Comments
Description
Transcript
ダウンロード
コンサルタント視点での PCIDSS認証取得のポイントと解決例 2015年8月18日 セコムトラストシステムズ株式会社 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 0 目 次 1.PCIDSS認証取得の進め方 2.PCIDSS対策のポイントと解決例 3.カード会員データ非保持型の特徴 参考資料 セコムグループのサービス Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 1 1.PCIDSS認証取得の進め方 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 2 1.0 PCIDSS認証取得支援の特長 貴社システムがスムーズにPCIDSSへの対応が行えるよう進めていきます。 ①短期間でPCIDSSに準拠できるようご支援します。 ・弊社独自のコンサルティング手法により、最短1ヶ月、長くても2~3ヶ月で改善事項が明確になります。 ・文書のモデルを豊富に取り揃えておりますので、文書整備に必要な期間とコストを大幅に削減します。 ・豊富な代替コントロール策定実績から、貴社で実現可能なコントロール案をご提示致します。 ・PCIDSSで必要となるソリューションをワンストップでご提供可能です。 ②PCIDSS認証取得以降のことも考えた対応を致します。 ・監査以降もPCIDSSに準拠した構築、運用が容易かつ適切に行えることを考慮した成果物を納入致します。 ・毎年の監査において、お客様がスムーズ、かつ確実に監査への対応を行って頂くことが可能な成果物を納 入致します。 ③プロジェクト管理、監査機関との調整を行います。 ・PCIDSSの対応に関するプロジェクト推進、全体スケジュール管理を弊社で実施します。 ・監査機関との対応案等の調整、質疑応答のサポートも実施致します。 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 3 1.1 PCIDSS認証取得に向けた進め方 貴社主体作業 弊社主体作業 PCIDSS認証取得基本プログラム (※お客様のシステムの規模や対応のリソース等によって下記スケジュールは異なります。) (月) 1 2 3 4 5 6 7 8 9 10 範囲決定 現状分析 構築 スケジュール 改善案提示 予備調査の内容に加え、 以下を実施 ・実機の確認 ・施設の確認 改善作業 運用 ・PCIDSS対象範囲の確認 ・代替コントロールの確認 ・文書整備状況の確認 (受けるのは任意) 監査 スケジュール 構築 ステップ 活動内容 主な弊社 支援内容 監査用資料整備 監査 予備調査 フェーズ2 フェーズ1 ギャップ分析 ・PCIDSS対象範囲の決定 ・PCIDSSへの適合状況の確認 ・PCIDSSへの不適合箇所について、改善 方法、改善に伴う費用を把握 ・改善方法の確定 ・PCIDSSの概要説明 ・PCIDSS対象範囲の決定支援 ・適合状況の確認(ヒアリング、文書閲覧) ・不適合箇所に関する改善案の提示 (ソリューション導入については費用も提示) ・代替コントロールの策定 ・モデル文書、様式類の提示 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 登録 改善 ・改善計画の立案(誰が、いつまでに) ・改善の実施 ○文書類の整備(予備調査前まで) ○システム構成の変更 ○アプリケーション、OS設定等の変更 ○物理セキュリティの強化 ・改善計画の立案支援 ・改善に関するQ&Aの実施 ・改善結果に対するレビュー ・改善作業の進捗状況の確認 ・代替コントロールワークシートの作成 ・予備調査への立ち会い 運用 監査 ・運用計画の立案 ・運用の実施 ○脆弱性スキャン、 ペネトレーションテスト ○変更管理等、IT統制 プロセスの運用等 ・監査対応資料の整備 ・各種文書、記録の準備 ・受審対応 ・監査指摘事項に対する 改善作業 ・運用計画の立案支援 ・運用記録のレビュー ・監査用資料の整備 ・監査への立ち会い ・監査指摘事項への 是正支援 4 1.2 PCIDSS認証取得範囲について PCIDSSの認証を取得する場合、カード情報を保管、処理、伝送の何れかをしている拠点全てが対象とな ります。 