Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
PCI DSSを取る方法
Search
Sudachi-Kun
March 01, 2016
Technology
1.9k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
PCI DSSを取る方法
cloudpackが実践した取得と更新から学ぶ
Sudachi-Kun
March 01, 2016
More Decks by Sudachi-Kun
See All by Sudachi-Kun
Slack-EMOJIをチーム間で共有する方法
sudachikawaii
0
150
SORACOMに乗せるぜマイナンバー
sudachikawaii
0
1.7k
外よりも中からの攻撃・ 事故がヤバイ、今やるべきクラウドセキュリティ対策
sudachikawaii
5
8.1k
Other Decks in Technology
See All in Technology
product engineering with qa
nealle
0
120
5分でわかる Amazon Connect_20260608
hwangbyeonghun
0
150
自分が詳しくない領域でAIを使う #プロヒス2026
konifar
20
8.1k
テスト設計の本質を改めて考えてみる~生成AIを活用する時代だからこそ、作ったテストの説明性を高めよう~
yamasaki696
1
230
AWS Summit の片隅で、体育座りしながらコミュニティがにぎわう理由を考えた
k_adachi_01
2
310
Agentic AI 時代のテスト手法: Kiro とはじめるプロパティベーステスト (AWS Summit Japan 2026 | DEV212)
ymhiroki
0
130
攻撃者がいなくてもAIエージェントはインシデントを起こす
nomizone
0
170
サイバーエージェントにおけるAI推進戦略と変革への取り組み
shotatsuge
0
640
toB プロダクトから見たWAF
tokai235
0
260
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
