ソリューション

イメージ図

クレジットカード情報の保護基準 PCI DSS準拠における
エンカレッジ・テクノロジの貢献

PCI DSSとは

PCI DSSは、多発するクレジットカード情報の漏えい・流出事件を受け、国際カードブランドが共同で策定したセキュリティ基準です。クレジットカードを取り扱うすべての業種・業態(カード会社、決済会社、対面、非対面加盟店など)の企業に、本基準への準拠が要請されています。
日本国内においては、2020年に東京オリンピック・パラリンピックが開催されることを受け、多くの海外旅行者が訪日することを想定し、クレジットカードを安心して利用できる社会を目指し、経済産業省が主導する形で、準拠するための自主計画を発表しています。

また、法的な整備も進められ、2016年12月に割賦販売法の改正案が成立、2018年5~6月をめどに施行される予定です。これにより、加盟店に対するクレジットカード情報の適切な管理が義務付けられることになり、その具体的な基準としてもPCI DSS準拠が経済産業省の発行する文書に記載されています。

PCI DSS 要件
安全なネットワークの構築と維持 1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護 3. 保存されたカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備 5. すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視
およびテスト
10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備 12. すべての担当者の情報セキュリティに対応するポリシーを維持する

管理者ユーザーのアクセス制御、認証および証跡保全は重要な要件

PCI DSS基準を構成する要素が、カード情報に対するユーザーのアクセス制御およびアクセス内容の証跡の保全が重要です。当然ながら、許可されたユーザーだけが許可された範囲に限定してカード情報にアクセスできること、そのための認証が必ず特定のユーザーを識別した上で行われること、さらにカード情報に対するアクセスの証拠となる証跡が正しく保管され、不正アクセスの有無などをチェックできる仕組みを整備することは重要な要件です。
PCI DSSではそれぞれの要素を要件7 (アクセス制御)、要件8(認証)、要件10(証跡保全)として定義しています。

このアクセス制御、認証および証跡の3つの要素を考える際、ユーザーの種別を想定して検討することが非常に重要です。

イメージ図

上図は、システムから見た、ユーザーアクセスの種別とその概念を示したものです。
一般的にシステムを利用するユーザー(社内ユーザー、お客様など)は、必要な情報を参照・更新するために、専用のインターフェイスと処理ロジックで構成されるアプリケーションを介してアクセスします。そのため、アクセス制御・認証・ログといった仕組みは、このアプリケーションの中に機能として実装することで、要件を満たすことが可能です。

イメージ図 一方、システムに対しては、開発・保守および運用を実施する管理者ユーザーが存在します。このユーザーは、ユーザーに提供するシステムを維持管理するためにアクセスするため、アプリケーションのロジックを介さず、直接OSやデータベースにアクセスします。しかも、業務上、高い権限を有する管理者アカウント(特権アカウント)を使用するため、業務に支障のないカード情報の閲覧を制御するなどのアクセス制御が困難です。
この管理者アクセスに対する各要件を満たそうとすると、OSやデータベースの標準機能では困難な場合があります。

弊社は、この管理者アクセスに対する制御・認証強化および証跡管理を実現するソフトウェアを提供しています。

弊社製品によるPCI DSS準拠に対する具体的な貢献点

ESS AdminControl:管理者ユーザーが使用する特権アカウントの制御と認証の管理

イメージ図 ESS AdminControlは、システムの管理者アカウント(特権アカウント)を承認ベースで貸与、返却する作業を自動化し、管理者ユーザーに対して適切なアクセス制御を実現するソフトウェアです。
また、パスワードのポリシーに基づく定期パスワード変更、アクセスログの収集・点検などのモニタリングのための作業を自動化し、管理者ユーザーに対するアクセス制御(要件7)と認証(要件8)の広範囲な要件を満たします。

  • パスワードを隠蔽し、管理者であっても承認手続きを得なければ対象システムへのアクセスができないデフォルト「拒否」
  • 基準を満たす複雑性を持った完全にランダムな文字列で生成されたパスワードを自動で定期変更
  • 特権アカウントを承認された期間に限定して作業者アカウントとのシングルサインオンによる紐づけを行うことで、共有アカウントであっても使用者を特定することが可能

