...

翻訳版 - 情報セキュリティブログ

by user

on
Category: Documents
5

views

Report

Comments

Transcript

翻訳版 - 情報セキュリティブログ
Payment Card Industry(PCI)データセキュリティ基準
要件とセキュリティ評価手順 バージョン 2.0 翻訳版
監修:NTT データ・セキュリティ株式会社
2010/10/29
翻訳:株式会社日立ソリューションズ
本翻訳文書について
本翻訳文書は、NTT データ・セキュリティ株式会社によるサービスとして情報提供される。これはオフィシャルドキュメントである PCI DSS version 2.0 の、非公式の翻訳で
ある:https://www.pcisecuritystandards.org/security_standards/documents.php copyright © 2010 PCI セキュリティスタンダーズカウンシル LLC
英文が、本ドキュメントのオフィシャルバージョンであるとみなされ、翻訳文と英文においての曖昧さや不明瞭さについては、英文が優先される。翻訳版は、PCI SSC と
NTT データ・セキュリティ株式会社間における翻訳許諾契約で明記される条件のもと、公開される。PCI セキュリティスタンダーズカウンシル LLC も NTT データ・セキュリ
ティ株式会社も、本翻訳文書に含まれる過失に対する責任を負わない。
About this translation:
"This translated document is provided by NTT DATA SECURITY CORPORATION as an informational service. This is an unofficial translation of the official document, PCI
DSS version 2.0 located at https://www.pcisecuritystandards.org/security_standards/documents.php copyright © 2010 PCI Security Standards Council LLC. The
English text to be found at such address shall for all purposes be regarded as the official version of this document, and to the extent of any ambiguities or inconsistencies
between this text and the English text, the English text at such location shall control. This translation is published with acknowledgement of and in agreement with terms
specified in a translation permissions agreement between PCISSC and NTT DATA SECURITY CORPORATION. Neither PCI Security Standards Council LLC nor NTT
DATA SECURITY CORPORATION assume responsibility for any errors contained herein."
【注意事項】

本文書は、株式会社日立ソリューションズが翻訳、NTT データ・セキュリティ株式会社が監修を行い、独自に公開するものです。

本文書では、”要件とセキュリティ評価手順”のみを翻訳対象としています。

本文書の内容について、PCI SSC へのお問い合わせはご遠慮ください。お問い合わせは、以下のいずれかの連絡先までお願い致します。
株式会社日立ソリューションズ E-mail: [email protected] TEL: 03-6718-5801
NTT データ・セキュリティ株式会社 E-mail: [email protected] TEL: 03-5425-1126
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 2
目次
安全なネットワークの構築と維持 ...................................................................................................................................................................................................................................................................................4
要件 1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること ...................................................................................................................................................4
要件 2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないこと ...................................................................................................................................... 11
カード会員データの保護 ................................................................................................................................................................................................................................................................................................ 16
要件 3: 保存されたカード会員データを保護すること ...................................................................................................................................................................................................................................... 16
要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること ........................................................................................................................................................ 27
脆弱性管理プログラムの整備 ..................................................................................................................................................................................................................................................................................... 29
要件 5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新すること............................................................................................................................................................................. 29
要件 6: 安全性の高いシステムとアプリケーションを開発し、保守すること ................................................................................................................................................................................................. 31
強固なアクセス制御手法の導入 ................................................................................................................................................................................................................................................................................ 40
要件 7: カード会員データへのアクセスを、業務上必要な範囲内に制限すること .................................................................................................................................................................................. 40
要件 8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる ................................................................................................................................................................................................ 42
要件 9: カード会員データへの物理アクセスを制限する ................................................................................................................................................................................................................................. 49
ネットワークの定期的な監視およびテスト ................................................................................................................................................................................................................................................................. 55
要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する .................................................................................................................................................... 55
要件 11: セキュリティシステムおよびプロセスを定期的にテストする ............................................................................................................................................................................................................. 61
情報セキュリティポリシーの整備 ................................................................................................................................................................................................................................................................................... 68
要件 12: すべての従業員向けの情報セキュリティポリシーを整備する ....................................................................................................................................................................................................... 68
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 3
安全なネットワークの構築と維持
要件 1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること
ファイアウォールは、事業体のネットワーク(内部)と信頼できないネットワーク(外部)とのコンピュータトラフィックおよび事業体の信頼できる内部ネットワーク内の機密性の高い領域を出
入りするトラフィックを制御するコンピュータ装置です。事業体の信頼できるネットワーク内の非常に機密性の高い領域の例として、カード会員データ環境が挙げられます。
ファイアウォールはすべてのネットワークトラフィックを調査して、指定されたセキュリティ基準を満たさない伝送をブロックします。
すべてのシステムは、電子商取引、従業員のデスクトップブラウザからのインターネットアクセス、従業員の電子メールによるアクセス、B2B 接続などの専用接続、ワイヤレスネットワーク、
その他のソースを介したシステムへのアクセスなど、信頼できないネットワークからの不正なアクセスから保護されなければなりません。しばしば、信頼できないネットワークへの(からの)問
題ないように思われるアクセス経路が、重要なシステムへの侵入経路になっていることがあります。ファイアウォールは、すべてのコンピュータネットワークのための、重要な保護メカニズムで
す。
その他のシステムコンポーネントもファイアウォール機能を持つことがありますが、要件 1 で述べる、ファイアウォールの最小要件しか満たしていません。カード会員データ環境内で、その他
のシステムコンポーネントのファイアウォール機能を使用する場合、そのデバイスを要件 1 の対象として評価しなければなりません。
PCI DSS 要件
テスト手順
1.1 以下を含むファイアウォールおよびルータ
1.1 ファイアウォール/ルーター構成基準および以下で指定されたその
ー構成基準を確立する
他文書を入手および検査し、標準が完全であることを確認する。次
対応
未対応
目標期日/コメント
の各項目に記入する。
1.1.1 すべてのネットワーク接続およびファイア
1.1.1 すべてのネットワーク接続およびファイアウォール/ルーター構成
ウォール/ルーター構成への変更を承認および
への変更を承認およびテストする、正式なプロセスがあることを確認す
テストする正式なプロセス
る。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 4
PCI DSS 要件
テスト手順
1.1.2 ワイヤレスネットワークを含む、カード会
1.1.2.a 最新のネットワーク図(ネットワーク上のカード会員データフロ