プライバシー保護の理論と実践
lycorptech_jp
PRO
1
170
“詰む”前に仕組みを作れ 〜技術の波に溺れないためのキャッチアップ術〜
takasyou
8
4.7k
Featured
See All Featured
Designing for Timeless Needs
cassininazir
1
260
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
350
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
6k
AI: The stuff that nobody shows you
jnunemaker
PRO
8
750
Code Reviewing Like a Champion
maltzj
528
40k
Amusing Abliteration
ianozsvald
1
210
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.5k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.3k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
550
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
Transcript
PCI DSSΛऔΔํ๏ cloudpack͕࣮ફͨ͠औಘͱߋ৽͔ΒֶͿ 2016/03/01
͡Ίʹ ँΒͳ͚ΕͳΒͳ͍͜ͱ͕ ͋Γ·͢
͜ͷεϥΠυ 227εϥΠυ ͋Γ·͢
ࣗݾհ
ᴡ౻ ጏਔ ΞΠϨοτגࣜձࣾ cloudpackࣄۀ෦ 20138݄ೖࣾ ʲϒϩάʳ ϩʔυόϥϯεͩͪ͘͢Μ http://blog.animereview.jp/
ϒϩά ׂͱ͍Ζ͍Ζॻ͍ͯ·ͯ͠
ݸਓϒϩά͚ͩͲ34ສPV ̍ฏۉ1500PV
ͦͷલHPCͬͯ·ͨ͠ ʢϋΠɾύϑΥʔϚϯεɾίϯϐϡʔςΟϯάʣ
GPU͍ͬͺ͍ͷͤͯ
Ϋϥελ ΜͩΓ ͢ΔΘ͚Ͱ͢
ͦͷલ2͘Β͍ χʔτͯ͠·ͨ͠ ʢ24/365ۈʣ ʢͣͬͱήʔϜͯͨ͠ʣ
ߋʹͦͷલ υεύϥͷ ๏ਓ෦ୂʹ͍·ͨ͠
