクセス制限 10. 追跡と監視 11. 定期テスト 12. メンバーへの概要周知

PCIDSSの要件ごとの目的 目的 要件(前スライドの番号で表記 ) 安全なネットワークとシステム構築と維持 1：FWのインストールと維持 2：デフォルト値パラメータの変更 カード会員データの保護 3：カードデータの保護 4：公共ネットワークの伝送の暗号化 脆弱性管理プログラムの整備 5：マルウェア対策 6：安全性の高い開発 強力なアクセス制御の導入 7：必要な特権の管理 8：アクセス識別 ネットワークの定期的監視とテスト 10：追跡と監視 11：定期テスト 情報セキュリティポリシーの整備と周知 12：メンバーへの概要周知

安全なネットワークとシステム構築と維持 ・必要以外に受信・送信の通信を許可しない ・通信の暗号化 ・標準的な構築基準準拠した構築 カード会員データの保護 ・通過時の暗号化 ・保存がある場合の保存方法 脆弱性管理プログラムの整備 ・利用するアプリケーション言語の脆弱性の発見と対応 ・構築を行ったサーバ（H/W)を含む脆弱性の発見と対応

強力なアクセス制御の導入 ・最小特権の設定 ・必要以上にカード情報に関わるデータの保存 ネットワークの定期的監視とテスト ・脆弱性等の対策をされているかどうかの確認 ・通信上に不正な通信は流れていないかの監視 ・発生した場合の追跡 情報セキュリティポリシーの整備と周知 ・目的を要項に合わせた上で準拠出来る様なポリシーを策定 ・関係者に周知を行い理解してもらう

PCI-3DS Part1とPart2がある 1. Part1 a. コンサルタントに確認してください。 PCIDSS準拠の場合は部分的に免 除になる可能性があります。 2. Part2 a. スコープの妥当性 b. セキュリティガバナンス c. 3DSシステムとアプリケーション保 護 d. 3DSシステムへの安全は論理アク セス e. 3DSのデータ保護 f. 暗号化と鍵管理 g. 3DSシステムの物理的安全性

PCI-3DSの要件ごとの目的 目的 要件(前スライドのアルファベットで表記 ) 審査対象スコープの見極めと全体的セキュリティの 管理 a：スコープの妥当性 b：セキュリティガバナンス 3DSに関する通信・データ保管が必要最小限か、 ログが取得されているか c：3DSシステムとアプリケーション保護 d：3DSシステムへの安全は論理アクセス e：3DSのデータ保護 暗号化鍵の管理手順が整備されているか 必須になっているHSMが適切に管理されているか f：暗号化と鍵管理 取引内容の認証と確認をするサーバと認証を相互 で行うサーバのデータセンターが適切に入退室管 理・物理的な侵入検知、監視カメラの記録が取得さ れているか等 g：3DSシステムの物理的安全性

審査対象スコープの見極めと全体的セキュリティの管理 ・審査対象としているスコープは正しいか ・全体的に堅牢なセキュリティを設定出来ているか 3DSに関する通信・データ保管が必要最小限か、ログが取得されているか ・3DSとの通信が必要最小限に抑えられているか ・ログが正しく出力されているかまた、正しく保存されているか 暗号化鍵の管理手順が整備されているか 必須になっているHSMが適切に管理されているか ・暗号化鍵の各種管理手順が最新化されて整備されているか ・適切に設定しHSMが管理されているか 取引内容の認証と確認をするサーバと認証を相互で行うサーバのデータセンターが適切に入退室管理・ 物理的な侵入検知、監視カメラの記録が取得されているか等 ・物理的装置の設置場所が安全性が担保されているか

準拠するために

必要な物（概略) インフラ構築 アプリケーション構築 NIST等の有名な構築基準に準拠しているか コーディングテストは行ったか 必要なOSのログは取得出来ているか OWASP等有名なコーディング基準に則して いるか アクセスログ(こちらはSSH等という意味）は 残っているか 脆弱性のあるバージョンを利用していないか 不正アクセス対策はされているか ミドルウェアのバージョンは適宜アップデート 出来るか 適切なアクセス制御はされているか などなど・・・

まとめ

まとめ ということが書いてあります。 ● 堅苦しく書いたけど、要するに不正アクセスを防止するために準拠して ね？ ○ 万が一不正アクセスされたときはログとかから追えるようにしておい てね ● サーバとか物理的に保有するときは置く場所も気にしてね ● OS、アプリケーションの設定をする時は有名な基準 (NIST・CSIRT・OWASP・IPA等）を基準に作ってね

参考資料

参考資料 ● NRIセキュア様 ○ クレジットカード業界の新たなセキュリティ基準、「PCI 3DS」とは？ ● 富士通様 ○ 誰でも分かる！PCIDSSの要件と対処方法 ● PCISSC様 ○ 各種要件(PCI-DSS-v4_0-JA.pdf, PCI-3DS-Core-Security-Standard-v1.pdf)

Thank you !