2022/09/30 PCI DSS運用とv4.0対応

Transcript

1. PCI DSS運用とv4.0対応 金澤 康道

2. Copyright Kanmu, Inc. All right reserved. 2 金澤 康道 Security

   Engineer at Kanmu, Inc. @s_liva 自己紹介

3. Copyright Kanmu, Inc. All right reserved. 3 PCI DSSとは セキュリティ屋から見たPCI

   DSS カンムのPCI DSS v4.0対応に向けてカンムがやっていくこと 1 2 3 アジェンダ 4

4. PCI DSSとは 1

5. Copyright Kanmu, Inc. All right reserved. PCI DSSとは 5 クレジットカード業界のセキュリティ基準

   1 • 加盟店やサービスプロバイダがクレジットカード会員のデータを 安全に取り扱うことを目的として策定された • PCI SSCが運用と管理をしている • PCI SSCはクレジットカードの国際ブランド5社が共同設立 • 定期的にバージョンが上がっていて最新はv4.0 共同設立

6. Copyright Kanmu, Inc. All right reserved. PCI DSSとは 6 要件の記載例

   1

7. Copyright Kanmu, Inc. All right reserved. PCI DSSとは 7 要件の書かれ方

   1

8. セキュリティ屋から見るPCI DSS 2

9. Copyright Kanmu, Inc. All right reserved. セキュリティ屋から見るPCI DSS 9 意外とやれるじゃんね

   2 セキュリティ長いことやってて監査に対して思っていたのはこんな感 じ • 手間がかかるばかりでイマイチ効果なさそう • 施策を進めるときに要件とバッティングするんじゃね？ 実際に運用を回した結果

10. Copyright Kanmu, Inc. All right reserved. セキュリティ屋から見るPCI DSS 10 ベースラインとして使いやすい

    2 各要件が明確に書かれているので合わせていくだけでそれなりの ベースが整う。全ての要件に合わせずとも特定の要件に合わせる だけでもそれなりのレベルに上げられる。 • 要件6に合わせて開発プロセス全体をセキュアにする • 要件12に合わせて組織全体の情報セキュリティ体制を整える など

11. Copyright Kanmu, Inc. All right reserved. セキュリティ屋から見るPCI DSS 11 心の平穏が訪れる

    2 • 各要件に沿ってフローや文書を整えていくと必要なものがだいたい揃う。 • 監査時には日常作業、定期運用、各種文書や開発コードレビューの記録 提出が求められ、結果として形骸化が許されない世界になる。 • いざというときに「あれが足りてないぞ」「これもなくない？」という事態が減 る。

12. Copyright Kanmu, Inc. All right reserved. 最近話題のPolicy as Codeとの親和性がとても高いんじゃないか。 日本語ポリシーを書いた場合、それに沿った実装を書くのもチェック

    するのも手間で証跡も別で集める必要があるが、ポリシーをコード にしてCIに組み込めば、実装がポリシー通りかその場でチェックで きるし、日々ポリシーに沿って動いているという証跡にもなる。 セキュリティ屋から見るPCI DSS 12 可能性の世界 2

13. カンムのPCI DSS 3

14. Copyright Kanmu, Inc. All right reserved. カンムのPCI DSS 14 2

    Q. なぜカンムはPCI DSSを通すのか A. カンムはイシュアだから イシュアには遵守義務があるため、カンムが事業を続けていくには 毎年監査を通して準拠証明書を取り続ける必要がある。 カンムの場合はバンドルカードとPoolの2プロダクトがあり、それぞ れで取得する必要がある

15. Copyright Kanmu, Inc. All right reserved. カンムのPCI DSS 15 1年の動き

    3 年1タスク 半期タスク 四半期 タスク 監査日程調整 証跡収集 実地監査 検出事項修正 AOC/ROC受領 年間を通して対応 1-2ヶ月 2-4週間

16. Copyright Kanmu, Inc. All right reserved. カンムのPCI DSS 16 担当者が各要件に対応

    3 • 要件ごとに担当者を割り振って負荷分散 • 定期運用タスクは各担当者が適宜対応 • 実地監査直前1ヶ月程度は各担当者が必要な証跡を集める作業 • 実地監査が終わると屍

17. Copyright Kanmu, Inc. All right reserved. • 要件で定められている全てのドキュメント類はGitHub管理 • 定期運用や臨時のタスクはIssueを切って対応

    • ドキュメント類の変更がある場合はPR作成 カンムのPCI DSS 17 全てGitHub管理 3 要件ごとにまとめたルール 定期運用タスクのIssue

18. Copyright Kanmu, Inc. All right reserved. カンムのPCI DSS 18 そろそろ運用効率化をだな…

    3 • 運用ガイドラインが秘伝のタレ化 ◦ 細かくアップデートしているが根本は手が入ってない ◦ 読解コストが高め • 5年ほど回し続けていて徐々に改善しているがまだまだ改善の 余地はある • 年1監査前の証跡収集が人手なので自動収集したい

19. v4.0に向けてカンムがやること 4

20. Copyright Kanmu, Inc. All right reserved. v4に向けてカンムがやること 20 ざっくりやること 4

    v4.0へアップデートするためにやることは大きく3つ • ガイドラインの全面リファクタ • Policy as Codeの導入 • v3.2.1との差分を実装

21. Copyright Kanmu, Inc. All right reserved. v4に向けてカンムがやること 21 ガイドラインのリファクタ 4

    • 秘伝のタレ化しているガイドラインを全面的にリファクタ • ポリシーとルールがごちゃごちゃしていて読むのに一苦労 • v4.0対応で大幅な書き換えあるし、いっそこの機会にリファクタし ようぜ！ • ポリシーとルールを分離してポリシーはコードに落とし込んで ルールだけ文書として残す(形にしたい)

22. Copyright Kanmu, Inc. All right reserved. v4に向けてカンムがやること 22 Policy as

    Codeの導入 4 • リファクタしたポリシーをコードに落とし込む • CIで回せるようにワークフローの整備 • 証跡はCIのログを提出 • 理想としてはこのポリシーを見せて監査を乗り切りたい ◦ まぁ監査人がコード読めるのが前提だけど…

23. Copyright Kanmu, Inc. All right reserved. v4に向けてカンムがやること 23 v3.2.1との差分実装 4

    • v4.0で文書がいくつか増えたのでその分を作成 • ライブラリ管理に言及されたのでいっそSBOMでの管理をし始め てもいいかなと検討中 ◦ これを機にサプライチェーンセキュリティにも本腰 • プロダクト側もv4.0に合わせた変更を入れる

24. Copyright Kanmu, Inc. All right reserved. 一緒にやろう！！！ https://kanmu.co.jp/jobs/

25. Copyright Kanmu, Inc. All right reserved. ありがとうございました！