2009ʹ GMO͞Μͷ αʔόʔ࡞ͬͨ࣌ͷ هࣄ ʢITmedia͞Μʣ
͋Δγϯδ ֮ΊΔͷͰ͢
࣌Ϋϥυ͡ΌͶʁ
ͦͯ͠ΞΠϨοτʹ ඈͼࠐΉ
·ͣ୲ͨ͠ͷ ϓϩδΣΫτϚωʔδϟʔ
ͦͯࣗࣾ͠Webߋ৽
͔Βͷ٬ઌৗற
ԿͰ
ݱࡏͷݞॻ͖
ใηΩϡϦςΟཧऀ
ݸਓใཧऀ
PCI DSSཧऀ
ܦྺͱηΩϡϦςΟͷ γϯΫϩ͕ઈత
͖͔͚ͬ ৽ͨͳࠪରԠͱ લͷୀ৬
CTOླ ʮγϯδ܅ηΩϡϦςΟͬͯʔʯ
͍͍ͬ͢Αʔ
1͔ΒݱͰୟ͔Εͯ ࠓʹࢸΓ·͢
ͦͯ͠ޛͬͨ
ٕज़ྗʢITϦςϥγʔʣͱ ηΩϡϦςΟϦςϥγʔ શͬͯ͘ൺྫ͠ͳ͍
ΞΠϨοτגࣜձࣾ cloudpackࣄۀ෦ ͝հ
ΞΠϨοτגࣜձࣾ ઃཱ ࢿຊۚ දऀ ैۀһ ࣄۀ༰ γεςϜ։ൃɾอक ϚωʔδυϗεςΟϯά 200310݄15
7,000ສԁ ᜊ౻ কฏ 100໊ʢ20159݄ݱࡏʣ
AWSΛ׆༻͠ͳ͕ΒϏδωεʹूதͰ͖Δ ίϯγΣϧδϡαʔϏε
4 ࣾ ࣾ ϓϩδΣΫ τ 500 800 5 5
ؒAWSͷΈͰ
AWSϓϨϛΞίϯα ϧςΟϯά ύʔτφʔ ΞδΞҬ5ࣾ ࠷্Ґύʔτφʔ 4࿈ଓ2ࣾͷΈ Premier > Advanced
> Standard > Registered શੈք2331ࣾத
AWSίϯϐςϯγʔೝఆ AWSͷӡ༻อक ϏοάσʔλͷऔΓѻ͍
AWSύʔτφʔΞϫʔυ ࠷ߴӫ༪ͷ APN Partner of the Year ड
ཁ͢Δʹ ಛʹAWSͷߏஙӡ༻อक͕ ಘҙͳձࣾͰ͢
αʔόʔͰ͢
ͱ͍͏͜ͱ
ηΩϡϦςΟཁ݅తʹ ݫ͍͓͠٬༷ͷڥΛ ӡ༻͢Δ͜ͱ͋ΔΘ͚Ͱ͢
ͦ͜Ͱ
20138݄ PCI DSS Ϩϕϧ1 औಘ ͦͷޙɺຖߋ৽
ͳͷͰɺ αʔόʔΠϯϑϥͳݟํͰ ͓͠͠·͢
ࠓ͍Βͬ͠Ό͍ͬͯΔ օ༷Ͱ͋Ε Α͘͝ଘ͔͡ͱࢥ͍·͕͢
PCI DSSʹ ʮϨϕϧʯ ͕͋Γ·͢ΑͶ
Ϩϕϧ1͔ΒϨϕϧ4·Ͱ
γϯδ࠷ॳɺ Ϩϕϧ͕ߴ͍ํ͕ Ғ͍ͷͩͱࢥ͍ͬͯ·ͨ͠ RPGతͳҙຯͰ ʢͻͷ͖ͷ΅͏ɺΑΓమͷʣ
ͱ͜Ζ͕͍Ζ͍ΖௐΔͱ
ͪΐͬͱಟͮ͘Α͏Ͱ ڪॖͰ͋Γ·͕͢
Ϩϕϧ2ʙ4ͬͯ
ҙຯ͋Δͷʁ
֎෦ࠪແͬͯ͠ ҙຯ͋Δͷʁ
͔ͤͬ͘ΔͳΒ Ϩϕϧ1Γ·ͤΜ͔
ࣗݾஅେࣄͩͱ ࢥ͍·͕͢ PCI DSSΛऔ͍ͬͨͬͯ͏ PRతͳɺձࣾͱͯ͠υϠإ Ͱ͖Δͱ͍͏ҙຯͰ