ESS REC:管理者ユーザーによるアクセス内容の証跡保全

イメージ図ESS RECは、管理者ユーザーが、特権アカウントを使用して対象システムにアクセスし行った操作を動画とテキストによって克明な記録を取得、保存する証跡管理ツールです。

Windowsプラットフォームのシステムでは、GUI(デスクトップ)を用いて操作を行いますが、行った操作は必ずしも標準のイベントログに記載されるわけではありません。行った操作を動画ですべて記録することで、テキスト形式のログには残らない管理者ユーザーのアクセス内容について、一挙手一投足まで確認することができます。 また、UNIX/Linuxのコマンドログ、GUIログにも対応しておりますので、プラットフォームに依存しない統合的な証跡管理を実現します。

  • 管理者ユーザーのすべての操作内容を動画とテキストで克明に保存
  • ルール定義による監査ポイントの独自設定
  • 強固な暗号鍵による証跡データの改ざん防止

ID Inspector:コンソール以外の管理者アクセスに対する多要素認証(バージョン3.2対応)

イメージ図 2016年4月28日に公開されたPCI DSS基準 V3.2では、新たに「CDE(カード会員データ環境)への管理者のアクセス権を持つ担当者によるすべての非コンソールアクセスに多要素認証を組み込む(要件8.3.1)」という要件が加えられました。従来、多要素認証を必要とするのは、リモートアクセス、つまり外部や異なるネットワークからの管理者アクセスに対して求められていた要件が、たとえ同一ネットワーク内からであっても要求されることになりました。
従来の要件であれば、リモートから対象ネットワークに接続するVPN、RAS等の仕組みの中で、生体認証、ワンタイムパスワード(OTP)などを組み込むことで対応が可能でしたが、同一ネットワーク内のコンソール外アクセスでは、ネットワーク的には常時つながっているため、別の仕組みが必要です。

ID Inspectorは、OSやアプリケーションの認証とは別に、操作者の本人特定を行う「本人確認ソリューション」ですが、本人を確認する手段として、ID/パスワードにICカードの提示を必要とする設定なため、V3.2で新たに設けられた要件8.3.1への対応が可能です。
最大のメリットは、ID Inspectorが、接続ツールや管理用アプリの起動を検知し、ID/パスワードおよびICカードの提示を要求するため、接続ツールやアプリケーションをカスタマイズしたり、OSの設定を変更したりする必要が一切ないという点です。例えば、以下のような対応が可能になります。

  • 社内のシステム管理担当者がリモートデスクトップクライアントを起動し、カード対象システムにアクセスしようとした時点で、ID Inspectorが起動し、利用者のID/パスワードおよびICカードの提示を要求
  • 社内のシステム管理者がスクラッチで開発した管理用アプリケーションのクレジットカード情報が閲覧できる画面に遷移した際、ID Inspectorが、ID/パスワードおよびICカードの提示を要求

ESS AdminGate:小規模なシステムに対する管理者アクセスの要件7, 8, 10を網羅的にカバー

イメージ図 ESS AdminGateは、小規模なシステムに対する管理者アクセスの要件7、8、10、を網羅的にカバーする管理者アクセス&証跡管理オールインワンソフトェアです。

ESS AdminGateコントローラーを介して管理者がアクセスを行うことで、多くの要件を網羅的・包括的にカバーすることが可能です。

  • 申請・承認ベースの管理者アクセス
  • シングルサインオンによる共有IDの作用者本人の特定
  • 管理者ユーザーによる操作内容の動画による克明な記録

シンプルな構成で、短期間に導入設定が可能なため、比較的小規模なシステムに最適です。

PCI DSS関連ご採用事例

これまで多くのお客様のPCI DSS準拠を目的にご採用されています。
ここではその一部をご紹介します。

より詳しい情報

弊社では、PCI DSS準拠における弊社製品の対応箇所など、より詳しい資料のご提供など、皆さまのご相談に応じております。是非お問合せください。

この記事を読んだ人はこんな記事も読んでいます
ESS REC
ESS AutoAuditor
オプション製品
ESS AdminControl
ID Inspector
お問い合わせ メールマガジン購読
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時