Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
初めてでも分かるPCIDSS,PCI3DSとは
Search
snowwhite
March 10, 2024
0
120
初めてでも分かるPCIDSS,PCI3DSとは
snowwhite
March 10, 2024
Tweet
Share
More Decks by snowwhite
See All by snowwhite
20241024_an_real_horror_story_for_for_engineer
yuri_snowwhite
0
32
20240712_JAWSUG-FUKUOKA_Cloudgirl
yuri_snowwhite
0
60
2024/05/23_SecurityJAWS登壇
yuri_snowwhite
1
710
20240414_cloudgirl_ec2_costdown
yuri_snowwhite
1
130
2024_storageJAWS_EBSonLVM_created
yuri_snowwhite
0
280
AWSの世界観が変わったお話
yuri_snowwhite
0
1.2k
Featured
See All Featured
Testing 201, or: Great Expectations
jmmastey
40
7.1k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
48
2.2k
Making the Leap to Tech Lead
cromwellryan
133
9k
Scaling GitHub
holman
458
140k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
32
2.7k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Designing for humans not robots
tammielis
250
25k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.4k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Transcript
PCI-DSS/PCI-3DS とは何か? 白"雪姫"(Shirayuki)
PCIDSSやPCI3DSとは・・・? オンライン・オフラインに問わず不正利用を防止・抑止するために 国際ブランド(VISA/Master/JCB/Diners/AmericanExpress/銀聯※)が共同で策定した クレジットカード決済システムにおける準拠すべき項目をまとめたグローバルセキュリ ティスタンダード基準です 準拠規約に沿ってインフラ構築とアプリ開発が必要になります。 PCI-DSSは6個の目的と12の要件 PCI-3DSはPCI-DSSの取得した上で3DSセキュア認証のセキュリティ基準
概略
PCI-DSS 準拠要件概要 1. FWのインストールと維持 2. デフォルト値パラメータの変更 3. カードデータの保護 4. 公共ネットワークの伝送の暗号化
5. マルウェア対策 6. 安全性の高い開発 7. 必要な特権の管理 8. アクセス識別 9. 物理アクセス制限 10. 追跡と監視 11. 定期テスト 12. メンバーへの概要周知
PCIDSSの要件ごとの目的 目的 要件(前スライドの番号で表記 ) 安全なネットワークとシステム構築と維持 1:FWのインストールと維持 2:デフォルト値パラメータの変更 カード会員データの保護 3:カードデータの保護 4:公共ネットワークの伝送の暗号化
脆弱性管理プログラムの整備 5:マルウェア対策 6:安全性の高い開発 強力なアクセス制御の導入 7:必要な特権の管理 8:アクセス識別 ネットワークの定期的監視とテスト 10:追跡と監視 11:定期テスト 情報セキュリティポリシーの整備と周知 12:メンバーへの概要周知
安全なネットワークとシステム構築と維持 ・必要以外に受信・送信の通信を許可しない ・通信の暗号化 ・標準的な構築基準準拠した構築 カード会員データの保護 ・通過時の暗号化 ・保存がある場合の保存方法 脆弱性管理プログラムの整備 ・利用するアプリケーション言語の脆弱性の発見と対応 ・構築を行ったサーバ(H/W)を含む脆弱性の発見と対応
強力なアクセス制御の導入 ・最小特権の設定 ・必要以上にカード情報に関わるデータの保存 ネットワークの定期的監視とテスト ・脆弱性等の対策をされているかどうかの確認 ・通信上に不正な通信は流れていないかの監視 ・発生した場合の追跡 情報セキュリティポリシーの整備と周知 ・目的を要項に合わせた上で準拠出来る様なポリシーを策定 ・関係者に周知を行い理解してもらう
PCI-3DS Part1とPart2がある 1. Part1 a. コンサルタントに確認してください。 PCIDSS準拠の場合は部分的に免 除になる可能性があります。 2. Part2
a. スコープの妥当性 b. セキュリティガバナンス c. 3DSシステムとアプリケーション保 護 d. 3DSシステムへの安全は論理アク セス e. 3DSのデータ保護 f. 暗号化と鍵管理 g. 3DSシステムの物理的安全性
PCI-3DSの要件ごとの目的 目的 要件(前スライドのアルファベットで表記 ) 審査対象スコープの見極めと全体的セキュリティの 管理 a:スコープの妥当性 b:セキュリティガバナンス 3DSに関する通信・データ保管が必要最小限か、 ログが取得されているか
c:3DSシステムとアプリケーション保護 d:3DSシステムへの安全は論理アクセス e:3DSのデータ保護 暗号化鍵の管理手順が整備されているか 必須になっているHSMが適切に管理されているか f:暗号化と鍵管理 取引内容の認証と確認をするサーバと認証を相互 で行うサーバのデータセンターが適切に入退室管 理・物理的な侵入検知、監視カメラの記録が取得さ れているか等 g:3DSシステムの物理的安全性
審査対象スコープの見極めと全体的セキュリティの管理 ・審査対象としているスコープは正しいか ・全体的に堅牢なセキュリティを設定出来ているか 3DSに関する通信・データ保管が必要最小限か、ログが取得されているか ・3DSとの通信が必要最小限に抑えられているか ・ログが正しく出力されているかまた、正しく保存されているか 暗号化鍵の管理手順が整備されているか 必須になっているHSMが適切に管理されているか ・暗号化鍵の各種管理手順が最新化されて整備されているか ・適切に設定しHSMが管理されているか
取引内容の認証と確認をするサーバと認証を相互で行うサーバのデータセンターが適切に入退室管理・ 物理的な侵入検知、監視カメラの記録が取得されているか等 ・物理的装置の設置場所が安全性が担保されているか
準拠するために
必要な物(概略) インフラ構築 アプリケーション構築 NIST等の有名な構築基準に準拠しているか コーディングテストは行ったか 必要なOSのログは取得出来ているか OWASP等有名なコーディング基準に則して いるか アクセスログ(こちらはSSH等という意味)は 残っているか
脆弱性のあるバージョンを利用していないか 不正アクセス対策はされているか ミドルウェアのバージョンは適宜アップデート 出来るか 適切なアクセス制御はされているか などなど・・・
まとめ
まとめ ということが書いてあります。 • 堅苦しく書いたけど、要するに不正アクセスを防止するために準拠して ね? ◦ 万が一不正アクセスされたときはログとかから追えるようにしておい てね • サーバとか物理的に保有するときは置く場所も気にしてね
• OS、アプリケーションの設定をする時は有名な基準 (NIST・CSIRT・OWASP・IPA等)を基準に作ってね
参考資料
参考資料 • NRIセキュア様 ◦ クレジットカード業界の新たなセキュリティ基準、「PCI 3DS」とは? • 富士通様 ◦ 誰でも分かる!PCIDSSの要件と対処方法
• PCISSC様 ◦ 各種要件(PCI-DSS-v4_0-JA.pdf, PCI-3DS-Core-Security-Standard-v1.pdf)
Thank you !