以下の範囲を定義した上で、サービスをご提供いたします。 (1)組織、拠点 ・PCIDSSを認証取得される組織 ・カード情報を取り扱っている拠点 ・外部委託先(データセンター等外部にカード情報の保管等を委託している場合)の有無 (2)カード情報を取り扱っている部門 (3)カード情報を保管、処理、伝送するサーバ ・アプリケーションサーバ ・データベースサーバ ・その他 (4)カード情報を処理するためのアプリケーション ・カード情報を参照したり、処理するアプリケーション (5)カード情報が伝送されるネットワークの領域 ・カード情報が流れるセグメントの特定 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 5 1.3 PCIDSSの対象範囲について PCIDSSでは、以下に示すネットワーク、システムコンポーネント(サーバ、DB、ネットワーク機器、PC、アプリ ケーション)をPCIDSSの対象としています。 ① ② ③ ④ カード会員データの伝送を行うネットワーク カード会員データの処理・保管を行うシステムコンポーネント 上記①、②に該当する機器が接続されているセグメント内のシステムコンポーネント 上記①、②のシステムコンポーネントにアクセスするシステムコンポーネント、及びネットワーク PCIDSS対象範囲 消費者 伝送 ルータ ファイアウォール ①③に該当 ④に該当 ステージングサーバ Web/APサーバ 決済代行業者 処理 カード会員データの流れ 伝送 伝送 ファイアウォール 業務端末 保守端末 業務、保守作業のためカード会員データを 伝送、処理、保管するシステムと接続する 環境 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 保管 DBサーバ ①②③に該当 カード会員データ データセンター 6 1.4 改善・運用の支援 貴社の改善作業、運用がスムーズに行えるよう、改善計画、運用計画の策定支援を行います。 また、本審査に向けたプロジェクト推進、全体スケジュールの管理を実施します。 貴社PCIDSS対応関連部門 アプリケーション開発部門 インフラ保守・運用部門 計画案策定 カスタマーサービス部門 外部委託先 総務部門(規程、施設) 進捗確認 (定例会) QA対応 セコムトラストシステムズ ベンダー選定支援 (PCIDSS準拠性確認) ベンダー 改善案の調整 指摘事項に対する調整 監査機関 ペネトレーションテスター ソリューションプロバイダー QSA ホスティングプロバイダー Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 7 2.PCIDSS対策のポイントと解決例 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 8 2.1 コンサルタント視点から見た重要なポイント 四つの観点からPCIDSS認証取得に重要なポイントをご説明していきます。 No. 項目 内容 関連する PCIDSS要件(v3.0) 重要度 ・PCIDSS対象範囲の絞込みに失敗すると、準拠の為のシステム改修費用や、 維持運用の為の費用が肥大化する。 1.1 全体 高 ・要件に、「すべてのシステムコンポーネントのログとセキュリティイベントを調 べ、異常や怪しい活動を特定する」とあるが、何をどこまでやればいいのか、 判らない。 10.6 全体 中 重要なセキュリティパッチの 適用 ・パッチ適用によるサービス影響を確認する間、またはサービスを停止できる までの間、重要なセキュリティパッチを1ヶ月以内に適用できない。 6.2.a 高 外部委託先の準拠 ・外部委託先にPCIDSS準拠を求めた為、委託先の運用費用が高騰する。 12.8 全体 中 1 PCIDSS対象範囲の設定 2 ログとセキュリティイベントの 確認 (異常や怪しい活動の特定) 3 4 例)アプリケーション/インフラの改修費用。 アカウント管理(棚卸など)や脆弱性パッチ適用、ログ監視などの運用費。 脆弱性診断の対象増加による、診断/改修/動作確認の費用。 