員データへのすべての接続を示す最新ネット
ーを示す図など)が存在し、ワイヤレスネットワークを含む、カード会員
ワーク図
データへのすべての接続が記載されていることを確認する。
対応
未対応
目標期日/コメント
1.1.2.b 図が最新のものであることを確認する。
1.1.3 各インターネット接続、および DMZ
1.1.3.a ファイアウォール構成基準に、各インターネット接続のファイア
(demilitarized zone) と内部ネットワークゾー
ウォール要件および DMZ と内部ネットワークゾーンとの間のファイアウ
ンとの間のファイアウォール要件
ォール要件が含まれていることを確認する。
1.1.3.b 現在のネットワーク図が、ファイアウォール構成基準と一致し
ていることを確認する。
1.1.4 ネットワークコンポーネントの論理的管
1.1.4 ファイアウォール/ルーター構成基準に、ネットワークコンポーネン
理のためのグループ、役割、責任に関する記
トの論理的管理のためのグループ、役割、責任に関する記述が含ま
述
れていることを確認する。
1.1.5 使用が許可されているすべてのサービ
1.1.5.a ファイアウォール/ルーター構成基準に、業務に必要なサービ
ス、プロトコル、およびポートの文書化ならびに
ス、プロトコル、ポートを文書化したリストが含まれていることを確認す
業務上の正当性の証明(プロトコルが安全で
る(HTTP、SSL、SSH、VPN プロトコルなど)。
ないとみなされている場合、実装されているセ
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 5
PCI DSS 要件
テスト手順
キュリティ機能の文書化を含む)。安全でない
1.1.5.b 許可されている安全でないサービス、プロトコル、ポートを識
サービス、プロトコル、またはポートの例には、
別し、それらが必要であり、セキュリティ機能が文書化されており、審
FTP、Telnet、POP3、IMAP、SNMP などが
査されたファイアウォール/ルーター構成基準および各サービスの設定
含まれる。
によって実装されていることを確認する。安全でないサービス、プロトコ
対応
未対応
目標期日/コメント
ル、ポートの例として、ユーザ資格情報をクリアテキストで渡す FTP
が挙げられる。
1.1.6 ファイアウォールおよびルーターのルール
1.1.6.a ファイアウォール/ルーター構成基準で、ファイアウォールおよび
セットは尐なくとも 6 カ月ごとにレビューされる
ルーターのルールセットを尐なくとも 6 カ月ごとにレビューするように要
必要がある
求していることを確認する。
1.1.6.b 文書を入手および調査して、ルールセットが尐なくとも 6 カ
月ごとにレビューされることを確認する。
1.2 カード会員データ環境内のすべてのシス
1.2 ファイアウォール/ルーター構成を調査して、信頼できないネットワ
テムコンポーネントと信頼できないネットワーク
ークとカード会員データ環境内のシステムコンポーネント間で接続が
との間の接続を制限するように、ファイアウォー
制限されていることを確認する。
ルおよびルーターの構成を構築する。
注: 「信頼できないネットワーク」とは、レビュー
を受ける事業体のネットワークの外部にあるネ
ットワーク、もしくはその事業体が制御もしくは
管理できないネットワーク(またはその両方の
ネットワーク)である。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 6
PCI DSS 要件
テスト手順
1.2.1 着信および発信トラフィックを、カード会
1.2.1.a 着信および発信トラフィックが、カード会員データ環境に必要
員データ環境に必要なトラフィックに制限す
なトラフィックに制限されており、制限が文書化されていることを確認
る。
する。
対応
未対応
目標期日/コメント
1.2.1.b たとえば明示の「すべてを拒否」、または許可文の後の暗黙
の拒否を使用することで、他のすべての着信および発信トラフィックが
明確に拒否されていることを確認する。
1.2.2 ルーター構成ファイルをセキュリティ保護
1.2.2 ルーター構成ファイルがセキュリティ保護され同期化されているこ
および同期化する。
とを確認します。たとえば、実行構成ファイル(ルーターの標準実行に
使用)とスタートアップ構成ファイル(マシンの再起動時に使用)が同じ
セキュリティ保護構成であることを確認する。
1.2.3 すべてのワイヤレスネットワークとカード
1.2.3 すべてのワイヤレスネットワークとカード会員データを保存するシ
会員データ環境の間に境界ファイアウォールを
ステムの間に、境界ファイアウォールがインストールされ、ワイヤレス環
インストールし、ワイヤレス環境からカード会
境からカード会員データ環境へのすべてのトラフィックを拒否または制
員データ環境へのすべてのトラフィックを拒否
御(そのようなトラフィックが業務上必要な場合)するようにファイアウォ
または制御(そのようなトラフィックが業務上必
ールが構成されていることを確認する。
要な場合)するようにファイアウォールを構成す
る。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 7
PCI DSS 要件
テスト手順
1.3 インターネットとカード会員データ環境内
1.3 以下に説明するとおりに、ファイアウォールおよびルーター構成(イ
のすべてのシステムコンポーネント間の、直接
ンターネットのチョークルーター、DMZ ルーターおよびファイアウォール、
的なパブリックアクセスを禁止する。
DMZ カード会員セグメント、境界ルーター、内部のカード会員ネット
対応
未対応
目標期日/コメント
ワークセグメントなどを含む)を調査し、内部のカード会員ネットワーク
セグメント内のシステムコンポーネントとインターネットとの間に直接アク
セスがないことを確認する。
1.3.1 DMZ を実装し、インバウンドトラフィック
1.3.1 DMZ が実装され、インバウンドトラフィックが、一般にアクセス可
を、一般にアクセス可能な許可されたサービ
能な許可されたサービス、プロトコル、およびポートを提供するシステム
ス、プロトコル、およびポートを提供するシステ
コンポーネント向けのトラフィックに制限されていることを確認する。
ムコンポーネント向けのトラフィックに制限す
る。
1.3.2 着信インターネットトラフィックを DMZ
1.3.2 着信インターネットトラフィックが DMZ 内の IP アドレスに制限
内の IP アドレスに制限する。
されていることを確認する。
1.3.3 インターネットとカード会員データ環境と
1.3.3 インターネットとカード会員データ環境との間のトラフィックの、す
の間のトラフィックの、すべての直接接続(イン
べての直接接続(インバウンド/アウトバウンド)が許可されていないこ
バウンド/アウトバウンド)を許可しない。
とを確認する。
1.3.4 インターネットから DMZ 内へ通過でき
1.3.4 内部アドレスがインターネットから DMZ 内へ通過できないこと
る内部インターネットアドレスを禁止する。
を確認する。
1.3.5 カード会員データ環境からインターネッ
1.3.5 カード会員データ環境からインターネットへのアウトバウンドトラフ
トへの認証されていないアウトバウンドトラフィ
ィックが、明示的に認証されることを確認する。
ックを許可しない。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 8
PCI DSS 要件
テスト手順
1.3.6 動的パケットフィルタリングとも呼ばれ
1.3.6 ファイアウォールがステートフルインスペクション(動的パケットフィ
る、ステートフルインスペクションを実装する。
ルタリング)を実行することを確認する(確立された接続が、前に確立
(ネットワーク内へは、「確立された」接続のみ
されたセッションに関連付けられている場合にのみ許可される必要が
許可される。)
ある)。
1.3.7 DMZ などの信頼できないネットワークか
1.3.7 DMZ などの信頼できないネットワークから分離された内部ネット
ら分離された内部ネットワークゾーンに、カード
ワークゾーンに、カード会員データを保存するシステムコンポーネント
会員データを保存するシステムコンポーネント
(データベースなど)が配置されていることを確認する。
対応
未対応
目標期日/コメント
(データベースなど)を配置する。
1.3.8 権限のない者にプライベート IP アドレ
1.3.8.a IP アドレスの隠ぺい方法が実施され、内部ネットワークからイ
スおよびルーティング情報を開示しない。
ンターネットへのプライベート IP アドレスとルーティング情報の開示が
防止されていることを確認する。
注: IP アドレスを隠ぺいする方法には、以下
の項目などが含まれる。
・ ネットワークアドレス変換(NAT)
・ カード会員データを含むサーバをプロキシサ
ーバ/ファイアウォールまたはコンテンツキャッシ
ュの背後に配置する
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 9
PCI DSS 要件
テスト手順
・ 登録したアドレス指定を行うための、プライ
1.3.8.b プライベート IP アドレスとルーティング情報が外部事業体へ
ベートネットワーク向けのルーターアドバタイズ
開示される場合、それらが認可されたものであることを確認する。
対応
未対応
目標期日/コメント
メントを削除またはフィルタリングする
・ 登録したアドレスの代わりに、RFC1918 ア
ドレス空間を内部で使用する
1.4 インターネットに直接接続するすべてのモ
1.4.a インターネットに直接接続するモバイルコンピュータまたは従業
バイルコンピュータまたは従業員所有のコンピ
員所有のコンピュータ(あるいはその両方)で、企業ネットワークへのア
ュータ(あるいはその両方)で、企業ネットワー
クセスに使用されるものに(従業員が使用するラップトップなど)、パー
クへのアクセスに使用されるものに(従業員が
ソナルファイアウォールソフトウェアをインストールされ、有効になっている
使用するラップトップなど)、パーソナルファイア
ことを確認する。
ウォールソフトウェアをインストールする。
1.4.b パーソナルファイアウォールソフトウェアが事業体固有の基準で
構成され、その構成がモバイルコンピュータのユーザもしくは従業員所
有コンピュータのユーザ(またはその両者)によって変更可能でないこと
を確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 10
要件 2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないこと
(事業体内外の)悪意のある人々は多くの場合、ベンダのデフォルトパスワードおよびベンダのその他のデフォルト設定を使用して、システムを脅かします。これらのパスワードと設定はハッ
カーの間でよく知られており、公開情報を通じて容易に特定できます。
PCI DSS 要件
テスト手順
2.1 システムをネットワーク上に導入する前
2.1 システムコンポーネント、重要なサーバ、ワイヤレスアクセスポイン
に、ベンダ提供のデフォルト値を必ず変更す
トのサンプルを選択し、ベンダ提供のデフォルトのアカウントとパスワード
る。これには、パスワードの変更、簡易ネット
を使用してデバイスへのログオンを試み(システム管理者の協力を得
ワーク管理プロトコル(SNMP)コミュニティ文
て)、デフォルトのアカウントとパスワードが変更されていることを確認す
字列の変更、および不必要なアカウントの削
る。(ベンダのマニュアルおよびインターネット上のソースを使用して、ベ
除などが含まれる。
ンダ提供のアカウント/パスワードを探す。)
2.1.1 カード会員データ環境に接続されてい
2.1.1 ワイヤレス環境のベンダデフォルト設定について、以下の事項を
る、またはカード会員データを伝送するワイヤ
確認する。
レス環境の場合、ワイヤレスベンダのデフォル
2.1.1.a 暗号化キーがインストール時のデフォルトから変更されている
ト値を変更する。これには、デフォルトのワイヤ
こと、および暗号化キーの情報を持つ人物が退社または異動する時
レス暗号化キー、パスワード、および SNMP
に、必ずキーが変更されていることを確認する。
コミュニティ文字列などが含まれる。
対応
未対応
目標期日/コメント
2.1.1.b ワイヤレスデバイスのデフォルトの SNMP コミュニティ文字列
が変更されていることを確認する。
2.1.1.c アクセスポイントのデフォルトのパスワード/パスフレーズが変更
されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 11
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
2.1.1.d ワイヤレスデバイスのファームウェアが更新され、ワイヤレスネッ
トワーク経由の認証および伝送用の強力な暗号化をサポートしてい
ることを確認する。
2.1.1.e その他のセキュリティに関連するワイヤレスベンダのデフォルト
値がある場合は、そのデフォルト値が変更されていることを確認する。
2.2 すべてのシステムコンポーネントが対象の
2.2.a すべてのタイプのシステムコンポーネントについて組織のシステム
構成基準を作成する。この基準は、すべての
構成基準を調査し、システム構成基準が業界で認知されたシステム
既知のセキュリティ脆弱性に対応し、業界で
強化基準と一致していることを確認する。
認知されたシステム強化基準と一致している
2.2.b 要件 6.2 で定義されるとおり、新しい脆弱性の問題が見つかっ
必要がある。
たときにシステム構成基準が更新されることを確認する。
業界で認知されたシステム強化基準は、以
下の項目などが含まれる。
2.2.c 新しいシステムを構成する際に、システム構成基準が適用され
ていることを確認する。
・ Center for Internet Security (CIS)
・ International Organization for
Standardization (ISO)
2.2.d システム構成基準に、次の要件(2.2.1 ~ 2.2.4) が含まれて
いることを確認する。
・ SysAdmin Audit Network Security
(SANS) Institute
・ National Institute of Standards
Technology (NIST)
2.2.1 1 つのサーバに主要機能を 1 つだけ実
2.2.1a システムコンポーネントのサンプルについて、1 つのサーバに主
装し、異なるセキュリティレベルの機能が同じ
要機能が 1 つだけ実装されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 12
PCI DSS 要件
テスト手順
サーバに存在しないようにする(たとえば、Web
2.2.1.b 仮想化技術が使用されている場合、1 つの仮想システムコン
サーバ、データベースサーバ、および DNS
ポーネントまたはデバイスには主要機能が 1 つだけ実装されているこ
は、それぞれ分離したサーバに実装する必要
とを確認する。
対応
未対応
目標期日/コメント
がある)。
注: 仮想化技術が使用されている場合、1
つの仮想システムコンポーネントに主要機能
を 1 つだけ実装する。
2.2.2 サービス、プロトコル、デーモンなどにつ
2.2.2.a システムコンポーネントのサンプルについて、有効になっている
いて、システムの機能に必要で安全性の高い
システムサービス、デーモン、およびプロトコルを検査する。必要なサー
ものだけを有効にする。
ビスまたはプロトコルのみが有効になっていることを確認する。
安全性が低いとみなされているサービス、プロ
2.2.2.b 有効になっている安全性の低いサービス、デーモン、またはプ
トコル、またはデーモンが必要な場合は、セキ
ロトコルを特定する。それらの正当性が示され、セキュリティ機能が文
ュリティ機能を実装する(たとえば、NetBIOS、
書化され、実装されていることを確認する。
ファイル共有、Telnet、FTP などの安全性の
低いサービスの代わりに、SSH、SFTP、
SSL、または IPSec VPN のような安全性の高
い技術を使用する)。
2.2.3 システムの誤用を防止するためにシステ
2.2.3.a システム管理者またはセキュリティマネージャ(あるいはその両
ムセキュリティパラメータを構成する。
方)にインタビューし、システムコンポーネントの一般的なセキュリティパ
ラメータに関する知識があることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 13
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
2.2.3.b システム構成基準に一般的なセキュリティパラメータ設定が
含まれていることを確認する。
2.2.3.c システムコンポーネントのサンプルについて、一般的なセキュリ
ティパラメータが適切に設定されていることを確認する。
2.2.4 スクリプト、ドライバ、機能、サブシステ
2.2.4.a システムコンポーネントのサンプルについて、不要な機能(スク
