Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2022/09/30 PCI DSS運用とv4.0対応
Search
ykliva
September 30, 2022
0
1.8k
2022/09/30 PCI DSS運用とv4.0対応
LayerXとKanmu FinTechスタートアップセキュリティ事情
ykliva
September 30, 2022
Tweet
Share
More Decks by ykliva
See All by ykliva
Technology to open the barrel
ykliva
0
450
滝沢ダムはいいぞ.pdf
ykliva
0
39
Featured
See All Featured
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.8k
Practical Orchestrator
shlominoach
182
9.7k
We Have a Design System, Now What?
morganepeng
43
6.8k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Designing for humans not robots
tammielis
248
25k
Unsuck your backbone
ammeep
663
57k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
Ruby is Unlike a Banana
tanoku
96
10k
For a Future-Friendly Web
brad_frost
172
9k
Product Roadmaps are Hard
iamctodd
44
9.7k
How to train your dragon (web standard)
notwaldorf
73
5.2k
Transcript
PCI DSS運用とv4.0対応 金澤 康道
Copyright Kanmu, Inc. All right reserved. 2 金澤 康道 Security
Engineer at Kanmu, Inc. @s_liva 自己紹介
Copyright Kanmu, Inc. All right reserved. 3 PCI DSSとは セキュリティ屋から見たPCI
DSS カンムのPCI DSS v4.0対応に向けてカンムがやっていくこと 1 2 3 アジェンダ 4
PCI DSSとは 1
Copyright Kanmu, Inc. All right reserved. PCI DSSとは 5 クレジットカード業界のセキュリティ基準
1 • 加盟店やサービスプロバイダがクレジットカード会員のデータを 安全に取り扱うことを目的として策定された • PCI SSCが運用と管理をしている • PCI SSCはクレジットカードの国際ブランド5社が共同設立 • 定期的にバージョンが上がっていて最新はv4.0 共同設立
Copyright Kanmu, Inc. All right reserved. PCI DSSとは 6 要件の記載例
1
Copyright Kanmu, Inc. All right reserved. PCI DSSとは 7 要件の書かれ方
1
セキュリティ屋から見るPCI DSS 2
Copyright Kanmu, Inc. All right reserved. セキュリティ屋から見るPCI DSS 9 意外とやれるじゃんね
2 セキュリティ長いことやってて監査に対して思っていたのはこんな感 じ • 手間がかかるばかりでイマイチ効果なさそう • 施策を進めるときに要件とバッティングするんじゃね? 実際に運用を回した結果
Copyright Kanmu, Inc. All right reserved. セキュリティ屋から見るPCI DSS 10 ベースラインとして使いやすい
2 各要件が明確に書かれているので合わせていくだけでそれなりの ベースが整う。全ての要件に合わせずとも特定の要件に合わせる だけでもそれなりのレベルに上げられる。 • 要件6に合わせて開発プロセス全体をセキュアにする • 要件12に合わせて組織全体の情報セキュリティ体制を整える など
Copyright Kanmu, Inc. All right reserved. セキュリティ屋から見るPCI DSS 11 心の平穏が訪れる
2 • 各要件に沿ってフローや文書を整えていくと必要なものがだいたい揃う。 • 監査時には日常作業、定期運用、各種文書や開発コードレビューの記録 提出が求められ、結果として形骸化が許されない世界になる。 • いざというときに「あれが足りてないぞ」「これもなくない?」という事態が減 る。
Copyright Kanmu, Inc. All right reserved. 最近話題のPolicy as Codeとの親和性がとても高いんじゃないか。 日本語ポリシーを書いた場合、それに沿った実装を書くのもチェック
するのも手間で証跡も別で集める必要があるが、ポリシーをコード にしてCIに組み込めば、実装がポリシー通りかその場でチェックで きるし、日々ポリシーに沿って動いているという証跡にもなる。 セキュリティ屋から見るPCI DSS 12 可能性の世界 2
カンムのPCI DSS 3
Copyright Kanmu, Inc. All right reserved. カンムのPCI DSS 14 2
Q. なぜカンムはPCI DSSを通すのか A. カンムはイシュアだから イシュアには遵守義務があるため、カンムが事業を続けていくには 毎年監査を通して準拠証明書を取り続ける必要がある。 カンムの場合はバンドルカードとPoolの2プロダクトがあり、それぞ れで取得する必要がある
Copyright Kanmu, Inc. All right reserved. カンムのPCI DSS 15 1年の動き
3 年1タスク 半期タスク 四半期 タスク 監査日程調整 証跡収集 実地監査 検出事項修正 AOC/ROC受領 年間を通して対応 1-2ヶ月 2-4週間
Copyright Kanmu, Inc. All right reserved. カンムのPCI DSS 16 担当者が各要件に対応
3 • 要件ごとに担当者を割り振って負荷分散 • 定期運用タスクは各担当者が適宜対応 • 実地監査直前1ヶ月程度は各担当者が必要な証跡を集める作業 • 実地監査が終わると屍
Copyright Kanmu, Inc. All right reserved. • 要件で定められている全てのドキュメント類はGitHub管理 • 定期運用や臨時のタスクはIssueを切って対応
• ドキュメント類の変更がある場合はPR作成 カンムのPCI DSS 17 全てGitHub管理 3 要件ごとにまとめたルール 定期運用タスクのIssue
Copyright Kanmu, Inc. All right reserved. カンムのPCI DSS 18 そろそろ運用効率化をだな…
3 • 運用ガイドラインが秘伝のタレ化 ◦ 細かくアップデートしているが根本は手が入ってない ◦ 読解コストが高め • 5年ほど回し続けていて徐々に改善しているがまだまだ改善の 余地はある • 年1監査前の証跡収集が人手なので自動収集したい
v4.0に向けてカンムがやること 4
Copyright Kanmu, Inc. All right reserved. v4に向けてカンムがやること 20 ざっくりやること 4
v4.0へアップデートするためにやることは大きく3つ • ガイドラインの全面リファクタ • Policy as Codeの導入 • v3.2.1との差分を実装
Copyright Kanmu, Inc. All right reserved. v4に向けてカンムがやること 21 ガイドラインのリファクタ 4
• 秘伝のタレ化しているガイドラインを全面的にリファクタ • ポリシーとルールがごちゃごちゃしていて読むのに一苦労 • v4.0対応で大幅な書き換えあるし、いっそこの機会にリファクタし ようぜ! • ポリシーとルールを分離してポリシーはコードに落とし込んで ルールだけ文書として残す(形にしたい)
Copyright Kanmu, Inc. All right reserved. v4に向けてカンムがやること 22 Policy as
Codeの導入 4 • リファクタしたポリシーをコードに落とし込む • CIで回せるようにワークフローの整備 • 証跡はCIのログを提出 • 理想としてはこのポリシーを見せて監査を乗り切りたい ◦ まぁ監査人がコード読めるのが前提だけど…
Copyright Kanmu, Inc. All right reserved. v4に向けてカンムがやること 23 v3.2.1との差分実装 4
• v4.0で文書がいくつか増えたのでその分を作成 • ライブラリ管理に言及されたのでいっそSBOMでの管理をし始め てもいいかなと検討中 ◦ これを機にサプライチェーンセキュリティにも本腰 • プロダクト側もv4.0に合わせた変更を入れる
Copyright Kanmu, Inc. All right reserved. 一緒にやろう!!! https://kanmu.co.jp/jobs/
Copyright Kanmu, Inc. All right reserved. ありがとうございました!