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 9 2.2 まとめ ■1.PCIDSS対象範囲の設定 勿論、非保持型も考慮対象 となります。 ・極小化することが、PCIDSS認証取得成功の鍵。 ・セグメンテーションできない場合は、Tokenizaitionも考慮に入れる。 ■2.ログとセキュリティイベントの確認 非保持型で監査対象の削減 が期待できます。 ・監査観点を整理して、過剰にならない監視設定を。 ・運用と合わせて観点を整理しなければ、片手落ちになり易い。 ■3.重要なセキュリティパッチの適用 非保持型対象の削減が期待 できます。 ・代替コントロールを用いて、業務上可能なスケジュールに。 ・要件が想定しているリスクを正しく把握して、対策を講じる。 ■4.外部委託先の準拠 ・PCIDSS準拠に於ける、委託先との役割分担を明確にする。 ・PCIDSS取得は、外部委託先の業務見直しの機会。 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 10 3.カード会員データ非保持型の特徴 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 11 3.1 非保持サービスの2つの形態 (1)リンク型(伝送、処理、保存が無い) <解説> 加盟店側で買い物方法としてカード決済を選択すると、カード会員データの入力画面に切り替わる。この画面では、既に決済 代行事業者のサーバに遷移しており、カード会員データは加盟店側のサーバで伝送も処理も保存もされない。 <メリット> 加盟店側のサーバでは、カード会員データを一切扱わない為、情報漏えい事件の発生は低いと言われている。 (ただし、完全に漏えい事件を防げる訳ではない) <デメリット> 決済時に切り替わる画面のイメージや実際のURLのドメインが今まで買い物をしていたサイトと異なるものになる為、一見する とフィッシングサイトに飛ばされたと誤解し、買い物を取りやめてしまう(ドロップする)消費者が出る。 (2)モジュール型(伝送、処理あり。保存無し) <解説> 加盟店側で買い物方法としてカード決済を選択すると、そのサイト内の画面遷移でカード会員データの入力画面に切り替わる。 加盟店のwebサーバやアプリケーションサーバにインストールされたモジュールを通じて、決済代行事業者にオーソリ情報を伝送、 処理する。決済処理後に、カード会員データは加盟店側のサーバで保存されない。 <メリット> 商品購入時のユーザインターフェースを、自社でカード情報を保有している携帯と全く同じにすることができる為、売上機会の損失 の懸念がなくなる。 <デメリット> 加盟店側のwebサーバやアプリケーションサーバをカード会員データが通過する為、リンク型と比較してカード会員データの漏えい リスクが高い。 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 12 3.2 非保持サービスを導入した場合の重要なポイント 非保持型を導入した場合、PCIDSS認証取得に重要なポイントはどのように変わるか。 No. 項目 関連する 内容 PCIDSS要件(v3.0) 重要度 ・PCIDSS対象範囲の絞込みに失敗すると、準拠の為のシステム改修費用や、 維持運用の為の費用が肥大化する。 削 減 可 削 減 可 能10.6 全体 中 削 減 可 高 1 PCIDSS対象範囲の設定 2 ログとセキュリティイベントの 確認 (異常や怪しい活動の特定) ・要件に、「すべてのシステムコンポーネントのログとセキュリティイベントを調 べ、異常や怪しい活動を特定する」とあるが、何をどこまでやればいいのか、 判らない。 3 重要なセキュリティパッチの 適用 ・パッチ適用によるサービス影響を確認する間、またはサービスを停止できる までの間、重要なセキュリティパッチを1ヶ月以内に適用できない。 4 外部委託先の準拠 ・外部委託先にPCIDSS準拠を求めた為、委託先の運用費用が高騰する。 例)アプリケーション/インフラの改修費用。 アカウント管理(棚卸など)や脆弱性パッチ適用、ログ監視などの運用費。 脆弱性診断の対象増加による、診断/改修/動作確認の費用。 