ム、ファイルシステム、不要な Web サーバな
リプト、ドライバ、機能、サブシステム、ファイルシステムなど)がすべて
ど、不要な機能をすべて削除する。
削除されていることを確認する。
2.2.4.b 有効な機能が文書化され、セキュリティ構成をサポートするこ
とを確認する。
2.2.4.c 文書化された機能のみがサンプルのシステムコンポーネントに
存在することを確認する。
2.3 コンソール以外のすべての管理アクセス
2.3 システムコンポーネントのサンプルについて、コンソール以外の管理
を、強力な暗号化技術で暗号化する。Web
アクセスが以下によって暗号化されていることを確認する。
ベースの管理およびその他のコンソール以外
の管理アクセスについては、SSH、VPN、また
は SSL/TLS などの技術を使用する。
2.3.a 各システムへの管理者ログオンを監視し、管理者パスワードが
要求される前に、強力な暗号化方式が実行されていることを確認す
る。
2.3.b システム上のサービスおよびパラメータファイルを確認して、
Telnet などのリモートログインコマンドが内部で使用不可になっている
ことを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 14
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
2.3.c Web ベース管理インターフェイスへの管理者アクセスが、強力な
暗号化技術で暗号化されていることを確認する。
2.4 共有ホスティングプロバイダは、各事業体
2.4 共有ホスティングプロバイダの PCI DSS 評価について、「付録
のホスト環境およびカード会員データを保護
A: 共有ホスティングプロバイダ向けの PCIDSS 追加要件」に詳しく
する必要がある。 「付録 A: 共有ホスティン
説明されているテスト手順 A.1.1~ A.1.4 を実行し、共有ホスティン
グプロバイダ向けの PCI DSS 追加要件」に
グプロバイダが事業体(加盟店およびサービスプロバイダ)のホスト環
詳しく説明されている要件を満たす必要があ
境およびデータを保護していることを確認する。
る。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 15
カード会員データの保護
要件 3: 保存されたカード会員データを保護すること
暗号化、トランケーション、マスキング、ハッシュなどの保護方式は、カード会員データ保護のための重要な要素です。侵入者が他のネットワークセキュリティコントロールを回避し、暗号
化されたデータにアクセスできても、正しい暗号化キーがなければ、そのデータを読み取り、使用することはできません。保存したデータを保護するための効果的な別の方法として考えら
れるのは、リスクを軽減する方法です。たとえば、リスクを最小限にする方法として、カード会員データが絶対的に必要でない場合は保存しない、完全な PAN が不要ならカード会員
データを切り捨てる、電子メールやインスタントメッセージなどのエンドユーザメッセージングテクノロジで保護されていない PAN を送信しない、などがあります。
「強力な暗号化技術」やその他の PCI DSS 用語の定義については、「PCI DSS Glossary of Terms, Abbreviations, and Acronyms」を参照してください。
PCI DSS 要件
テスト手順
3.1 以下のように、データの保存と廃棄に関
3.1 データの保存と廃棄に関するポリシー、手順、およびプロセスを入
するポリシー、手順、およびプロセスを作成
手して調査し、以下を実行する。
対応
未対応
目標期日/コメント
し、保存するカード会員データを最小限に抑
える。
3.1.1 以下を含む、データの保存と廃棄に関
3.1.1.a ポリシーと手順が実施され、それらにデータ保存に関する法
するポリシーを実施する。
律上、規則上、業務上の要件が含まれていることを確認する。これ
・ 保存するデータ量と保存期間を、法律
には、カード会員データの保存に関する具体的な要件が含まれる(た
上、規則上、および業務上必要な範囲に限
とえば、カード会員データは、X の期間、Y という業務上の理由で保
定すること。
存する必要がある、など)。
・ 不必要になったデータを安全性の高い方
3.1.1.b 法律上、規則上、および業務上の必要性がなくなった場合
法で削除するプロセス。
の、データの安全な廃棄(カード会員データの廃棄を含む)に関する
・ カード会員データの保存要件の指定。
措置が、ポリシーと手順に含まれていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 16
PCI DSS 要件
テスト手順
・ 保存したカード会員データのうち定義され
3.1.1.c カード会員データのすべての保存に関する対象が、ポリシーと
た保存要件を超えているデータを特定し、安
手順に含まれていることを確認する。
全に削除するための、四半期ごとの自動また
は手動プロセス。
対応
未対応
目標期日/コメント
3.1.1.d ポリシーと手順に、以下のうち尐なくとも 1 つの項目が含まれ
ていることを確認する。
・ データ保存ポリシーに定義された要件を超えている保存したカード
会員データを尐なくとも四半期ごと削除するための、自動または手動
のプログラムプロセス。
・ 保存されたカード会員データが、データ保存ポリシーに定義された
要件を超えていないことを確認するための、尐なくとも四半期ごと実
施される、レビュー要件。
3.1.1.e カード会員データを保存したシステムコンポーネントのサンプル
については、保存されたデータが、データ保存ポリシーに定義された要
件を超えていないことを確認する。
3.2 認証後にセンシティブ認証データを保存
3.2.a 発行サービスをサポートし、センシティブ認証データを保存する
しない(暗号化されている場合でも)。
発行者もしくは企業(または両者)については、センシティブ認証デー
センシティブ認証データには、以下の要件
タの保存に関する業務上の正当性が示され、そのデータが安全に保
3.2.1~ 3.2.3 に記載されているデータが含ま
存されていることを確認する。
れる。
3.2.b その他のすべての事業体がセンシティブ認証データを受け取り、
削除する場合、安全に削除するためのプロセスを入手してレビュー
注: 発行サービスをサポートする発行者と企
し、データが復元不可能であることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 17
PCI DSS 要件
テスト手順
業は、業務上の正当性が示され、データが
3.2.c センシティブ認証データの各項目に対して、以下の手順を実行
安全に保存されている場合、センシティブ認
する。
対応
未対応
目標期日/コメント
証データを保存することを容認される。
3.2.1 カード裏面の磁気ストライプ、チップ内
3.2.1 システムコンポーネントのサンプルについては、以下の項目など
に含まれる同等のデータ、およびその他の場
を含むデータソースを調査し、カード裏面の磁気ストライプまたはチップ
所に存在する、いかなるトラックのいかなる内
内に含まれる同等のデータから得られたトラック内容が、いかなる状況
容も保存しない。このデータは、全トラック、ト
においても保存されていないことを確認する。
ラック、トラック 1、トラック 2、磁気ストライプデ
・ 受信トランザクションデータ
ータとも呼ばれる。
・ すべてのログ(トランザクション、履歴、デバッグ、エラーなど)
・ 履歴ファイル
注: 通常の業務範囲では、磁気ストライプの
・ トレースファイル
以下のデータ要素を保存する必要が生じる
・ データベーススキーマ
場合がある。
・ データベースコンテンツ
・ カード会員名
・ プライマリアカウント番号(PAN)
・ 有効期限
・ サービスコード
リスクを最小限に抑えるため、業務上必要な
データ要素のみを保存する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 18
PCI DSS 要件
テスト手順
3.2.2 カードを提示しない取引の確認に使用
3.2.2 システムコンポーネントのサンプルについて、以下の項目などを
されるカード検証コードまたは値(ペイメントカ
含むデータソースを調査し、カード前面または署名欄に印字されてい
ードの前面または裏面に印字された 3 桁ま
る 3 桁または 4 桁のカード検証コードまたは値(CVV2、CVC2、
たは 4 桁の数字)を保存しない。
CID、CAV2 データ)がいかなる状況においても保存されていないこと
対応
未対応
目標期日/コメント
を確認する。
・ 受信トランザクションデータ
・ すべてのログ(トランザクション、履歴、デバッグ、エラーなど)
・ 履歴ファイル
・ トレースファイル
・ データベーススキーマ
・ データベースコンテンツ
3.2.3 個人識別番号(PIN)または暗号化さ
3.2.3 システムコンポーネントのサンプルについては、以下の項目など
れた PIN ブロックを保存しない。
を含むデータソースを調査し、PIN および暗号化された PIN ブロック
がいかなる状況においても保存されていないことを確認する。
・ 受信トランザクションデータ
・ すべてのログ(トランザクション、履歴、デバッグ、エラーなど)
・ 履歴ファイル
・ トレースファイル
・ データベーススキーマ
・ データベースコンテンツ
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 19
PCI DSS 要件
テスト手順
3.3 表示する際に PAN をマスクする(最大
3.3 文書化されたポリシーを入手および検討し、PAN の表示(画
でも最初の 6 桁と最後の 4 桁のみを表
面、紙のレシートなど)を調査して、業務上の合法的なニーズにより
示)。
PAN 全体を見る必要のある場合を除き、カード会員データを表示
対応
未対応
目標期日/コメント
する際に PAN がマスクされることを確認する。
注:
・ 従業員およびその他の関係者が、業務上
の合法的なニーズにより PAN 全体を見る必
要がある場合、この要件は適用されない。
・ カード会員データの表示に関するこれより
厳しい要件(POS レシートなど)がある場合
は、そちらに置き換えられる。
3.4 以下の手法を使用して、すべての保存
3.4.a ベンダ、システム/プロセスのタイプ、暗号化アルゴリズム(該当す
場所(ポータブルデジタルメディア、バックアップ
る場合)などが記載された、PAN の保護に使用されているシステムに
メディア、ログを含む)で PAN を読み取り不
関する文書を入手して検討する。次のいずれかの方法により、PAN
能にする。
が読み取り不能になっていることを確認する。
・ 強力な暗号化技術をベースにしたワンウェ
・ 強力な暗号化技術をベースにしたワンウェイハッシュ
イハッシュ(PAN 全体をハッシュする必要があ
・ トランケーション
る)
・ インデックストークンとパッド(パッドは安全に保存する必要がある)
・ トランケーション(PAN の切り捨てられたセ
・ 関連するキー管理プロセスおよび手順を伴う、強力な暗号化
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 20
PCI DSS 要件
テスト手順
グメントの置き換えにはハッシュを使用できな
3.4.b データリポジトリのサンプルからいくつかのテーブルまたはファイルを
い)
調査し、PAN が読み取り不能になっていることを確認する(平文で
・ インデックストークンとパッド(パッドは安全に
保存されていない)。
保存する必要がある)
3.4.c リムーバブルメディア(バックアップテープなど)のサンプルを調査
・ 関連するキー管理プロセスおよび手順を伴
し、PAN が読み取り不能になっていることを確認する。
う、強力な暗号化
注: 悪意のある者が、トランケーションされた
対応
未対応
目標期日/コメント
3.4.d 監査ログのサンプルを調査し、PAN が読み取り不能になってい
るか、または PAN がログから削除されていることを確認する。
PAN とハッシュ化された PAN の両方を取
得した場合、比較的容易に、元の PAN を
再現することができる。
同じ PAN をトランケーションしたものとハッシ
ュ化したものが事業体の環境にある場合、追
加のコントロールを実施し、ハッシュ化したもの
とトランケーションしたものの相互関係を示す
ことができず、元の PAN が再現できないこと
を確認する必要がある。
3.4.1 (ファイルまたは列レベルのデータベース
3.4.1.a ディスク暗号化を使用している場合、暗号化されたファイルシ
暗号化ではなく)ディスク暗号化が使用され
ステムへの論理アクセスが、ネイティブなオペレーティングシステムのメカ
る場合、論理アクセスはネイティブなオペレー
ニズムとは別のメカニズムで実装されていることを確認する(ローカルユ
ティングシステムのアクセス制御メカニズムとは
ーザーアカウントデータベースを使用しないなどの方法で)。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 21
PCI DSS 要件
テスト手順
別に管理する必要がある(ローカルユーザーア
3.4.1.b 暗号化キーが安全に保存されていることを確認する(強力な
カウントデータベースを使用しないなどの方法
アクセス制御で適切に保護されているリムーバブルメディアに保存され
で)。
ているなど)。
対応
未対応
目標期日/コメント
3.4.1.c どこに保存されている場合でも、リムーバブルメディアのカード
会員データが暗号化されていることを確認する。
注: ディスク暗号化でリムーバブルメディアを暗号化できない場合、他
の方法でこのメディアに保存されたデータを読み取り不能にする必要
がある。
3.5 カード会員データの保護に使用されるキ
3.5 以下の項目を確認して、カード会員データの暗号化に使用され
ーを、漏洩と誤使用から保護する。
ているキーを、漏洩と誤使用から保護するためのプロセスを確認す
る。
注: この要件は、データ暗号化キーの保護に
使用される、キー暗号化キーにも適用され
る。つまり、キー暗号化キーは、尐なくともデー
タ暗号化キーと同じ強度を持つ必要がある。
3.5.1 暗号化キーへのアクセスを、必要最小
3.5.1 ユーザアクセスリストを調査し、キーへのアクセスが必要最小限
限の管理者に制限する。
の管理者に制限されていることを確認する。
3.5.2 暗号化キーの保存場所と形式を最小
3.5.2.a システム構成ファイルを調査し、キーが暗号化された形式で
限にし、安全に保存する。
保存され、キー暗号化キーがデータ暗号化キーとは別個に保存され
ていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 22
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
3.5.2.b 暗号化キーの保存場所を特定し、キーが最小限の保存場
所と形式で保存されていることを確認する。
3.6 カード会員データの暗号化に使用される
3.6.a カード会員データの暗号化に使用するキーの管理手順が存在
キーの管理プロセスおよび手順をすべて文書
することを確認する。
化し、実装する。これには、以下が含まれる。
3.6.b サービスプロバイダのみ、サービスプロバイダがカード会員データ
の伝送または保存に使用するキーを複数の顧客と共有している場
注: キー管理には多数の業界標準があり、
合、以下の要件 3.6.1 ~ 3.6.8 に従って、顧客のキーを安全に伝
NIST(http://csrc.nist.gov を参照)などさま
送、保存、および更新する方法が記述された文書を顧客に提供して
ざまなリソースから入手可能です。
いることを確認する
3.6.c キー管理手順を調査し、以下を実行する。
3.6.1 強力な暗号化キーの生成
3.6.1 キー管理手順で、強力なキーの生成が要求されていることを
確認する。
3.6.2 安全な暗号化キーの配布
3.6.2 キー管理手順で、安全なキーの配布が要求されていることを
確認する。
3.6.3 安全な暗号化キーの保存
3.6.3 キー管理手順で、安全なキーの保存が要求されていることを
確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 23
PCI DSS 要件
テスト手順
3.6.4 関連アプリケーションベンダまたはキーオ
3.6.4 キー管理手順で、定義された暗号化期間の終了時点に、定
ーナーが定義し、業界のベストプラクティスお
期的なキーの変更が要求されていることを確認する。
対応
未対応
目標期日/コメント
よびガイドライン(たとえば、NIST Special
Publication 800-57)に基づいた、暗号化期
間の終了時点に到達したキーの暗号化キー
の変更。暗号化期間の終了時点とは、たと
えば、定義された期間が経過した後、もしくは
付与されたキーで一定の量の暗号化テキスト
を作成した後(またはその両方)である。
3.6.5 キーの完全性が弱くなったとき(たとえ
3.6.5.a キー管理手順で、キーの完全性が弱くなったときにキーの失
ば、平文のキーの情報を持つ従業員が業務