Γࢦ͢ PCI DSS ࠷৽όʔδϣϯͷ Ϩϕϧ1
ͱ͍͏͜ͱͰ
Ͳ͏͢ΕPCI DSSͷ ֎෦͕ࠪ ΫϦΞͰ͖Δͷ͔Λ ͓͍͑ͨ͠ͱࢥ͍·͢
PCI DSSऔಘͷ ϝϦοτɾσϝϦοτ
ηΩϡϦςΟʹ ʮҰఆͷج४ʯ ͕ඞཁͰ͢
ͦͷج४Λɺ ͔ͳΓ۩ମతʹ ౿ΈࠐΜͰ ఏڙͯ͘͠ΕΔͷ͕ PCI DSSͷޣຯͰ͢
Α͘ฉ͕͘
ΫϨδοτΧʔυͷ༷ͳ ใΛऔΓѻΘͳ͍͚Ͳɺ PCI DSSͬͯ औΔҙຯ͋Δͷʁ
ͱ͍͏Ͱ͢ɻ͜Εɺ
νͷηΩϡϦςΟɺ ΫϨδοτΧʔυͷ༷ͳ ηϯγςΟϒͳใ͑͞ औΓѻ͑Δ͚ͩͷ ମ੍͕͋Δ͜ͱͷ ূ໌ͳΜͰ͢Α
ͱ͍͏͜ͱʹͳΓ·͢ɻ ͳͷͰɺेͳޮՌ͕ ظग़དྷ·͢ɻ ʢݫີʹΠίʔϧͰ ͋Γ·ͤΜ͕ɺ ฏͨ͘ॻ͘ͱ͜Μͳײ͡Ͱ͢ʣ
PCI DSSΛऔಘ͢Δ σϝϦοτ͋Γ·͢ɻ ͦΕɺ
ͳΜͱͳ͕ࠪۙͮ͘͘ͱ ͦΘͦΘ͢Δʢ͔͠Εͳ͍ʣ
ࠪһͷ͓หͱ͔ ༻ҙͨ͠ํ͕͍͍ͷ͔ͳͱ͔ Ήʢผʹ͍Βͳ͍ʣ
ࠪલ͋ͨΓ͔Β ͳΜ͔ϐϦϐϦ࢝͠ΊΔ ʢͱ͍͏ਓ͍Δ͔ʣ
ͦ͏ɺσϝϦοτͳΜͧ ͍͟͝·ͤΜΑɻ ͍͍͜ͱͩΒ͚Ͱ͢ɻ
ձࣾ୲ऀ େมษڧʹͳΓ·͢͠ɺ ྫ֎Λআ͖·͕͢ɺ ࠪһͷํखऔΓऔΓ ڭ͍͑ͯͩ͘͞·͢ɻ
ίεύ࠷ߴ ʢݸਓͷײͰ͢ʣ
PCI DSSࠪͷಛతͳ
ࠪʹ͍Ζ͍Ζ͋Δͱ ࢥ͍·͕͢ PCI DSSࠪʹ ಛ͕͋Γ·͢
ࢦఠ͞ΕͨΒ ͦͷͰ߈ͤ௨ͤΔ
࣮ྫΛ͝հ͠·͢
ࠪһʮ͜ͷϨϏϡʔهɺ ݟ͚ͤͯ·͔͢ʁʯ
ʢͳ͍ͳ͍ʣ
୲ऀʮ͋ʔ͑ʔɺ 2͍࣌ؒͩ͘͞ ʢͭ͘Ζ͏ɻɻɻʣʯ
͜ΕͰ͍͚·͢ɻ
ࠪһʮ͋Βɺ͜͜ͷ NTPઃఆ͕ ؒҧ͑ͯ·͢Ͷ͐ʯ
ʢͦͦઃఆͯ͠ͳ͍ʣ
୲ऀʮ͋ɺ΄Μͱͩɻ ͡Ό͍͋·͠·͢Ͷʯ
͜ΕͰ͍͚·͢ɻ
ࠪһʮͰࠓ͜ΕͰ ऴྃʹ͠·͠ΐ͏ɺ ՝2݅Ͱͨ͠Ͷʯ
ʢνϟϯεʂʣ
୲ऀʮ2݅Ͱ͢Ͷɺ ࠓதʹϝʔϧͰ هૹΓ·͢ʯ ʢϝʔϧૹͬͯྃͰ͖Δʣ
͜ΕͰ͍͚ΔΜͰ͢ɻ
PCI DSSͷࠪͰɺ ʮແ͍ͷແ͍ɺ ग़དྷ͍ͯͳ͍ͷ ग़དྷ͍ͯͳ͍ɺ ͦΕํͷແ͍ࣄɺ ͡Ό͋͜Ε͔ΒͲ͏͢Δ͔ ܾΊͪΌ͓͏ɺ Ұॹʹߟ͑·͠ΐ͏ʯ ͱ͍͏ʹ͋Γ·͢ɻ
Ͱ͔͢Βɺ ͜Ε͔Βࠪʹ νϟϨϯδ͞ΕΔํɺ
Ͳ͏ͤνͷ ηΩϡϦςΟ͡Ό ࠪ௨Βͳ͍Αͳ͊