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 能1.1 全体 能6.2.a 12.8 全体 高 中 13 参考資料:PCIDSS認証取得の実績 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 14 弊社PCIDSSコンサルティング実績① セコムトラストシステムズにおける、PCIDSSに関する主要な実績は以下になります。(2015年3月現在) ・PCIDSSのコンサルティングでは、のべ50社以上の実績があり、特に決済代行事業者を対象としたコンサルティングでは、 業界トップクラスのシェアを獲得していると自負しております。 ・PCIDSSコンサルティングサービスの歴史は長く、PCIDSS ver1.0の頃(2006年)からサービスを提供しております。 ・弊社がコンサルティングサービスを提供していた某決済代行事業者様がPCIDSSver1.2では国内業界第1号の認証取得となりました。 ・2013年11月にリリースされた最新のPCIDSS ver3.0でも認証取得支援の実績が複数ございます。 ・ISMS/プライバシーマーク/J-SOXのコンサルティング実績も豊富にあるため、各規格と整合を取った仕組みを構築することが可能です。 企業 実績 分類 コンサルティング実績 備考 1 U社 決済代行会社 PCIDSS2.0→3.0への移行支援 スマホによる決済代行事業者 2 T社 電子マネー決済会社 PCIDSS3.0の認証取得支援 新システムの設計フェーズより支援を実施 3 S社 決済代行会社 PCIDSS2.0→3.0への移行支援 決済代行事業者 4 R社 ATM運営事業者 PCIDSS3.0の認証取得支援 新システムの設計フェーズより支援を実施 PCIDSS2.0→3.0への移行支援 5 D社 決済代行事業者 PCIDSS1.2→2.0への移行支援 ISMS/PCIDSS統合 PCIDSS1.2の認証取得支援 6 Q社 電子マネー決済会社 PCIDSS3.0の認証取得支援 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 新システムの設計フェーズより支援を実施 15 弊社PCIDSSコンサルティング実績② 実績 企業 分類 コンサルティング実績 備考 7 P社 加盟店(ECサイト) PCIDSS2.0の認証取得支援 Pマーク取得企業 8 O社 加盟店(ECサイト) PCIDSS2.0の認証取得支援 Pマーク取得企業 9 N社 電子マネー決済会社 PCIDSS2.0の認証取得支援 対面決済中心の決済代行事業者 ISMSと同時取得 10 M社 加盟店(ECサイト) PCIDSS2.0のギャップ分析 大規模ECサイトのPCIDSSギャップ分析 11 L社 決済代行事業者 PCIDSS2.0の認証取得支援 対面決済中心の決済代行事業者 12 K社 加盟店(ECサイト) PCIDSS2.0のギャップ分析 クラウド環境のPCIDSSキャップ分析 13 J社 決済代行事業者 PCIDSS2.0の認証取得支援 ISMSと同時取得 14 I社 決済代行事業者 PCIDSS2.0の認証取得支援 新システムの設計フェーズより支援を実施 15 H社 決済代行事業者 PCIDSS2.0の認証取得支援 ISMSと同時取得 16 G社 決済代行事業者 PCIDSS2.0の認証取得支援 新システムの設計フェーズより支援を実施 17 F社 データ入力会社 PCIDSS1.2のギャップ分析 ISMS/QMS/Pマーク/PCIDSS統合 18 E社 決済代行事業者 PCIDSS1.2の認証取得支援 Pマーク取得企業 新システムの設計フェーズより支援を実施 PCIDSS1.2→2.0への移行支援 19 C社 決済代行事業者 ISMS/Pマーク取得企業 PCIDSS1.2の認証取得支援 Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 16 参考資料:セコムグループのサービス Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 17 付録1 SECOMソリューションマップ リスク管理コンサルティング、対策導入サービス ①内部統制 ③情報セキュリティ ②ITマネジメント ・金融商品取引法(J-SOX)への対応 ・新会社法への対応 ・ISO27000/ISMS取得支援 ・PCIDSS取得支援 ・Pマーク取得支援 ・ISO9000/QMS取得支援 ④情報セキュリティ対策 災害対策 ・不正アクセス監視 ・Webサーバ診断 ・セコムあんしんクライアント ・セコムあんしん携帯サービス ・セコムあんしん給与サービス ・給与明細電子化サービス ・セコム電子データ保管サービス 防災備蓄品 帰宅支援マップ ・防災グッズ管理サービス ・あんしん初動グッズ ・セコム・スーパーレスキュー ・事業継続計画(BCP)/初動マニュアルの作成 ・事業継続管理(BCM)/訓練実施支援 ⑥プロフェッショナルサービス ・ウイルス感染対処 ・情報漏えい/不正アクセス対処 24時間365日 AED(自動対外式除細動機) 安全・安心 セコム安否確認サービス その他 ⑤防犯・防災 会員制医療サービス 法人・個人向け各種保険 食事支援ロボット 「マイスプーン」 防犯対策 RFIDによる重要物管理システム 開閉監視サービス(ココセコム) 消火器 トマホークマッハⅠ Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved セキュリティ・ マネジメントサービス 入退室管理・監視カメラ ココセコム 18 付録2 コンサルティングサービスの概要 情報システム監査サービス マ ネ ジ メ ン ト シ ス テ ム 構 築 ・ 認 証 取 得 ・ 運 用 コ ン サ ル 金融商品取引法 内部統制構築サービス ISO9001/QMS 認 証 取 得 支 援 サ ー ビ ス 認統 証合 取・ 得複 合 ISO27001/ISMS PCI DSS プライバシーマーク (JIS 15001) 危機管理構築サービス Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 認 証 取 得 ・ 維 持 ・ 更 新 サ ー ビ ス 情報システム監査 情報セキュリティ監査 ・経済産業省「情報システム管理・監査規準」に準拠 ・経済産業省「情報セキュリティ管理・監査規準」に準拠 ・政府統一基準情報セキュリティ監査 全社的統制 業務プロセス統制 IT全般統制 ・各種規定の整備状況確認と整備 ・業務プロセス/IT業務プロセス分析 (業務フロー、Risk Control Matrix) ・情報システム開発・保守・運用、情報セキュリティ 現状調査と目標の設定 文書作成 ・何をすべきか、どのようにするか、どこまでやるか ・品質マニュアル、文書管理 ・基本方針の策定、リスクアセスメント、プロセスの文書化 情報セキュリティポリシー リスクアセスメント 管理目的と管理策の選択 ・基本方針、対策方針の策定 ・情報資産とリスク洗出し、資産価値評価、リスク評価、 対処方法の決定 ・対策基準、適用宣言書の策定 PCI DSS適合性チェック 是正、審査 ・QSAとの調整、PCIDSSへの適合性チェック ・是正、予備審査、本審査受診 ギャップ分析 ・対策基準(JIS Q 15001要求に対して) ポリシー、スタンダード、・個人情報保護方針、セキュリティポリシー、個人情報保護規定、 マニュアル、フォーム 詳細規定、各種様式、各種記録用紙 適合性審査対応 維持向上活動推進 ・審査機関による審査への対応 ・教育、記録、是正処置、予防処置 ・内部監査、マネジメントレビューの実施 事業継続計画 (BCM/BCP) 緊急対応マニュアル ・危機管理基本方針、事業継続計画、事業継続管理 ・初動対応マニュアル、初動訓練計画立案・実施・評価 19 付録3 安心できる環境へ一日も早く 今、どこにおられますか? 危険を 感じている ど ん な 危 険 が 潜 ん で い る の か 認 識 し て い る 認 識 し て い な い ( リ ス ク ア セ ス メ ン ト ) Copyright 2015 SECOM Trust Systems Co.,Ltd. All Rights Reserved 警戒 分 析 ・ 評 価 感じていない 対 策 (ソリューション適用) Ⅲ Ⅳ Ⅱ Ⅰ 不安 安心 <ハインリッヒの法則> 1件の大事故のかげには29 件の小事故があり、さらに 300件の「ひやり」がある。 無防備 事件・事故の発生 20