効が要求されていることを確認する。
から離れる場合)またはキーが危険にさらされ
ている疑いがあるときに、必要とみなされる、
3.6.5.b キー管理手順で、危険にさらされされたことが分かっている、
またはその疑いがあるキーの変更が要求されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 24
PCI DSS 要件
テスト手順
キーの失効または変更。キーの失効または変
3.6.5.c 失効または変更されたキーを保持する場合、そのキーが暗号
更とは、たとえば、アーカイブ、廃棄、もしくは
化の業務に使用されないことを確認する。
対応
未対応
目標期日/コメント
廃止(またはそれらすべて)である。
注: 失効または変更されたキーを保持する必
要がある場合、それらのキーは、(たとえば、キ
ー暗号化キーを使用することにより)安全にア
ーカイブされる必要がある。アーカイブされた
暗号化キーは、復号化/照合にのみ使用さ
れる。
3.6.6 平文暗号化キー管理を手動で運用す
3.6.6 手動の平文キー管理手順で、キーの知識分割と二重管理が
る場合、キーの知識分割と二重管理を使用
要求されていることを確認する。
する必要がある。(たとえば、キー全体を再構
築するには、2~ 3 人を必要とし、各自がキ
ーの一部のみを知っている)。
注: 手動のキー管理運用の例には、キーの
生成、伝送、読み込み、保存、破棄などが
含まれる。
3.6.7 暗号化キーの不正置換の防止
3.6.7 キー管理手順で、キーの不正置換の防止が要求されているこ
とを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 25
PCI DSS 要件
テスト手順
3.6.8 暗号化キー管理者が自身の責務を理
3.6.8 キー管理手順で、キー管理者が自身の責務を理解し、それを
解し、それを受諾したことの正式な認識。
受諾したことを正式に(書面または電子的な方法で)認識することが
対応
未対応
目標期日/コメント
要求されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 26
要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること
悪意のある者が容易にアクセスできるネットワーク経由で機密情報を伝送する場合は暗号化する必要があります。誤って構成されたワイヤレスネットワーク、および従来の暗号化や認
証プロトコルの脆弱性は、これまで同様、このような脆弱性につけこんでカード会員データ環境への特権アクセスを取得する悪意のある者の標的となります。
PCI DSS 要件
テスト手順
4.1 オープンな公共ネットワーク経由で機密
4.1.カード会員データがオープンな公共ネットワーク経由で送受信され
性の高いカード会員データを伝送する場合、
る場合、セキュリティプロトコルが使用されていることを確認する。
強力な暗号化とセキュリティプロトコル
以下のように、データ伝送時に強力な暗号化が使用されていることを
(SSL/TLS、IPSEC、SSH など)を使用して
確認する。
保護する。
4.1.a 受信時のトランザクションのサンプルを選択してトランザクションを
PCI DSS では、オープンな公共ネットワーク
監視し、カード会員データが送信時に暗号化されていることを確認す
の例には、以下の項目などが含まれる。
る。
・ インターネット
4.1.b 信頼できるキーもしくは証明書(またはその両方)のみが受け付
・ ワイヤレステクノロジ
けられていることを確認する。
・ Global System for
4.1.c プロトコルの安全な構成のみを使用し、安全でないバージョンま
Mobilecommunications (GSM)
たは構成をサポートしないことを確認する。
・ General Packet Radio Service(GPRS)
4.1.d 使用中の暗号化手法に、適切な強度の暗号化が実装されて
対応
未対応
目標期日/コメント
いることを確認する(ベンダの推奨事項/ベストプラクティスを確認す
る)。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 27
4.1.e SSL/TLS を実装する場合:
・ ブラウザの URL に HTTPS が表示されることを確認する。
・ URL に HTTPS が表示されない場合、カード会員データが要求
されないことを確認する。
4.1.1 カード会員データを伝送する、またはカ
4.1.1 カード会員データを伝送する、またはカード会員データ環境に
ード会員データ環境に接続するワイヤレスネッ
接続しているワイヤレスネットワークには、業界のベストプラクティス
トワークには、業界のベストプラクティス(IEEE
(IEEE 802.11i など)を使用して、認証および伝送用に強力な暗号
802.11i など)を使用して、認証および伝送
化を実装する。
用に強力な暗号化を実装する。
注: 2010 年 6 月 30 日時点で、セキュリ
ティコントロールとして WEP を使用することは
禁止された。
4.2 エンドユーザメッセージングテクノロジ(電
4.2.a エンドユーザメッセージングテクノロジで PAN を送信する場
子メール、インスタントメッセージング、チャット
合、常に読み取り不能にされていること、または常に強力な暗号化で
など)で保護されていない PAN を送信しな
保護されていることを確認する。
い。
4.2.b 保護されていない PAN をエンドユーザメッセージングテクノロジ
で送信しないことを規定したポリシーが存在することを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 28
脆弱性管理プログラムの整備
要件 5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新すること
一般に「マルウェア」と呼ばれる悪意のあるソフトウェア(ウィルス、ワーム、トロイの木馬など)は、従業員の電子メール、インターネット、モバイルコンピュータ、ストレージデバイスの使用な
ど、業務上承認された活動を通じて、システムの脆弱性を利用してネットワークに侵入します。マルウェアの影響を受けやすいすべてのシステムで、アンチウィルスソフトウェアを使用して、
最新の進化するマルウェアソフトウェアの脅威からシステムを保護する必要があります。
PCI DSS 要件
テスト手順
5.1 悪意のあるソフトウェアの影響を受けやす
5.1 悪意のあるソフトウェアの影響を受けやすいすべてのオペレーティ
いすべてのシステム(特にパーソナルコンピュー
ングシステムタイプを含む、システムコンポーネントのサンプルについて、
タとサーバ)に、アンチウィルスソフトウェアを導
適用可能なアンチウィルステクノロジが存在する場合は、アンチウィル
入する。
スソフトウェアが導入されていることを確認する。
5.1.1 すべてのアンチウィルスプログラムは、す
5.1.1 システムコンポーネントのサンプルについて、すべてのアンチウィル
べての既知のタイプの悪意のあるソフトウェア
スプログラムが、すべての既知のタイプの悪意のあるソフトウェア(ウィル
に対して検知、駆除、保護が可能でなけれ
ス、トロイの木馬、ワーム、スパイウェア、アドウェア、ルートキットなど)
ばならない。
に対して検知、駆除、保護が可能であることを確認する。
5.2 すべてのアンチウィルスメカニズムが最新
5.2 すべてのアンチウィルスメカニズムが最新で、有効に稼働しており、
で、有効に稼働しており、監査ログを生成し
監査ログを生成していることを確認するために、以下の項目を確認す
ている。
る。
対応
未対応
目標期日/コメント
5.2.a ポリシーを入手して調査し、アンチウィルスソフトウェアおよび定
義の更新が要求されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 29
5.2.b ソフトウェアのマスターインストールが自動更新と定期スキャンに
対して有効になっていることを確認する。
5.2.c 悪意のあるソフトウェアの影響を受けやすいすべてのオペレーテ
ィングシステムタイプを含む、システムコンポーネントのサンプルについ
て、自動更新と定期スキャンが有効になっていることを確認する。
5.2.d システムコンポーネントのサンプルについて、アンチウィルスソフト
ウェアログ生成が有効になっており、ログが PCI DSS 要件 10.7 に
従って保存されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 30
要件 6: 安全性の高いシステムとアプリケーションを開発し、保守すること
悪意のある人々は、セキュリティの脆弱性を利用して、システムへの特権アクセスを取得します。このような脆弱性の多くは、ベンダが提供するセキュリティパッチによって修正されます。シ
ステムを管理する事業体はこうしたパッチをインストールする必要があります。すべての重要なシステムは、最新リリースの適切なソフトウェアパッチを適用することにより、悪意のある人々
および不正なソフトウェアによるカード会員データの不正使用および侵害から保護される必要があります。
注: 適切なソフトウェアパッチとは、既存のセキュリティ構成と競合しないことが十分に評価およびテストされたパッチを指します。自社開発アプリケーションの場合、標準のシステム開発
プロセスと安全なコーディング技術を使用することで、多くの脆弱性を回避できます。
PCI DSS 要件
テスト手順
6.1 すべてのシステムコンポーネントとソフトウ
6.1.a システムコンポーネントおよび関連ソフトウェアのサンプルについ
ェアに、ベンダ提供の最新セキュリティパッチが
て、各システムにインストールされたセキュリティパッチのリストと、ベンダ
適用され、既知の脆弱性から保護されてい
の最新のセキュリティパッチのリストを比較して、最新のベンダパッチが
る。重要なセキュリティパッチは、リリース後 1
インストールされていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
対応
未対応
目標期日/コメント
2010 年 10 月
Page 31
PCI DSS 要件
カ月以内にインストールする。
テスト手順
対応
未対応
目標期日/コメント
6.1.b セキュリティパッチのインストールに関するポリシーを調査し、すべ
ての重要な新規セキュリティパッチを 1 カ月以内にインストールするこ
注: 組織は、パッチインストールの優先順位
とが要求されていることを確認する。
を付けるために、リスクに基づくアプローチの適
用を検討できる。たとえば、重要なインフラス
トラクチャ(一般に公開されているデバイス、シ
ステム、データベースなど)に重要性の低い内
部デバイスよりも高い優先順位を付けること
で、優先順位の高いシステムおよびデバイス
は 1 カ月以内に対処し、重要性の低いシス
テムおよびデバイスは 3 カ月以内に対処す
るようにする。
6.2 新たに発見された脆弱性を特定し、リス
6.2.a 責任者にインタビューして、新たなセキュリティ脆弱性を特定す
ク順位に割り当てるためのプロセスを確立す
るためのプロセスが実装されていること、およびそのような脆弱性にリス
る。
ク順位が割り当てられていることを確認する(非常に深刻な、高リスク
の脆弱性は、最低でも「高」に順位付けされる必要がある)。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 32
PCI DSS 要件
テスト手順
注:
6.2.b 新たなセキュリティ脆弱性を特定するためのプロセスに、外部の
・ リスク順位は、業界のベストプラクティスに
セキュリティ脆弱性情報を使用することが含まれていることを確認す
基づく必要がある。たとえば、「高」リスク脆弱
る。
対応
未対応
目標期日/コメント
性に順位付けする基準には、CVSS スコア
が 4.0 以上であること、ベンダが「Critical」と
区分したパッチを提供すること、もしくは影響
範囲に重要なシステムコンポーネントが含ま
れること(または、これらすべて)が含まれるか
もしれない。
・ 要件 6.2.a に定義される脆弱性の順位
付けは、2012 年 6 月 30 日まではベスト
プラクティスとみなされ、それ以降は要件にな
る。
6.3 PCI DSS に従い (安全な認証やロギン
6.3.a 文書化されたソフトウェア開発プロセスを入手して調査し、プロ
グなど)、業界のベストプラクティスに基づい
セスが業界標準もしくはベストプラクティス(またはその両方)に基づい
て、ソフトウェアアプリケーション(内部および外
ていることを確認する。
部、ならびにアプリケーションへの Web ベース
6.3.b 文書化されたソフトウェア開発プロセスを調査し、ライフサイクル
の管理アクセスを含む)を開発する。ソフトウェ
全体に情報セキュリティが取り込まれていることを確認する。
ア開発ライフサイクル全体を通して情報セキュ
リティを実現する。 これらのプロセスには、以
6.3.c 文書化されたソフトウェア開発プロセスを調査し、ソフトウェアア
プリケーションが PCI DSS に従って開発されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 33
PCI DSS 要件
下を含める必要がある。
テスト手順
対応
未対応
目標期日/コメント
6.3.d 文書化されたソフトウェア開発プロセスの調査、およびソフトウェ
ア開発者のインタビューから、以下を確認する。
6.3.1 アプリケーションがアクティブになる前、ま
6.3.1 システムが実稼動になる前、または顧客にリリースされる前に、
たは顧客にリリースされる前に、カスタムアプリ
カスタムアプリケーションアカウント、ユーザ ID、もしくはパスワード(また
ケーションアカウント、ユーザ ID、パスワードを
はそれらすべて)を削除する。
削除する
6.3.2 コーディングの脆弱性がないことを確認
6.3.2.a ポリシーを入手してレビューし、すべてのカスタムアプリケーショ
するために、本番または顧客へのリリースの前
ンコードの変更に対して、(手動または自動プロセスで)以下のように
に、カスタムコードをレビューする。
レビューが要求されていることを確認する。
・ コード変更は、コード作成者以外の、コードレビュー技法と安全な
注: このコードレビュー要件は、システム開発
コーディング手法の知識のある人がレビューする。
ライフサイクルの一環として、すべてのカスタム
・ コードレビューにより、コードが安全なコーディングガイドラインに従っ
コード(内部および公開)に適用される。コー
て開発されたことが保証される(PCI DSS 要件 6.5 を参照)。
ドレビューは、知識を持つ社内担当者または
・ リリース前に、適切な修正を実装する必要がある。
第三者が実施できる。一般に公開されてい
・ コードレビュー結果は、リリース前に管理職によってレビューおよび承
る Web アプリケーションは、実装後の脅威お
認される。
よび脆弱性に対処するために、PCI DSS 要
6.3.2.b 最新のカスタムアプリケーション変更のサンプルを選択し、カス
件 6.6 に定義されている追加コントロールの
タムアプリケーションコードが上述の 6.3.2a に従ってレビューされている
対象となる。
ことを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 34
PCI DSS 要件
テスト手順
6.4 システムコンポーネントへのすべての変更
6.4 変更管理プロセスの調査、システムネットワーク管理者へのインタ
において、変更管理プロセスと手順に従う。プ
ビュー、および関連データ(ネットワーク構成文書、本番環境データ、
ロセスには、以下を含める必要がある。
テストデータなど)の調査から、以下を確認する。
6.4.1 開発/テスト環境と本番環境の分離
6.4.1 開発/テスト環境が、本番環境から分離されていて、分離を実
対応
未対応
目標期日/コメント
施するためのアクセス制御が行われていること。
6.4.2 開発/テスト環境と本番環境での責務
6.4.2 開発/テスト環境に割り当てられている担当者と本番環境に
の分離
割り当てられている担当者との間で責務が分離されていること。
6.4.3 テストまたは開発に本番環境データ
6.4.3 テストまたは開発に本番環境データ(実際の PAN)を使用し
(実際の PAN)を使用しない
ないこと。
6.4.4 本番環境システムがアクティブになる前
6.4.4 本番環境システムがアクティブになる前にテストデータとテストア
にテストデータとテストアカウントを削除する
カウントが削除されること。
6.4.5 セキュリティパッチ適用とソフトウェア変
6.4.5.a セキュリティパッチ適用とソフトウェア変更に関する変更管理
更に関する管理手順を変更する。手順には
手順が文書化され、その手順に後述の要件 6.4.5.1 ~ 6.4.5.4 が
以下を含める必要がある。
要求されていることを確認する。
6.4.5.b システムコンポーネントと最新の変更/セキュリティパッチのサン
プルについて、変更内容に関連する変更管理文書を確認する。確
認した変更内容について、以下を実行する。
6.4.5.1 影響の文書化。
6.4.5.1 サンプルの各変更について、影響に関する記述が、変更管