ͳΜͯࢥ͏͔͠Ε·ͤΜ
͍ɺ·ͣ௨Γ·ͤΜ
͕͔ͩ͠͠ʂ
ࠃࡍج४Ͱ͋ΔPCI DSSʹ ͔ͬΓ͍ͨҙࢥ͕͋Δͷ͔ Ͳ͏͔ʂඞཁͳͷͦ͜Ͱ͢ɻ
͔ͬͬͪΌ͑͏ ޙઌߟ͑ͣʹΔ͔͠ͳ͍ పఈతʹౖΒΕͨͱͯ͠ શ෦ͤࠪ௨Δʂ
͓͍ۚ͘Β͔͔Δͷ͔
͔݁Βݴ͏ͱ
͔͔ͦͦ͜͜Γ·͢ ͕
نͱൣғͰ ͔ͳΓมΘΓ·͢
ࠪҎ֎ʹɺ Πϯϑϥඋʹ͔͔Δ ίετ ͋Δ͔͠Ε·ͤΜ
શ͘ະ͔Βͷ νϟϨϯδͷ߹ɺ ଟ͘ίϯαϧΛ ೖΕ·͔͢Βɺ ͜ͷඅ༻͔͞Έ·͢ɻ
ेສͰऴΘΔέʔεɺ Մೳੑผͱͯ͠ɺ ΄ͱΜͲແ͍Ͱ͠ΐ͏ɻ
·ͣඦສ୯Ґͱ ߟ͑ͯΑ͍ͱࢥ͍·͢ɻ
ηΩϡϦςΟʹ ͓͕͔͔ۚΔͷͰ͢
Ͱ͕͢ɺ ໌֬ͳج४ͷࢿͱͯ͠ɺ අ༻ରޮՌ໌֬ͳ ࢿͱࢥ͍·͢
ࠪΛ͢Δ্Ͱ ༗རͳέʔεͱෆརͳέʔε
༏ྼΛ͚Δҝʹ ༗རෆརͱॻ͖·͕ͨ͠ɺ ࣮ࡍෆརͳέʔε ͋Γ·ͤΜɻ
ͱ͍͏ͷɺ ༗རͳέʔεΛݟΔ͜ͱͰ ཧղग़དྷ·͢
ΫϨδοτΧʔυ൪߸Λ औΓѻΘͳ͍߹
ձࣾͷதͰಛఆͷॴ ػࡐʹߜͬͯࠪΛ͢Δ߹
ωοτϫʔΫػث͕ اۀ༻Ͱ ౷Ұ͞Ε͍ͯΔ߹
͜Εͷٯύλʔϯ͕ɺ ෆརͳέʔεɺͱ͍͏ΑΓɺ ୯७ʹ֬ೝࣄ߲͕ଟͯ͘ େมͩͱ͍͏Ͱ͢ɻ
ΫϨδοτΧʔυ൪߸Λ શʹऔΓѻ͍ͬͯΔ߹
ࠪൣғΛશࣾʹ ద༻͍ͤͨ͞ͱ ߟ͍͑ͯΔ߹
ωοτϫʔΫػث͕ Ոఉ༻ͩͬͨ߹
ΫϨδοτΧʔυ൪߸Λ औΓѻ͏ͱݴ͏͜ͱɺ WebΞϓϦέʔγϣϯ σʔλϕʔεΛอ༗͍ͯ͠Δ ͱ͍͏͜ͱʹͳΓ·͔͢Βɺ ͜ΕΒͷঢ়ଶ੬ऑੑɺ ৵ೖςετͷ݁ՌͳͲΛ పఈతʹٻΊΒΕ·͢ɻ
ࠪൣғΛશࣾʹ͛ͨ߹ɺ ୯७ʹཧΞΫηεͰͷ ωοτϫʔΫΞΫηεܦ࿏͕ ૿͑·͔͢Βɺ ࠪେมͩͱ͍͏͜ͱͰ͢ɻ ಛʹແઢLANɺ ͜ΕNGͳΜͰ͢
ωοτϫʔΫػثɺ ػثͷϝʔΧʔػछ ԿͰ͍͍ͷͰ͕͢ɺ IPͱϙʔτ୯ҐͰΞΫηεͷ੍ޚ͕ Ͱ͖Δ͔Ͳ͏͔ɺϧʔϧηοτ͕ ॻ͚Δ͔Ͳ͏͔ɺίϯϑΟά͕ όοΫΞοϓͰ͖ͯΓ͠ Ͱ͖Δ͔Ͳ͏͔ͳͲ͕ΘΕ·͔͢Βɺ Ոఉ༻ͩͱ͠ΜͲ͍Մೳੑ͕͋Γ·͢ɻ
߲ࠪ12ͷཁ͔݅ΒͳΔ 400߲Ҏ্
·ͣͲΜͳ߲͕ ͋Δ͔ͱ͍͏ͱɺ ࣮WebͰ શͯެ։͞Ε͍ͯ·͢
ߋʹPCI DSSʹ όʔδϣϯ͕͋ͬͯ
ݱࡏͷόʔδϣϯ v3.2Ͱ͢