理文書に記載されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 35
PCI DSS 要件
テスト手順
6.4.5.2 権限のある者による文書化された変
6.4.5.2 サンプルの各変更について、権限のある者により文書化され
更の承認。
た承認が行われていることを確認する。
6.4.5.3 変更がシステムのセキュリティに悪影
6.4.5.3.a サンプルの各変更について、変更がシステムのセキュリティに
響を与えていないことを確認するための機能
悪影響を与えていないことを確認するための機能テストが実施された
テスト。
ことを確認する。
対応
未対応
目標期日/コメント
6.4.5.3.b カスタムコード変更について、すべての更新が、本番環境に
導入される前に、PCI DSS 要件 6.5 のコンプライアンスの検査を実
施されていることを確認する。
6.4.5.4 回復手順。
6.4.5.4 サンプルの各変更について、回復手順が用意されていること
を確認する。
6.5 安全なコーディングガイドラインに基づい
6.5.a ソフトウェア開発プロセスを入手してレビューする。このプロセス
て、アプリケーションを開発する。ソフトウェア開
で、開発者に、業界のベストプラクティスとガイダンスに基づく、安全な
発プロセスにおける一般的なコーディング脆弱
コーディング技法に関するトレーニングが要求されていることを確認す
性(以下を含む)を防止する。
る。
6.5.b サンプル抽出した開発者にインタビューして、安全なコーディング
注: 要件 6.5.1 ~ 6.5.9 で挙げられる脆弱
技法に関する知識を持っているという確証を得る。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 36
PCI DSS 要件
テスト手順
性は、本バージョンの PCI DSS が公開され
6.5.c アプリケーションに尐なくとも以下の脆弱性が存在しないことを
た時点の、業界のベストプラクティスである。た
保証するプロセスが実施されていることを確認する。
対応
未対応
目標期日/コメント
だし、脆弱性管理に関する業界のベストプラ
クティス(OWASP ガイド、SANS CWE Top
25、CERT Secure Coding など)が更新され
た場合、これらの要件には最新のベストプラク
ティスを使用する必要がある。
6.5.1 インジェクション(特に SQL インジェクシ
6.5.1 インジェクション(特に SQL インジェクション)の弱点(入力を検
ョン)の弱点。OS コマンドインジェクション、
証して、ユーザデータがコマンドとクエリの意味を変更できないことを確
LDAP と XPath のインジェクション、その他のイ
認する、パラメータ化したクエリを使用する、など)。
ンジェクションの弱点も考慮する。
6.5.2 バッファオーバーフロー
6.5.2 バッファオーバーフロー(バッファ境界を検証し、入力文字列を切
り詰める)。
6.5.3 安全でない暗号化保存
6.5.3 安全でない暗号化保存(暗号化の弱点を防ぐ)。
6.5.4 安全でない通信
6.5.4 安全でない通信(すべての認証された通信およびセンシティブ
通信を適切に暗号化する)。
6.5.5 不適切なエラー処理
6.5.5 不適切なエラー処理(エラーメッセージで情報を漏洩しない)。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 37
PCI DSS 要件
6.5.6 脆弱性特定プロセス(PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
6.5.6 PCI DSS 要件 6.2 で特定された、すべての「高」脆弱性。
6.2 で定義)で特定された、すべての「高」脆
弱性。
注: この要件は、2012 年 6 月 30 日まで
はベストプラクティスとみなされ、それ以降は要
件になる。
注: 以下の要件 6.5.7 ~ 6.5.9 は、Web ア
プリケーションとアプリケーションインターフェイス
(内部または外部問わない)に適用する。
6.5.7 クロスサイトスクリプティング(XSS)
6.5.7 クロスサイトスクリプティング(XSS)(取り込む前にすべてのパラメ
ータを検証する、コンテキスト依存エスケープを使用する、など)。
6.5.8 不適切なアクセス制御(安全でないオ
6.5.8 安全でないオブジェクトの直接参照、URL アクセス制限の失
ブジェクトの直接参照、URL アクセス制限の
敗、ディレクトリトラバーサルなどの不適切なアクセス制御(適切にユ
失敗、ディレクトリトラバーサルなど)。
ーザを認証し、入力値をサニタイズする。 内部オブジェクト参照をユ
ーザに公開しない)。
6.5.9 クロスサイトリクエストフォージェリ
6.5.9 クロスサイトリクエストフォージェリ(CSRF)(ブラウザから自動的
(CSRF)
に送信される承認資格情報とトークンを使用しない)。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 38
PCI DSS 要件
テスト手順
6.6 一般公開されている Web アプリケーショ
6.6 一般公開されている Web アプリケーションについて、以下のいず
ンは、常時、新しい脅威と脆弱性に対処し、
れかの手法がとられていることを確認する。
以下のいずれかの手法によって既知の攻撃
・ 一般公開されている Web アプリケーションが、セキュリティ脆弱性
から保護する必要がある。
を手動/自動で評価する以下のツールまたは手法を使用してレビュー
・ 一般公開されている Web アプリケーション
されていることを確認する。
は、アプリケーションのセキュリティ脆弱性を手
- 尐なくとも年 1 回- 何らかの変更を加えた後
動/自動で評価するツールまたは手法によっ
- 何らかの変更を加えた後
て、尐なくとも年 1 回および何らかの変更を
- アプリケーションのセキュリティを専門とする組織によって
加えた後にレビューする
- 脆弱性がすべて修正されていること
・ 一般公開されている Web アプリケーション
- 修正後、アプリケーションが再評価されていること
の手前に、Web アプリケーションファイアウォー
・ Web ベースの攻撃を検知および回避するために、一般公開されて
ルをインストールする
いる Web アプリケーションの手前に、Web アプリケーションファイアウォ
対応
未対応
目標期日/コメント
ールがインストールされていることを確認する。
注: レビュー担当者がアプリケーションのセキュリティに精通していて、
開発チームからの独立性を実証できる人物であれば、「アプリケーショ
ンのセキュリティを専門とする組織」は、第三者の企業でも内部組織
でもかまわない。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 39
強固なアクセス制御手法の導入
要件 7: カード会員データへのアクセスを、業務上必要な範囲内に制限すること
権限を与えられた担当者のみが重要なデータにアクセスできるように、システムおよびプロセスでは、職責に応じて必要な範囲にアクセスを制限する必要があります。
「必要な範囲」とは、アクセス権が職務の実行に必要な最小限のデータ量および特権にのみ付与されることを示します。
PCI DSS 要件
テスト手順
7.1 システムコンポーネントとカード会員データ
7.1 データ管理に関する文書化されたポリシーを入手して検討し、ポ
へのアクセスを、業務上必要な人に限定す
リシーに以下が含まれていることを確認する。
対応
未対応
目標期日/コメント
る。アクセス制限には以下を含める必要があ
る。
7.1.1 特権ユーザ ID に関するアクセス権
7.1.1 特権ユーザ ID に関するアクセス権が、職務の実行に必要な
が、職務の実行に必要な最小限の特権に
最小限の特権に制限されていることを確認する。
制限されていること
7.1.2 特権の付与は、個人の職種と職能に
7.1.2 特権の付与が、個人の職種と職能に基づいていることを確認
基づくこと
する(「役割ベースのアクセス制御」(RBAC)とも呼ばれる)。
7.1.3 必要な特権を指定する文書化された
7.1.3 すべてのアクセスについて、文書化された承認が権限のある者
承認が権限のある者により行われることが要
により(書面または電子的な方法で)行われることが要求されること、
求されること。
および文書化された承認に必要な特権が指定されていることを確認
する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 40
PCI DSS 要件
7.1.4 自動アクセス制御システムを実装する
テスト手順
対応
未対応
目標期日/コメント
7.1.4 自動アクセス制御システムによるアクセス制御が実装されてい
ることを確認する。
7.2 複数のユーザを持つシステムコンポーネン
7.2 システム設定とベンダ文書を調査して、アクセス制御システムが
トに対して、ユーザの必要な範囲に基づいて
次のように実装されていることを確認する。
アクセスを制限し、特に許可されていない限り
「すべてを拒否」に設定した、アクセス制御シ
ステムを確立する。
アクセス制御システムには以下を含める必要
がある。
7.2.1 すべてのシステムコンポーネントを対象
7.2.1 アクセス制御システムがすべてのシステムコンポーネントに実装
に含む
されていることを確認する。
7.2.2 職種と職能に基づく、個人への特権の
7.2.2 職種と職能に基づいて個人に特権を付与するように、アクセス
付与
制御システムが構成されていることを確認する。
7.2.3 デフォルトでは「すべてを拒否」の設定
7.2.3 アクセス制御システムに「すべてを拒否」がデフォルト設定されて
いることを確認する。
注: 一部のアクセス制御システムはデフォルト
で「すべてを許可」が設定されており、個別に
拒否するためのルールを記述しない限り、また
は記述するまでは、アクセスが許可される。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 41
要件 8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
アクセスが可能な各ユーザに一意の ID を割り当てて、各ユーザが自身の行動に独自に説明責任を負うようにします。このような説明責任が実施されている場合、重要なデータおよ
びシステムに対するアクションは既知の承認されたユーザによって実行され、そのユーザを追跡することが可能です。
注: これらの要件は、管理機能を持つすべてのアカウント(POS アカウントを含む)、およびカード会員データの閲覧もしくはそれへのアクセス、またはカード会員データを保存するシステ
ムへのアクセスに使用されるすべてのアカウントに適用可能です。しかし、要件 8.1、8.2、および 8.5.8~8.5.15 は、単一のトランザクションを進めるときに一度に 1 つのカード番号にしか
アクセスできない、POS 支払いアプリケーション内のユーザアカウント(レジ係のアカウントなど)に適用されることを意図していない。
PCI DSS 要件
テスト手順
8.1 システムコンポーネントまたはカード会員
8.1 すべてのユーザに、システムコンポーネントまたはカード会員データ
データへのアクセスを許可する前に、すべての
にアクセスするための一意の ID が割り当てられていることを確認す
ユーザに一意の ID を割り当てる。
る。
8.2 一意の ID の割り当てに加え、以下の
8.2 カード会員データ環境にアクセスする際にユーザが一意の ID お
方法の尐なくとも 1 つを使用してすべてのユ
よび追加認証(パスワードなど)を使用して認証されることを確認する
ーザを認証する。
ために、以下を実行する。
・ 記憶(知識)による認証(パスワードまたは
・ 使用される認証方法について記述した文書を入手して調査する。
パスフレーズなど)
・ 使用される認証方法の各種類およびシステムコンポーネントの各
・ 所有物による認証(トークンデバイスまたは
種類について、認証を調査し、文書に記述された認証方法に従って
スマートカードなど)
認証が機能していることを確認する。
対応
未対応
目標期日/コメント
・ 本人の特長による認証(生体認証など)
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 42
PCI DSS 要件
テスト手順
8.3 従業員、管理者、および第三者による
8.3 すべてのリモートネットワークアクセスに 2 要素認証が実装され
ネットワークへのリモートアクセス(ネットワーク
ていることを確認するために、ネットワークにリモート接続する従業員
外部からのネットワークレベルアクセス)には 2
(管理者など)を観察し、3 つの認証方法のうち 2 つの方法が使用さ
要素認証を組み込む(たとえば、RADIUS と
れていることを確認する。
対応
未対応
目標期日/コメント
トークン、TACACS とトークン、などの 2 要
素認証を備える技術)。
注: 2 要素認証では、3 つの認証方法のうち
2 つの方法を認証に使用していることが必要
である(認証方法の説明は、要件 8.2 を参
照)。1 つの要素を 2 回使用すること(個別
のパスワードを 2 回使用することなど)は、2
要素認証とはみなされません。
8.4 強力な暗号化を使用して、すべてのシス
8.4.a システムコンポーネントのサンプルに対して、パスワードファイルを
テムコンポーネントでの伝送および保存中の
調査して、パスワードが伝送および保存中に読み取り不能であること
すべてのパスワードを読み取り不能にする。
を確認する。
8.4.b サービスプロバイダの場合のみ、パスワードファイルを調査して、
顧客パスワードが暗号化されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 43
PCI DSS 要件
テスト手順
8.5 すべてのシステムコンポーネントで、顧客
8.5 手順の確認と担当者へのインタビューを行い、以下を実施するこ
以外のユーザおよび管理者に対して以下の
とによってユーザ認証と認証管理のための手順が実施されていること
ように適切なユーザ認証と認証管理を確実
を確認する。
対応
未対応
目標期日/コメント
に行う。
8.5.1 ユーザ ID、資格情報、およびその他の
8.5.1. 管理者と一般ユーザの両方を含めたユーザ ID のサンプルを
識別子オブジェクトの追加、削除、変更を管
選択する。以下を実行して、ポリシーに従って各ユーザにシステムの
理する。
使用が承認されていることを確認する。
・ 各 ID の承認フォームを入手して調査する。
・ 承認フォームからシステムへと情報を追跡して、サンプルユーザ ID
が承認フォームに従って実装されていること(指定されたとおりの権限
を持っているか、すべての署名が取得されているかなど)を確認する。
8.5.2 パスワードのリセットを実行する前にユ
8.5.2 パスワード/認証手順を調査し、セキュリティ担当者を観察し
ーザ ID を確認する。
て、ユーザがパスワードのリセットを電話、電子メール、Web、またはそ
の他の対面以外の方法で要求した場合、パスワードがリセットされる
前にユーザ ID が確認されていることを確認する。
8.5.3 初期パスワードおよびリセットパスワード
8.5.3 パスワード手順を調査し、セキュリティ担当者を観察して、新規
を、ユーザごとに一意の値に設定し、初回使
ユーザの初期パスワードおよび既存ユーザのリセットパスワードがユー
用後に直ちに変更する。
ザごとに一意の値に設定され、初回使用後に変更されていることを
確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 44
PCI DSS 要件
テスト手順
8.5.4 契約終了したユーザのアクセスは直ち
8.5.4 過去 6 カ月間に契約が終了したユーザのサンプルを選択し、
に取り消す。
現在のユーザアクセスリストを調査して、これらのユーザの ID が無効
対応
未対応
目標期日/コメント
化または削除されていることを確認する。
8.5.5 尐なくとも 90 日ごとに非アクティブのユ
8.5.5 90 日以上非アクティブなアカウントが削除または無効化される
ーザアカウントを削除/無効化する。
ことを確認する。
8.5.6 ベンダがリモートアクセスのために使用す
8.5.6.a システムコンポーネントにアクセスし、サポートおよび保守する
るアカウントは、必要な期間のみ有効にす
ためにベンダが使用するアカウントが無効になっていて、ベンダが必要
る。ベンダのリモートアクセスアカウントが使用
とする場合のみ有効になることを確認する。
されている間、そのアカウントを監視する。
8.5.6.b ベンダのリモートアクセスアカウントが、使用中は監視されてい
ることを確認する。
8.5.7 認証手順およびポリシーを、カード会員
8.5.7 ユーザ ID のサンプルに含まれるユーザにインタビューして、認
データにアクセスできるすべてのユーザに伝達
証手順およびポリシーを理解していることを確認する。
する。
8.5.8 グループ、共有、または汎用のアカウン
8.5.8.a システムコンポーネントのサンプルについて、ユーザ ID リストを
トとパスワードなどの認証方法を使用しない。
調査して以下の項目を確認する。
・ 汎用ユーザ ID およびアカウントが無効化または削除されている。
・ システム管理作業などの重要な機能のための共有ユーザ ID が
存在しない。
・ システムコンポーネントの管理に共有および汎用ユーザ ID が使
用されていない。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 45
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
8.5.8.b 認証ポリシー/手順を調査して、グループパスワード、共有パ
スワードなどの認証方法が明示的に禁止されていることを確認する。
8.5.8.c 管理者にインタビューして、グループパスワード、共有パスワー
ドなどの認証方法が要求されたとしても配布されていないことを確認
する。
8.5.9 尐なくとも 90 日ごとにユーザパスワー
8.5.9.a システムコンポーネントのサンプルについて、システム構成設定
ドを変更する。
を入手して調査し、ユーザパスワードのパラメータが尐なくとも 90 日
ごとにパスワードの変更をユーザに要求するように設定されていること
を確認する。
8.5.9.b サービスプロバイダの場合のみ、内部プロセスおよび顧客/ユ
ーザ文書を確認して、顧客以外のユーザパスワードの定期的な変更
が要求されていること、およびパスワードを変更する必要がある時期
や状況についてのガイダンスが顧客以外のユーザに提供されているこ
とを確認する。
8.5.10 パスワードに 7 文字以上が含まれる
8.5.10.a システムコンポーネントのサンプルについて、システム構成設
ことを要求する。
定を入手して調査し、パスワードのパラメータが 7 文字以上のパスワ
ードを要求するように設定されていることを確認する。
8.5.10.b サービスプロバイダの場合のみ、内部プロセスおよび顧客/ユ
ーザ文書を確認して、顧客以外のユーザパスワードが最小長に関す
る要件を満たすことが要求されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 46
PCI DSS 要件
テスト手順
8.5.11 数字と英文字の両方を含むパスワー
8.5.11.a システムコンポーネントのサンプルについて、システム構成設
ドを使用する。
定を入手して調査し、パスワードのパラメータが数字とアルファベットを
対応
未対応
目標期日/コメント
含むパスワードを要求するように設定されていることを確認する。
8.5.11.b サービスプロバイダの場合のみ、内部プロセスおよび顧客/ユ
ーザ文書を確認して、顧客以外のユーザパスワードが数字とアルファ
ベットを含むように要求されていることを確認する。
8.5.12 ユーザが新しいパスワードを送信する
8.5.12.a システムコンポーネントのサンプルについて、システム構成設
際、最後に使用した 4 つのパスワードと同じ
定を入手して調査し、新しいパスワードを 4 つ前までのパスワードと同
ものを使用できないようにする。
じものにできないようにパスワードのパラメータが設定されていることを
確認する。
8.5.12.b サービスプロバイダの場合のみ、内部プロセスおよび顧客/ユ
ーザ文書を確認して、新しい顧客以外のユーザパスワードを 4 つ前
までのパスワードと同じものにできないことを確認する。
8.5.13 繰り返しアクセスを試行する回数を、
8.5.13.a システムコンポーネントのサンプルについて、システム構成設
最大で 6 回試行した後にユーザ ID をロッ
定を入手して調査し、最大 6 回の無効なログオン試行の後でユー
クアウトすることにより制限する。
ザのアカウントがロックアウトされるように認証パラメータが設定されてい
ることを確認する。
8.5.13.b サービスプロバイダの場合のみ、内部プロセスおよび顧客/ユ
ーザ文書を確認して、最大 6 回の無効なアクセス試行の後、顧客
以外のユーザアカウントが一時的にロックアウトされることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 47
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
8.5.14 ロックアウトの期間を、最小 30 分また 8.5.14 システムコンポーネントのサンプルに対して、システム構成設定
は管理者がユーザ ID を有効にするまで、に
を入手して調査し、パスワードのパラメータが、ユーザがロックアウトされ
設定する。
た場合、最小 30 分間またはシステム管理者がアカウントをリセット
するまでロックされたままになるように設定されていることを確認する。
8.5.15 セッションが 15 分を超えてアイドル
8.5.15 システムコンポーネントのサンプルに対して、システム構成設定
状態の場合、端末またはセッションを再有効
を入手して調査し、システム/セッションのアイドルタイムアウト機能が
化するために再認証を要求する。
15 分以下に設定されていることを確認する。
8.5.16 カード会員データを格納するデータベ
8.5.16.a データベースおよびアプリケーションの構成設定を確認し、ア
ースへのすべてのアクセスを認証する。これに
クセス前にすべてのユーザが認証されることを確認する。
は、アプリケーション、管理者、およびその他の
すべてのユーザによるアクセスが含まれる。
データベースへのユーザによる直接アクセスま
たはクエリを、データベース管理者に制限す
る。
8.5.16.b データベースおよびアプリケーションの構成設定で、データベ
ースへのユーザアクセス、データベースのユーザクエリ、データベースに対
するユーザアクション(移動、コピー、削除など)は、すべてプログラムに
よる方法(ストアドプロシージャなど)によってのみ行われることが確保
されていることを確認する。
8.5.16.c データベースおよびアプリケーションの構成設定で、データベ
ースへのユーザによる直接アクセスまたはクエリが、データベース管理
者に制限されていることを確認する。
8.5.16.d データベースアプリケーションおよび関連アプリケーション ID
をレビューし、アプリケーション ID を使用できるのがアプリケーションだ
けであること(および個々のユーザまたはその他のプロセスは使用でき
ないこと)を確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 48
要件 9: カード会員データへの物理アクセスを制限する
データまたはカード会員データを格納するシステムへの物理アクセスが不十分な場合、ユーザがデバイスまたはデータにアクセスしてシステムまたはハードコピーを削除できるため、適切に
制限する必要があります。要件 9 において、「オンサイト従業員」は、フルタイムおよびパートタイム従業員、期間従業員、ならびに事業体の施設内に物理的に存在する請負業者お
よびコンサルタントを指します。「訪問者」は、ベンダ、オンサイト従業員の客、公益事業従事者など、短期間(通常 1 日以内)の入館が必要な人を指します。「メディア」は、カード会
員データを含むすべての紙および電子媒体を指します。
PCI DSS 要件
テスト手順
9.1 適切な施設入館管理を使用して、カー
9.1 カード会員データ環境内のコンピュータルーム、データセンター、お
ド会員データ環境内のシステムへの物理アク
よびシステムを含むその他の物理エリアのそれぞれに、物理的なセキュ
セスを制限および監視する。
リティ管理が存在することを確認する。
対応
未対応
目標期日/コメント
・ バッジ読み取り機または承認済みバッジ、ロック、鍵などのその他の
デバイスによってアクセスが管理されていることを確認する。
・ システム管理者がカード会員環境内のランダムに選択したシステム
のコンソールにログインするのを観察して、コンソールが不正使用を防
止するように "ロック" されていることを確認する。
9.1.1 ビデオカメラもしくはアクセス制御メカニ
9.1.1.a ビデオカメラもしくはアクセス制御メカニズム(またはその両方)
ズム(またはその両方)を使用して、機密エリ
が機密エリアへの出入りを監視していることを確認する。
アへの個々の物理アクセスを監視する。収集
9.1.1.b ビデオカメラもしくはアクセス制御メカニズム(またはその両方)
されたデータを確認し、その他のエントリと相
が改ざんまたは無効化から保護されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 49
PCI DSS 要件
テスト手順
関付ける。法律によって別途定められていな
9.1.1.c ビデオカメラもしくはアクセス制御メカニズム(またはその両方)
い限り、尐なくとも 3 カ月間保管する。
が監視されていて、カメラまたはその他のメカニズムからのデータが尐な
対応
未対応
目標期日/コメント
くとも 3 カ月間保管されていることを確認する。
注: "機密エリア" とは、データセンタ、サーバ
ルーム、またはカード会員データを保存、処
理、または伝送するシステムが設置されてい
るエリアのことです。これには、小売店のレジな
ど、POS 端末のみが存在するエリアは含ま
れません。
9.1.2 誰でもアクセス可能なネットワークジャッ
9.1.2 ネットワーク管理者へのインタビューおよび観察により、ネットワ
クへの物理アクセスを制限する。たとえば、訪
ークジャックが承認されたオンサイト従業員が必要とする場合のみ有
問者がアクセス可能なエリアでは、ネットワーク
効化されることを確認する。または、アクティブなネットワークジャックが
へのアクセスが明示的に承認されている場合
あるエリアでは訪問者に常に同行者がいることを確認する。
を除いて、ネットワークポートを有効にされない
ようにする必要がある。
9.1.3 無線アクセスポイント、ゲートウェイ、ハ
9.1.3 無線アクセスポイント、ゲートウェイ、およびハンドヘルドデバイ
ンドヘルドデバイス、ネットワーキング/通信ハ
ス、ネットワーク/通信ハードウェア、および通信回線への物理アクセス
ードウェア、および通信回線への物理アクセス
が適切に制限されていることを確認する。
を制限する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 50
PCI DSS 要件
テスト手順
9.2 カード会員データにアクセス可能なエリア
9.2.a オンサイト従業員および訪問者にバッジを割り当てるためのプロ
では特に、オンサイト従業員と訪問者を容易
セスと手順を確認して、これらのプロセスに以下の項目が含まれてい
に区別できるような手順を作成する。
ることを確認する。
対応
未対応
目標期日/コメント
・ 新しいバッジを付与すること
・ アクセス要件を変更すること、および
・ 契約が終了したオンサイト従業員と期限切れの訪問者のバッジを
取り消すこと
9.2.b バッジシステムへのアクセスが適切な従業員に限られていること
を確認する。
9.2.c 使用中のバッジを調査して、訪問者が明らかに特定されている
こと、およびオンサイト従業員と訪問者を容易に区別できることを確
認する。
9.3. 次のような従業員/訪問者管理が存在
9.3. 以下のように訪問者管理が実施されていることを確認する。
することを確認する。
9.3.1 カード会員データが処理または保守さ
9.3.1 訪問者 ID バッジの使用を観察して、訪問者 ID バッジで
れているエリアに入る前に承認が行われる
は、カード会員データを格納する物理エリアに同行者なしでアクセスで
きないことを確認する。
9.3.2 訪問者を非オンサイト従業員として識
9.3.2.a 施設内の人々を観察して、訪問者 ID バッジが使用されて
別する有効期限がある物理トークン(バッジ、
いること、および訪問者が容易にオンサイト従業員と区別できることを
アクセスデバイスなど)が付与される。
確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 51
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
9.3.2.b 訪問者バッジが有効であることを確認する。
9.3.3 施設を出る前、または期限切れの日に
9.3.3 施設から出る訪問者を観察して、訪問者が退去時または期
物理トークンの返却を求められる
限切れのときに ID バッジの返却を求められていることを確認する。
9.4 訪問者ログを使用して、訪問者の行動
9.4.a カード会員データが保存または伝送されるコンピュータルームや
の物理的な監査証跡を保持する。訪問者の
データセンターだけでなく、施設への物理アクセスの記録にも訪問者ロ
名前、所属会社、物理アクセスを承認したオ
グが使用されていることを確認する。
ンサイト従業員をログに記録する。法律によっ
9.4.b ログに訪問者の名前、所属会社、物理アクセスを承認したオン
て別途定められていない限り、このログを尐な
サイト従業員が含まれていて、尐なくとも 3 カ月間保管されているこ
くとも 3 カ月間保管する。
とを確認する。
9.5 メディアバックアップを安全な場所に保管
9.5.a 保管場所の物理セキュリティを観察して、バックアップメディアの
する(代替またはバックアップサイト、商用スト
保管が安全であることを確認する。
レージ施設などのオフサイト施設が望まし
い)。保管場所のセキュリティを尐なくとも年に
9.5.b 保管場所のセキュリティが尐なくとも一年ごとレビューされている
ことを確認する。
一度確認する。
9.6 すべてのメディアを物理的に保護する。
9.6 カード会員データを保護するための手順に、すべてのメディア(コン
ピュータ、リムーバブル電子メディア、紙の受領書、紙のレポート、FAX
などを含む)を物理的に保護するための管理が含まれていることを確
認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 52
PCI DSS 要件
テスト手順
9.7 あらゆる種類のメディアを内部または外
9.7 メディアの配布を管理するためのポリシーが存在し、そのポリシー
部で配布することに関して、以下の要件を含
が、個人に配布されるメディアを含むすべての配布メディアに対応して
む厳格な管理を維持する。
いることを確認する。
9.7.1 データの機密性を定義するために、メデ
9.7.1 データの機密性を定義するために、すべてのメディアが分類され
ィアを分類する。
ていることを確認する。
9.7.2 安全な配達業者または正確に追跡で
9.7.2 施設の外部に送付されるすべてのメディアが管理者によってロ
きるその他の配送方法によってメディアを送付
グに記録されて承認され、安全な配達業者または追跡可能なその
する。
他の配送方法によって送付されることを確認する。
9.8 安全なエリアからメディアを移動する場合
9.8 すべてのメディアの数日分のオフサイト追跡ログの最新サンプル
(特にメディアが個人に配布される場合)、移
で、追跡の詳細および適切な管理者承認がログに含まれていること
動されるすべてのメディアを管理者が承認す
を確認する。
対応
未対応
目標期日/コメント
るようにする。
9.9 メディアの保管およびアクセスに関して厳
9.9 すべてのメディアの保管と維持を管理するためのポリシーを入手し
格な管理を維持する。
て調査し、ポリシーで定期的なメディアの在庫調査が要求されている
ことを確認する。
9.9.1 すべてのメディアの在庫ログを適切に保
9.9.1 メディアの在庫ログを入手して確認し、尐なくとも年に一度、定
持し、尐なくとも年に一度メディアの在庫調
期的なメディアの在庫調査が実施されていることを確認する。
査を実施する。
9.10 次のように、ビジネスまたは法律上の理
9.10 定期的なメディア破棄に関するポリシーを入手して調査し、すべ
由で不要になったメディアを破棄する。
てのメディアに対応していることを確認し、以下を確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 53
PCI DSS 要件
テスト手順
9.10.1 カード会員データを再現できないよう、
9.10.1.a ハードコピー資料が、再現できないことを合理的に保証する
ハードコピー資料を裁断、焼却、またはパルプ
ように、クロスカット裁断、焼却、またはパルプ化されていることを確認
化する。
する。
対応
未対応
目標期日/コメント
9.10.1.b 破棄される情報に使用される保管コンテナを調査して、コン
テナが安全であることを確認する。たとえば、"裁断予定" のコンテナ
に、中身にアクセスするのを防止する鍵が付けられていることを確認す
る。
9.10.2 カード会員データを再現できないよう
9.10.2 電子媒体上のカード会員データが、安全な削除に関して業
に、電子媒体上のカード会員データを回復
界が承認した標準に従った安全なワイププログラムによって、またはそ
不能にする。
れ以外の場合は媒体の物理的な破壊(消磁など)によって、回復不
能になっていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 54
ネットワークの定期的な監視およびテスト
要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