ߋʹɺ߲ࠪͷதʹɺ ʮઈରͬͯ͘Εʯ ͱ͍͏߲ͱ ʮͬͨํ͕ྑͦ͞͏ʯ ͱ͍͏߲ͷ 2ͭʹ͔Ε·͢
جຊతʹ ʮͬͨํ͕Αͦ͞͏ʯ ͳཁ݅ εΩοϓग़དྷ·͕͢ɺ όʔδϣϯ্͕͕ͬͨࡍʹͦ ͷ߲͕ ʮઈରͬͯ͘Εʯ ʹ্֨͛͞ΕΔ͜ͱ͕ଟ͍Ͱ͢
ࠪखॱͱεέδϡʔϧ
جຊతʹ ίϯαϧʹ ͓ͤ͠·͠ΐ͏͆͆͆
ͱ͍͏ͷ
ίϯαϧ͕༧Ί ݱঢ়Λ֬ೝͯ͠ɺ ࠪఔͷௐ͓Αͼɺ ͲΜͳࠪʹͳΓͦ͏͔ͷ ௐΛࠪஂମͱࣄલʹ ͋Ε͜Εͯ͘͠ΕΔ ߹͕͋Γ·͢ɻ
طʹࣾʹਫ਼௨ͨ͠ਓ͕ ͍Δ߹ɺૣʑʹࠪґཔ Λ͔͚ͯ͋Γ·ͤΜ͕ɺ ͦΕͰγϯδίϯαϧʹ ґཔ͢Δ͜ͱΛ Φεεϝ͠·͢
ͳͥͳΒ
ࠪΛड͚ΔձࣾͷࣄΛ ͑ͯ͘ΕΔʢ͔͠Εͳ͍ʣ
༧Ίίϯαϧ͕ ٖࠪͨ͠༰Ͱ ຊ൪ௐͯ͘͠ΕΔ ʢ͔͠Εͳ͍ʣ
͖ࠪఴͬͯɺ ϑΥϩʔͯ͘͠ΕΔ ʢ͔͠Εͳ͍ʣ
ࠪһͱίϯαϧ ࣄલͷίωΫγϣϯ͕͋Δ ߹͕͋Γ·͔͢Βɺ ͜ΕΛ׆༻͢ΔΘ͚Ͱ͢ɻ
ͦͯ͠ɺ Ͳ͏͍ͬͯࠪͯ͘͠ͷ͔ ͱ͍͏ͱɺ
ཁ݅1.1͔Βॱʹ 400Ҏ্ʹٴͿશͯͷ߲Λ ͻͱͭͻͱͭࠪһ͕ղઆΛ ަ͑ͯɺॻྨͷ֬ೝΛͨ͠Γ ࣮ػͷ֬ೝΛͨ͠Γ ͍͖ͯ͠·͢ɻ
͜ͷࠪதɺ શͯͷ୲ऀʢΠϯϑϥͱ͔ ωοτϫʔΫͱ͔υΩϡϝϯ τ࡞ऀͱ͔ʣ͕ͦͷʹ ͍Δඞཁ͋Γ·ͤΜ
·ͨɺ ෆ໌ͳ෦ޙճ͠ʹ Ͱ͖·͢
ߋʹඞࡴٕ͑·͢
ʮର֎ʯ
͜Εɺ ʮ͜ͷཁ݅ɺ͜Ε͜Ε ͜͏͍͏ཧ༝͔ͩΒɺ ର֎Ͱ͢Ͷʯͱ ࠪһ͕அ͢Ε ྑ͍Θ͚Ͱ͢
͜͜Ͱࣄલͷίϯαϧ͕ ॏཁʹͳΓ·͢
ͱ͍͏ͷɺ ͜Ε͜Ε͜͏͍͏ཧ༝͔ͩΒɺ ͜ͷลΓର֎ʹͳΔͱ ࢥ͍·͢ɺͱ͍͏ͷΛࣄલʹ ͓͍ͬͯͯ͘ΕΔ ߹͕͋Γ·͢
͜Ε͕͋Δͱɺࠪͷޮ͕ άοͱߴ·Γ·͢͠ɺ ਖ਼֬ੑ͕૿͠·͢ɻ
࣮ඞࡴٕ ͏1ͭ͋Γ·͢
ʮସίϯτϩʔϧʯ
͜ΕԿ͔ͱ͍͏ͱɺ
ۀͷ߹Ͱ९क͕ݫ͍͠ɺ ͔ͩΒͦͷ··ʹ͍ͨ͠ͷͰɺ ͦͷ߲Λิ͏ܗͰ γεςϜਓһɺ ϧʔϧͷඋΛ͢Δ͜ͱͰ OKʹͯ͠Β͑·ͤΜ͔ʁ ͱ͍͏͜ͱͰ͢ɻ
͜Ε݁ߏ͑·͢ ͱ͍͏͔ ͔ͳΓ͍·͢
ࠪΛ௨͢͜ͱ͕ తͰແͯ͘ɺ ηΩϡϦςΟΛߴΊΔ͜ͱ͕ తͰ͢ΑͶ
ձࣾʹΑͬͯ ۀӡ༻߹্ Ͳ͏ʹͳΒͳ͍͜ͱͩͬͯ ͋ΔΘ͚Ͱ͢
ۀޮ͕ ஶ͘͠མͪͯ͠·͏ͱ͔
ۀͦͷͷʹӨڹ͕ Ͱͯ͠·͏ͱ͔
ͦ͜·Ͱͯ͠ ࠪΛଓ͚Δͷ ຊసͳײ͢͡ΔͷͰ