ログ記録メカニズムおよびユーザの行動を追跡する機能は、データへの侵害を防ぐ、検出する、またはその影響を最小限に抑えるうえで不可欠です。すべての環境にログが存在するこ
とにより、何か不具合が発生した場合に徹底的な追跡、警告、および分析が可能になります。システムアクティビティログがない場合に侵害の原因を特定することは、不可能ではあり
ませんが、非常に困難です。
PCI DSS 要件
テスト手順
10.1 システムコンポーネントへのすべてのアク
10.1 システム管理者の観察とインタビューを通じて、システムコンポー
セス(特に、ルートなどの管理権限を使用し
ネントに対する監査証跡が有効になっていてアクティブであることを確
て行われたアクセス)を各ユーザにリンクするプ
認する。
対応
未対応
目標期日/コメント
ロセスを確立する。
10.2 以下のイベントを再現するためにすべて
10.2 インタビュー、監査ログの調査、および監査ログ設定の調査を通
のシステムコンポーネントの自動監査証跡を
じて、以下を実行する。
実装する。
10.2.1 カード会員データへのすべての個人ア
10.2.1 カード会員データへのすべての個人アクセスがログ記録される
クセス
ことを確認する。
10.2.2 ルート権限または管理権限を持つ個
10.2.2 ルート権限または管理権限を持つ個人によって行われたアク
人によって行われたすべてのアクション
ションがログ記録されることを確認する。
10.2.3 すべての監査証跡へのアクセス
10.2.3 すべての監査証跡へのアクセスがログ記録されることを確認す
る。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 55
PCI DSS 要件
テスト手順
10.2.4 無効な論理アクセス試行
10.2.4 無効な論理アクセス試行がログ記録されることを確認する。
10.2 5 識別および認証メカニズムの使用
10.2 5 識別および認証メカニズムの使用がログ記録されることを確
対応
未対応
目標期日/コメント
認する。
10.2.6 監査ログの初期化
10.2.6 監査ログの初期化がログ記録されることを確認する。
10.2.7 システムレベルオブジェクトの作成およ
10.2.7 システムレベルオブジェクトの作成および削除がログ記録され
び削除
ることを確認する
10.3 イベントごとに、すべてのシステムコンポ
10.3 インタビューと観察を通じて、監査可能なイベント(10.2 に記載)
ーネントについて尐なくとも以下の監査証跡
ごとに、以下を実行する。
エントリを記録する。
10.3.1 ユーザ識別
10.3.1 ユーザ識別がログエントリに含まれることを確認する。
10.3.2 イベントの種類
10.3.2 イベントの種類がログエントリに含まれることを確認する。
10.3.3 日付と時刻
10.3.3 日付および時刻スタンプがログエントリに含まれることを確認す
る。
10.3.4 成功または失敗を示す情報
10.3.4 成功または失敗を示す情報がログエントリに含まれることを確
認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 56
PCI DSS 要件
テスト手順
10.3.5 イベントの発生元
10.3.5 イベントの発生元がログエントリに含まれることを確認する。
10.3.6 影響を受けるデータ、システムコンポー
10.3.6 影響を受けるデータ、システムコンポーネント、またはリソースの
ネント、またはリソースの ID または名前
ID または名前がログエントリに含まれることを確認する。
10.4 時刻同期技術を使用してすべての重
10.4.a PCI DSS 要件 6.1 および 6.2 に従って、時刻同期技術が
要なシステムクロックおよび時間を同期し、時
実装され、最新に保たれていることを確認する。
間を取得、配布、および保存するために以下
10.4.b 組織内で正しい時刻を取得、配布、および保存するプロセス
の要件が実施されていることを確認する。
を入手してレビューし、システムコンポーネントのサンプルについて、時
注: 時刻同期技術の 1 つの例としては、
刻関連のシステムパラメータ設定を確認する。以下がプロセスに含ま
Network Time Protocol(NTP)が挙げられ
れ、実装されていることを確認する。
対応
未対応
目標期日/コメント
る。
10.4.1 重要なシステムが正確で一致した時
10.4.1.a 指定された複数の中央のタイムサーバが外部から時刻信号
刻を保持する。
を受信し、外部からの時刻信号が国際原子時または UTC に基づ
いていることを確認する。
10.4.1.b 指定された中央のタイムサーバピアが互いに正確な時刻を
保ち、その他の内部サーバが中央のタイムサーバからのみ時刻を受信
することを確認する。
10.4.2 時刻データが保護されている。
10.4.2.a システム構成および時刻同期設定をレビューし、時刻データ
へのアクセスが、業務上必要な従業員に限られていることを確認す
る。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 57
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
10.4.2.b システム構成および時刻同期設定をレビューし、重要なシ
ステム上の時刻設定を変更する場合は、ログが記録され、監視さ
れ、レビューされていることを確認する。
10.4.3 時刻設定は業界で認知されている時
10.4.3 タイムサーバが(悪意のある個人が時計を変更するのを防ぐた
刻のソースから受信されている。
めに)業界で認知されている特定の外部ソースから時刻更新を受け
付けることを確認する。(内部タイムサーバの不正使用を防ぐために)
これらの更新を対称キーで暗号化し、時刻更新が提供されるクライ
アントマシンの IP アドレスを指定するアクセス制御リストを作成する
こともできる。
10.5 変更できないよう、監査証跡をセキュリ
10.5 システム管理者にインタビューし、アクセス権限を調査して、次
ティで保護する。
のように、監査証跡が変更できないようにセキュリティで保護されてい
ることを確認する。
10.5.1 監査証跡の表示を、仕事関連のニー
10.5.1 仕事関連のニーズを持つ個人のみが監査証跡ファイルを表
ズを持つ人物のみに制限する。
示できることを確認する。
10.5.2 監査証跡ファイルを不正な変更から
10.5.2 アクセス制御メカニズム、物理的な分離、ネットワークの分離
保護する。
などによって、現在の監査証跡ファイルが不正な変更から保護されて
いることを確認する。
10.5.3 監査証跡ファイルを、変更が困難な
10.5.3 現在の監査証跡ファイルが変更が困難な一元管理ログサー
一元管理ログサーバまたは媒体に即座にバッ
バまたは媒体に即座にバックアップされることを確認する。
クアップする。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 58
PCI DSS 要件
テスト手順
10.5.4 外部に公開されているテクノロジのロ
10.5.4 外部に公開されているテクノロジ(無線、ファイアウォール、
グを内部 LAN 上のログサーバに書き込む。
DNS、メールなど)のログが安全な一元管理される内部ログサーバま
対応
未対応
目標期日/コメント
たは媒体にオフロードまたはコピーされることを確認する。
10.5.5 ログに対してファイル整合性監視また
10.5.5 システム設定、監視対象ファイル、および監視作業からの結
は変更検出ソフトウェアを使用して、既存の
果を調査して、ログに対してファイル整合性監視または変更検出ソフ
ログデータを変更すると警告が生成されるよう
トウェアが使用されていることを確認する。
にする(ただし、新しいデータの追加は警告を
発生させない)。
10.6 尐なくとも日に一度、すべてのシステムコ
10.6.a セキュリティに関するポリシーと手順を入手して調査し、セキュ
ンポーネントのログを確認する。ログの確認に
リティログを尐なくとも日に一度確認する手順が含まれていること、お
は、侵入検知システム(IDS)や認証、認可、
よび例外への対応が要求されていることを確認する。
アカウンティングプロトコル(AAA)サーバ
10.6.b 観察とインタビューを通じて、すべてのシステムコンポーネントに
(RADIUS など)のようなセキュリティ機能を実
対して定期的なログの確認が実行されていることを確認する。
行するサーバを含める必要がある。
注: 要件 10.6 に準拠するために、ログの収
集、解析、および警告ツールを使用すること
ができます。
10.7 監査証跡の履歴を尐なくとも 1 年間
10.7.a セキュリティに関するポリシーと手順を入手して調査し、監査ロ
保持する。尐なくとも 3 カ月はすぐに分析で
グの保存期間に関するポリシーが含まれていること、および監査ログの
きる状態にしておく(オンライン、アーカイブ、バ
保存期間として尐なくとも 1 年を要求していることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 59
PCI DSS 要件
ックアップから復元可能など)。
テスト手順
対応
未対応
目標期日/コメント
10.7.b 監査ログを尐なくとも 1 年間利用できること、および分析の
ために尐なくとも過去 3 カ月間のログを直ちに復元するプロセスが整
えられていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 60
要件 11: セキュリティシステムおよびプロセスを定期的にテストする
脆弱性は、悪意のある個人や研究者によって絶えず検出されており、新しいソフトウェアによって広められています。システムコンポーネント、プロセス、およびカスタムソフトウェアを頻繁に
テストして、セキュリティ管理が変化する環境に継続的に対応できるようにする必要があります。
PCI DSS 要件
テスト手順
11.1 四半期ごとに無線アクセスポイントの存
11.1.a 事業体で、四半期ごとに無線アクセスポイントの存在を検出
在をテストして不正な無線アクセスポイントを
および特定するプロセスが文書化されていることを確認する。
検出する。
対応
未対応
目標期日/コメント
11.1.b 尐なくとも以下を含む不正な無線アクセスポイントを検出およ
び特定できる方法であることを確認する。
注: このプロセスで使用される方法には、無
線ネットワークスキャン、システムコンポーネント
およびインフラストラクチャの物理/論理検査、
ネットワークアクセス制御(NAC)、無線
IDS/IPS などが含まれる。
どの方法を使用する場合でも、不正なデバイ
スを検出および特定できるものでなければな
らない。
・ システムコンポーネントに挿入された無線 LAN カード
・ システムコンポーネントに接続したポータブル無線デバイス(USB な
ど)
・ ネットワークポートまたはネットワークデバイスに割り当てられた無線
デバイス
11.1.c すべてのシステムコンポーネントおよび施設で、不正な無線ア
クセスポイントを特定するための文書化されたプロセスが、尐なくとも
四半期ごとに実施されていることを確認する。
11.1 d 自動監視(無線 IDS/IPS、NAC など) が使用されている
場合、担当者への警告が生成されるように構成されていることを確認
する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 61
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
11.1 e 組織のインシデント対応計画(要件 12.9)に、不正な無線デ
バイスが検出された場合の対応が含まれていることを確認する。
11.2 内部および外部ネットワークの脆弱性
11.2 以下のように、内部および外部脆弱性スキャンが実行されてい
スキャンを、ネットワークでの大幅な変更後
ることを確認する。
(新しいシステムコンポーネントのインストー
ル、ネットワークトポロジの変更、ファイアウォー
ル規則の変更、製品アップグレードなどの後)
および尐なくとも四半期ごと、実行する。
注: 評価者が以下 1) ~ 3) のすべてを確
認した場合、初回の PCI DSS レビューにつ
いては四半期ごとの 4 回分のスキャンに合
格する必要はありません。1) 最新のスキャン
結果が合格スキャンであったこと。2) 事業体
で四半期ごとのスキャンを要求するポリシーと
手順が文書化されていること。 3) スキャン
結果で判明した脆弱性が再スキャンにおいて
示されているとおりに修正されたこと。初回の
PCI DSS レビュー以降の年は、四半期ごと
の 4 回分のスキャンに合格している必要が
あります。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 62
PCI DSS 要件
テスト手順
11.2.1 内部脆弱性スキャンを四半期ごと実
11.2.1.a スキャンレポートをレビューし、過去 12 カ月間に四半期ごと
行する。
の内部スキャンが 4 回行われたことを確認する。
対応
未対応
目標期日/コメント
11.2.1.b スキャンレポートをレビューし、スキャンプロセスに、合格結果
が取得されるまで、または PCI DSS 要件 6.2 で定義されたすべて
の「高」脆弱性が解消されるまで、再スキャンを実行したことが含まれ
ていることを確認する。
11.2.1.c 認定された内部担当者または認定された外部の第三者に
よってスキャンが実行されたこと、および該当する場合はテスターが組
織的に独立した立場であること(QSA または ASV である必要はな
い)を検証する。
11.2.2 四半期ごとの外部の脆弱性スキャン
11.2.2.a 外部の脆弱性スキャンのうち最新の 4 回分の四半期の結
は、PCI SSC によって資格を与えられた
果をレビューし、過去 12 カ月間に四半期ごとの内部スキャンが 4
ASV が実行する。
回行われたことを確認する。
注: 四半期ごとの外部の脆弱性スキャンは、
PCI SSC によって資格を与えられた ASV
によって実行される必要があります。ネットワー
ク変更後に実施されるスキャンは、会社の内
部スタッフによって実行することができる。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 63
PCI DSS 要件
テスト手順
対応
未対応
目標期日/コメント
11.2.2.b 四半期ごとのスキャンの結果をレビューし、その結果が ASV
Program Guide 要件を満たしていることを確認する(CVSS スコアで
4.0 を超える脆弱性がないこと、規格要求事項への違反がないこと、
など)。
11.2.2.c スキャンレポートをレビューし、PCI SSC によって資格を与え
られた ASV がスキャンを完了したことを確認する。
11.2.3 大幅な変更後に、内部および外部ス
11.2.3.a 変更管理文書とスキャンレポートを検査し、大幅な変更の
キャンを実行する。
対象だったシステムコンポーネントがスキャンされたことを確認する。
11.2.3.b スキャンレポートをレビューし、スキャンプロセスに、以下の項
注: ネットワーク変更後に実施されるスキャン
は、会社の内部スタッフによって実行すること
ができる。
目が満たされるまで再スキャンを実行したことが含まれていることを確
認する。
・ 外部スキャンの場合、CVSS スコアで 4.0 を超える脆弱性がな
い。
・ 内部スキャンの場合、合格結果が取得される、または PCI DSS
要件 6.2 において「高」を超える順位が付けられた脆弱性がない。
11.2.3.c 認定された内部担当者または認定された外部の第三者に
よってスキャンが実行されたこと、および該当する場合はテスターが組
織的に独立した立場であること(QSA または ASV である必要はな
い)を検証する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 64
PCI DSS 要件
テスト手順
11.3 外部および内部のペネトレーションテス
11.3.a 最新のペネトレーションテストの結果を入手して調査し、ペネ
トを、大幅なインフラストラクチャまたはアプリケ
トレーションテストが尐なくとも一年ごとおよび環境への大幅な変更後
ーションのアップグレードや変更後(オペレーテ
に実行されていることを確認する。
ィングシステムのアップグレード、環境へのサブ
11.3.b 判明した脆弱性が修正され、テストが繰り返されたことを確認
ネットワークの追加、環境への Web サーバの
する。
追加などの後)および尐なくとも年に一度、実
行する。これらのペネトレーションテストには以
下を含める必要がある。
対応
未対応
目標期日/コメント
11.3.c 認定された内部担当者または認定された外部の第三者によ
ってテストが実行されたこと、および該当する場合はテスターが組織的
に独立した立場であること(QSA または ASV である必要はない)を
確認する。
11.3.1 ネットワーク層のペネトレーションテスト
11.3.1 ペネトレーションテストにネットワーク層のペネトレーションテスト
が含まれることを確認する。これらのテストには、ネットワーク機能およ
びオペレーティングシステムをサポートするコンポーネントを含める必要
がある。