ଟ͘ͷࠪཁ݅ʹ͓͍ͯ ͜ͷ ʮସίϯτϩʔϧʯ͕ ద༻Մೳͱͳ͍ͬͯ·͢ ͜ΕΒΛ༗ޮ׆༻͠·͠ΐ͏
ࠪલʹ४උ͓ͯ͘͜͠ͱ
1͚ͭͩͰ͢
߲ࠪΛূ໌͢Δ४උ
͜ΕʹݶΓ·͢
՝ཧπʔϧͳͲΛ ར༻ͯ͠ɺཁ݅Λ՝ͱͯ͠ ୲ऀΛܾΊ·͠ΐ͏ɻ ୲ऀͱ͍͏ҙຯ߹͍Ͱ ݴ͑ඞཁͳͷɺ
PCI DSSγεςϜӡ༻୲ऀ
PCI DSSཧऀ
͜ͷ2໊࠷ͰඞཁͰ͢
৫తʹɺ ӡ༻୲ऀ͕ γεςϜมߋґཔΛग़ͯ͠ɺ ཧऀ͕ঝೝ͢Δͱ͍͏ ྲྀΕΛΈ·͢
ͦͯ͠ಋೖࡁΈͷ ηΩϡϦςΟΞϓϥΠΞϯεɺ ιϑτΣΞͳͲͳͲ
IPS/IDS, WAF, ΞϯνΟϧε, ϩάཧٴͼࢹ
PCI DSSͷͱ͋Δཁ݅Λ ΫϦΞ͢ΔͨΊʹ։ൃ͞Εͨ ༗ঈιϑτΣΞ͕ଟ͘ ଘࡏ͍ͯ͠·͕͢ɺ ͦͷଟ͘ߪೖ͢Δඞཁແ͘ OSSͷΈͰࠪΛ௨ͤ·͢
cloudpackͷ߹ɺ IPS/IDSΛOSSͰ ༻ҙग़དྷͳ͔ͬͨҝɺ τϨϯυϚΠΫϩࣾͷ Deep SecurityΛ ಋೖ͍ͯ͠·͢
·͊ͬͱ ͿͬͪΌ͚·͢ͱͰ͢Ͷ
cloudpackͰIPS/IDS͕ ଘࡏ͠ͳ͍ঢ়ଶͰ ࠪΛड͚ͯɺ વͦΕ͕ࢦఠ͞Εͯɺ ͦͷͰηοτΞοϓ͢Δͱ ͍͏ܦҢ͋ͬͨ͘Β͍Ͱ͢
ྑ͘ݴ͑ͦΕ͘Β͍ ॊೈͳࠪΛड͚Δ͜ͱ͕ ग़དྷ·͢
͜ΕҎ্ແ͍͘Β͍ ेͳ४උͱ ྟઓଶͰΉඞཁ ͋Γ·ͤΜ
߲ࠪͰ ͔Βͳ͍ͱ͜Ζ͕͋Εɺ ࠪதʹฉ͍ͯΈ·͠ΐ͏ɻ ͦΕͰྑ͍ͷͰ͢
ࠪதʹඞཁͳࣄ
શͯͷ୲ऀ͕ ࠪఔͷؒ ग़ࣾ͢ΔΑ͏ʹ͠·͠ΐ͏
ࠪఔنʹΑͬͯ 2ʙ3ͰऴΘΔ͜ͱ ͋Δ͔͠Ε·ͤΜ͕ɺ 2िؒͱ͔ݴΘΕΔՄೳੑ ͋Δ͔͠Ε·ͤΜ
ͲͪΒʹͯ͠ɺ ؔऀશһձࣾʹ ͍ΔΑ͏ʹ͍ͯͩ͘͠͞
શһ͕ࠪʹ ग़੮͠ଓ͚Δඞཁ ͋Γ·ͤΜ
ඞཁʹԠͯ͡ ότϯλον͠ͳ͕Βɺ ·ͨɺࢦఠ͞Ε߲ͨΛ मਖ਼͠ͳ͕ΒରԠ͠·͢
ࠪυΩϡϝϯτҎ֎ʹ ࣮ࡍͷػثΛݟʹདྷ·͢
࣮ػࠪͷࡍʹɺ ࣄલʹ४උ͍ͯͨ͠ ؔऀҎ֎ͷࣾһʹ ΠϯλϏϡʔ͞ΕΔ͜ͱ͕ ͋Γ·͢ɻ
ྫ͑PCI DSSͷཧղ Ͳ͏Ͱ͠ΐ͏͔ͩͱ͔
ΩϟϏωοτͷ伴 Ͳ͏ཧ͞Ε͍ͯΔͷͰ͔͢ ͱ͔
༧ఆ֎ͷࣄʹͳΔͷͰɺ ͪΐͬͱϏοΫϦͯ͠͠·͏ ͔͠Ε·ͤΜɻ ·͊ɺͦΜͳΜͳͷͰɺ ͋·Γؾʹͤͣී௨ʹ͑ͯ ͚Εྑ͍ͱࢥ͍·͢
ঢ়گ͕ͻͲ͚Εɺ ࢦఠ͕ೖͬͯमਖ਼͢Ε͍͍ ͚ͩͷͰ͔͢Βɻ ͦΕ͕ݪҼͰ μϝʔ͏͋ʔ͛ͳʔ͍ ͱͳΓ·ͤΜɻ
ࠪޙʹඞཁͳࣄ
ࠪఔΛશͯྃͯ͠ɺ ʮݕग़ࣄ߲͋Γ·ͤΜʯ ͱ͞ΕΕɺ͋ͱࠪһ͕ ࡞ΔࠪใࠂॻʢROCʣɺ ४ڌূ໌ॻʢAOCʣ͕ ૹΒΕͯ͘ΔͷΛ ͪ·͠ΐ͏
AOCʹࣾ͘͠ ͦΕ૬ԠͷਓؒͷαΠϯ͕ ඞཁͰɺ͜ΕΛฦૹ ͠ͳ͚ΕͳΓ·ͤΜ
ݕग़ࣄ߲͕͋Δ߹ɺ ઌ1ϲ݄Ҏʹͦͷ՝Λ ղܾ͢Δඞཁ͕͋Γ·͢
͕ɺ૬ͳཧ༝͕ແ͍ݶΓ ࠶࣮ࠪʹͳΓ·ͤΜ
جຊతʹ ΤϏσϯεͷఏग़Λ ϝʔϧͰߦ͑OKͰ͢
Γͷݕग़ࣄ߲ͷ ΤϏσϯε͕डཧ͞ΕΕɺ ͦͷλΠϛϯά͔Βઌํ͕ ROCͱAOCͷ࡞Λ ։࢝͠·͢
PCI DSSʹ४ڌͨ͠ͱ ൃදग़དྷΔλΠϛϯά
PRతʹؾʹͳΔͱ͜Ζ Ͱ͢ΑͶ
͜Εɺ ࠪһͱࣾͷαΠϯ͕ ೖͬͨॻྨ͕ἧͬͨ λΠϛϯά͕ɺ ൃදग़དྷΔλΠϛϯάʹ ͳΓ·͢ɻ
࠷ॏཁͳ͜ͱ ʮܧଓࠪΛड͚Δ͜ͱʯ
ͯ͞ɺΑ͏͘ PCI DSSऔಘ͠·ͨ͠ ͱԾఆͯ͠ ࣍ͷ͍ࠪͭʹͳΔ͔
1ޙͷಉ࣌͡ظ
େ͖ͳγεςϜมߋͳͲ͕ ͋ͬͨ߹
ࠪ࠷ຖඞཁͰ͢
ͲͪΒʹͯ͠ ʮಧ͚ग़ʯ͕ඞཁͰ͢
ͦͯ͠ɺ ܧଓ͔ࠪͩΒͱ͍ͬͯɺ طʹࠪࡁΈͷ߲Λ εΩοϓ͢Δ͜ͱ Ұ͋Γ·ͤΜ
·ͨ1͔Βશͯͷ߲Λ ࠪ͠·͢
ͦͯ͠PCI DSSج४ ͲΜͲΜόʔδϣϯΞοϓ ͍͖ͯ͠·͢ɻ ैͬͯɺ
લճࠪ࣌ʹܾΊͨӡ༻͕ɺ PDCAαΠΫϧͰճͬͯΔ͔ ධՁ͞Ε·͢
ܧଓࠪͷํ͕ ѹతʹେมͰ͢
ຖϩάϨϏϡʔ ͠·ͩ͢ͱ͔
4ظʹ1ճ ੬ऑੑςετ͠·ͩ͢ͱ͔
1ʹ1ճ৵ೖݕςετ ͠·ͩ͢ͱ͔
ӡ༻ग़དྷ͍ͯΔ͔ͷ ΤϏσϯε͕ٻΊΒΕ·͢
ܦݧ্
PCI DSSͷҡ࣋Ͱ ࠷େมͳͷ ӡ༻ͱܧଓࠪͰ͢
͖ͬΓݴ͍·͢
ͱΓ͋͑ͣऔΔ͚ͩͳΒ ୭ͰऔΕΔؾ͕͠·͢
1Ҏ্ܧଓ͍ͯ͠Δ͔͕ɺ ຊͷҙຯͰ PCI DSSΛ ӡ༻ग़དྷ͍ͯΔ͔͕ ΘΕ·͢
ͳͷͰγϯδతʹ
PCI DSSऔͬͨձࣾ Πίʔϧ ҆શͩͶ Ͱͳͯ͘
1Ҏ্ʢ1ճҎ্ͷߋ৽͕ʣ ग़དྷ͍ͯΔձ͔ࣾͲ͏͔Λ ݟΔΑ͏ʹ͍ͯ͠·͢
ͱ͍͏Θ͚Ͱ
͜Ε͔ΒPCI DSSΓ͍ͨ
ӡ༻ࠔͬͯΔ Ͳ͏ͨ͠Β͍͍͔Θ͔Βͳ͍
ͲΜͲΜใڞ༗͠·͠ΐ͏ʂ
֤ࣾ͞ΜҰؙͱͳͬͯ ITࣄۀͷηΩϡϦςΟϨϕϧΛ ߴΊ͍͚ͯΔͱ͍͍Ͱ͢Ͷ