11.3.2 アプリケーション層のペネトレーションテ
11.3.2 ペネトレーションテストにアプリケーション層のペネトレーションテ
スト
ストが含まれることを確認する。テストは、尐なくとも要件 6.5 に記載
されている脆弱性を対象とする必要がある。
11.4 侵入検知システムもしくは侵入防止シ
11.4.a 侵入検知システムもしくは侵入防止システム(またはその両
ステム(またはその両方)を使用して、カード会
方)が使用され、カード会員データ環境との境界およびカード会員デ
員データ環境との境界およびカード会員デー
ータ環境内の重要な境界を通過するすべてのトラフィックが監視され
タ環境内の重要なポイントを通過するすべて
ていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 65
PCI DSS 要件
テスト手順
のトラフィックを監視し、侵害の疑いがある場
11.4.b IDS もしくは IPS (またはその両方)が侵害の疑いを担当者
合は担当者に警告する。すべての侵入検知
に警告するように構成されていることを確認する。
および防止エンジン、ベースライン、ならびにシ
グネチャを最新状態に保つ。
対応
未対応
目標期日/コメント
11.4.c IDS/IPS 構成を調査し、IDS/IPS デバイスが最適な保護を
実現するようにベンダの指示に従って構成、保守、更新されていること
を確認する。
11.5 重要なシステムファイル、構成ファイル、
11.5.a システム設定と監視対象ファイルを調査し、監視作業の結果
またはコンテンツファイルの不正な変更を担当
を確認して、カード会員データ環境内でファイル整合性監視ツールが
者に警告するために、ファイル整合性監視ソ
使用されていることを確認する。
フトウェアを導入して、重要なファイルの比較
を尐なくとも週に一度実行するようにソフトウェ
監視する必要があるファイルの例:
アを構成する。
・ システム実行可能ファイル
・ アプリケーション実行可能ファイル
注: ファイル整合性監視において重要なファ
・ 構成およびパラメータファイル
イルとは、通常は定期的に変更されないが、
・ 集中的に保存されているアーカイブされたまたは履歴のログおよび
その変更がシステムの侵害や侵害のリスクを
監査ファイル
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 66
PCI DSS 要件
テスト手順
示す可能性があるファイルのことである。ファイ
11.5.b 重要なファイルの不正な変更を担当者に警告し、重要なファ
ル整合性監視製品では通常、関連オペレー
イルの比較を尐なくとも週に一度実行するようにツールが構成されて
ティングシステム用の重要なファイルがあらかじ
いることを確認する。
対応
未対応
目標期日/コメント
め構成されている。カスタムアプリケーション用
のファイルなどのその他の重要なファイルは、
事業体(つまり、加盟店またはサービスプロバ
イダ)による評価および定義が必要である。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 67
情報セキュリティポリシーの整備
要件 12: すべての従業員向けの情報セキュリティポリシーを整備する
強力なセキュリティポリシーは、事業体全体でのセキュリティの方向性を定め、従業員に対して期待される内容を示します。すべての従業員は、データの機密性とその保護に関する自
身の責任を認識する必要があります。要件 12 において、「従業員」は、フルタイムおよびパートタイム従業員、期間従業員、ならびに事業体の敷地内に「常駐」するか、またはカード
会員データ環境にアクセスできる、請負業者およびコンサルタントを指します。
PCI DSS 要件
テスト手順
12.1 以下を実現するセキュリティポリシーを
12.1 情報セキュリティポリシーを調査し、ポリシーが、関連するすべて
確立、公開、維持、および周知する。
の従業員(ベンダ、ビジネスパートナーを含む)に公開され、周知され
対応
未対応
目標期日/コメント
ていることを確認する。
12.1.1 すべての PCI DSS 要件に対応す
12.1.1 ポリシーがすべての PCI DSS 要件に対応していることを確認
る。
する。
12.1.2 一年ごと、脅威、脆弱性、結果を識
12.1.2.a 一年ごと、脅威、脆弱性、結果を識別するリスク評価プロ
別するプロセスを正式なリスク評価に含める
セスが、正式なリスク評価に文書化されていることを確認する。
(リスク評価方法の例には、OCTAVE、 ISO
12.1.2.b リスク評価文書をレビューして、リスク評価プロセスを尐なくと
27005、NIST SP 800-30 などが含まれる)。
も一年ごと実行することを確認する。
12.1.3 尐なくとも一年ごとレビューを行い、環
12.1.3 情報セキュリティポリシーが尐なくとも年に一度レビューされ、
境の変化に合わせて更新する。
必要に応じてビジネス目標やリスク環境の変化を反映するように更新
されることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 68
PCI DSS 要件
テスト手順
12.2 この仕様の要件と整合する日常的な
12.2 日常的な運用上のセキュリティ手順を調査する。この仕様と整
運用上のセキュリティ手順を作成する(たとえ
合していること、および各要件に対する管理および技術手順が含ま
ば、ユーザアカウント保守手順、ログレビュー
れていることを確認する。
対応
未対応
目標期日/コメント
手順)。
12.3 重要なテクノロジ(リモートアクセステクノ
12.3 重要なテクノロジに関する使用ポリシーを入手して調査し、以
ロジ、無線テクノロジ、リムーバブル電子メディ
下を実施する。
ア、ラップトップ、タブレット PC、携帯情報端
末(PDA)、電子メールの使用、インターネット
の使用など)に関する使用ポリシーを作成し
て、これらのテクノロジの適切な使用方法を
定義する。使用ポリシーでは以下の要件を
要求する。
12.3.1 権限のある者による明示的な承認
12.3.1 使用ポリシーで、テクノロジの使用に関する権限のある者の明
示的な承認が要求されていることを確認する。
12.3.2 テクノロジの使用に対する認証
12.3.2 使用ポリシーで、すべてのテクノロジの使用をユーザ ID とパス
ワードまたはその他の認証アイテム(トークンなど)によって認証すること
が要求されていることを確認する。
12.3.3 このようなすべてのデバイスおよびアク
12.3.3 使用ポリシーで、すべてのデバイスとデバイスを使用する権限
セスできる担当者のリスト
がある担当者のリストが要求されていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 69
PCI DSS 要件
テスト手順
12.3.4 所有者、連絡先情報、および目的を
12.3.4 使用ポリシーで、所有者、連絡先情報、目的を関連付ける
定義したラベルのデバイスへの添付
ことができる情報のラベルをデバイスに添付することが要求されている
対応
未対応
目標期日/コメント
ことを確認する。
12.3.5 テクノロジの許容される利用法
12.3.5 使用ポリシーで、テクノロジの許容される利用法が要求されて
いることを確認する。
12.3.6 テクノロジの許容されるネットワーク上
12.3.6 使用ポリシーで、テクノロジの許容されるネットワーク上の場所
の場所
が要求されていることを確認する。
12.3.7 会社が承認した製品のリスト
12.3.7 使用ポリシーで、会社が承認した製品のリストが要求されてい
ることを確認する。
12.3.8 非アクティブ状態が特定の期間続い
12.3.8 使用ポリシーで、非アクティブ状態が特定の期間続いた後、リ
た後のリモートアクセステクノロジのセッションの
モートアクセステクノロジのセッションを自動切断することが要求されて
自動切断
いることを確認する。
12.3.9 ベンダおよびビジネスパートナーがリモ
12.3.9 ベンダおよびビジネスパートナーがリモートアクセステクノロジを
ートアクセステクノロジを必要とする場合にの
必要とする場合にのみ、ベンダおよびビジネスパートナーに対しリモート
み、ベンダおよびビジネスパートナーに対しリモ
アクセステクノロジをアクティブ化し、使用後は直ちに非アクティブ化す
ートアクセステクノロジをアクティブ化し、使用
ることが使用ポリシーで要求されていることを確認する。
後は直ちに非アクティブ化する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 70
PCI DSS 要件
テスト手順
12.3.10 従業員がリモートアクセステクノロジ
12.3.10.a リモートアクセステクノロジでカード会員データへアクセスする
でカード会員データにアクセスする場合、業務
時に、ローカルハードドライブおよびリムーバブル電子メディアへのカード
上明らかに必要で明示的に許可されない限
会員データのコピー、移動、または保存が使用ポリシーで禁止されて
り、ローカルハードドライブおよびリムーバブル
いることを確認する。
電子メディアへのカード会員データのコピー、
12.3.10.b 適切な権限のある従業員については、PCI DSS 要件に
移動、保存を禁止する。
従ってカード会員データの保護が使用ポリシーで要求されていることを
対応
未対応
目標期日/コメント
確認する。
12.4 セキュリティポリシーおよび手順に、すべ
12.4 情報セキュリティポリシーおよび手順に、従業員の情報セキュリ
ての従業員の情報セキュリティに対する責任
ティに対する責任が明確に定義されていることを確認する。
を明確に定義する。
12.5 個人またはチームに以下の情報セキュリ
12.5 情報セキュリティが最高セキュリティ責任者またはマネージメント
ティ管理責任を割り当てる。
のその他のセキュリティに詳しいメンバーに正式に割り当てられているこ
とを確認する。
情報セキュリティポリシーおよび手順を入手して調査し、以下の情報
セキュリティ責任が明確かつ正式に割り当てられていることを確認す
る。
12.5.1 セキュリティポリシーおよび手順を確
12.5.1 セキュリティポリシーおよび手順を作成して配布する責任が正
立、文書化、および周知する。
式に割り当てられていることを確認する。
12.5.2 セキュリティに関する警告および情報
12.5.2 セキュリティに関する警告を監視して分析し、該当する情報セ
を監視して分析し、該当する担当者に通知
キュリティおよび事業単位の管理担当者に通知する責任が正式に割
する。
り当てられていることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 71
PCI DSS 要件
テスト手順
12.5.3 セキュリティインシデントの対応および
12.5.3 セキュリティインシデントの対応およびエスカレーション手順を作
エスカレーション手順を確立、文書化、および
成および周知する責任が正式に割り当てられていることを確認する。
対応
未対応
目標期日/コメント
周知して、あらゆる状況をタイムリーかつ効果
的に処理する。
12.5.4 追加、削除、変更を含め、ユーザアカ
12.5.4 ユーザアカウントの管理および認証管理の責任が正式に割り
ウントを管理する
当てられていることを確認する。
12.5.5 データへのすべてのアクセスを監視およ
12.5.5 データへのすべてのアクセスを監視および管理する責任が正
び管理する。
式に割り当てられていることを確認する。
12.6 セキュリティに関する意識を高める正式
12.6.a すべての従業員を対象にしたセキュリティに関する意識を高め
なプログラムを実施して、すべての従業員がカ
る正式なプログラムが存在することを確認する。
ード会員データセキュリティの重要性を認識す
るようにする。
12.6.b セキュリティに関する意識を高めるプログラムの手順と文書を
入手して調査し、以下を実行する。
12.6.1 雇用時および尐なくとも一年ごと従業
12.6.1.a セキュリティに関する意識を高めるプログラムで、複数の方法
員を教育する。
でカード会員データセキュリティの重要性の認識を伝え、従業員を教
注: 従業員の役割とカード会員データへのア
育していることを確認する(ポスター、手紙、メモ、Web ベースのトレー
クセスレベルによって、教育方法は異なる。
ニング、会議、プロモーションなど)。
12.6.1.b 従業員が雇用時および尐なくとも一年ごと、セキュリティに関
する意識を高めるプログラムのトレーニングに出席していることを確認
する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 72
PCI DSS 要件
テスト手順
12.6.2 従業員が尐なくとも一年ごと、セキュリ
12.6.2 セキュリティに関する意識を高めるプログラムで、 従業員が尐
ティポリシーおよび手順に目を通して理解した
なくとも一年ごと情報セキュリティポリシーに目を通して理解したことに
ことについて、従業員に確認を要求する。
ついて、従業員に(書面または電子的な方法で)確認を求めているこ
対応
未対応
目標期日/コメント
とを確認する。
12.7 従業員を雇用する前に調査して、内部
12.7 カード会員データまたはカード会員データ環境にアクセスする従
からの攻撃リスクを最小限に抑える(身元調
業員については、人事部門の管理者に問い合わせて、雇用の前に
査の例には、職歴、犯罪歴、信用履歴、お
(地域法の制約内で)身元調査が実施されたことを確認する。
よび経歴照会がある)。
注: トランザクションを進めるときに一度に 1
つのカード番号にしかアクセスできない店のレ
ジ係などの特定の職務に雇用される見込み
の者については、この要件は推奨されるだけ
で強制されない。
12.8 カード会員データをサービスプロバイダと
12.8 事業体とサービスプロバイダ(バックアップテープ保管施設、Web
共有する場合は、サービスプロバイダを管理
ホスティング企業やセキュリティサービスプロバイダなどの管理対象サー
するためのポリシーと手順を維持および実施
ビスプロバイダ、または不正モデリング目的でデータを受信するサービス
して、以下を含める。
プロバイダなど)がカード会員データを共有する場合は、ポリシーと手
順のレビュー、関連文書のレビュー、および観察を通じて、以下を実
施する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 73
PCI DSS 要件
12.8.1 サービスプロバイダのリストを維持す
テスト手順
対応
未対応
目標期日/コメント
12.8.1 サービスプロバイダのリストが維持されていることを確認する。
る。
12.8.2 サービスプロバイダが自社の所有する
12.8.2 書面による契約に、カード会員データのセキュリティに対して責
カード会員データのセキュリティに対して責任
任を負うことへのサービスプロバイダの同意が含まれていることを確認
を負うことに同意した、書面での契約を維持
する。
する。
12.8.3 契約前の適切なデューディリジェンス
12.8.3 サービスプロバイダとの契約前の適切なデューディリジェンスを
を含め、サービスプロバイダとの契約に関する
含め、ポリシーと手順が文書化されていて、それに従って契約が実施
プロセスが確立されている。
されていることを確認する。
12.8.4 サービスプロバイダの PCI DSS 準拠
12.8.4 事業体が、サービスプロバイダの PCI DSS 準拠状況を尐な
状況を監視するプログラムを維持する。
くとも一年ごと監視するプログラムを維持していることを確認する。
12.9 インシデント対応計画を実施する。シス
12.9 インシデント対応計画および関連手順を入手して調査し、以
テム違反に直ちに対応できるよう準備する。
下を実行する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 74
PCI DSS 要件
テスト手順
12.9.1 システム違反が発生した場合に実施
12.9.1.a インシデント対応計画に以下の項目が含まれていることを
されるインシデント対応計画を作成する。計
確認する。
画では、最低限、以下に対応する。
・ 侵害が発生した場合の役割、責任、および伝達に関する計画
・ ペイメントブランドへの通知を最低限含む、
(尐なくともペイメントブランドへの通知を含む)
侵害が発生した場合の役割、責任、および
・ 具体的なインシデント対応手順
伝達と連絡に関する戦略
・ ビジネスの復旧および継続手順
・ 具体的なインシデント対応手順
・ データバックアッププロセス
・ ビジネスの復旧および継続手順
・ 侵害の報告に関する法的要件の分析(実際の侵害または侵害の
・ データバックアッププロセス
可能性が発生した場合に、データベースにカリフォルニア在住者の情
・ 侵害の報告に関する法的要件の分析
報が格納されている企業に対し影響を受ける消費者への通知を要
・ すべての重要なシステムコンポーネントを対
求する California Bill 1386 など)
象とした対応
・ すべての重要なシステムコンポーネントを対象とした対応
・ ペイメントブランドによるインシデント対応手
・ ペイメントブランドのインシデント対応手順を参照または組み込むこ
順の参照または包含
と
対応
未対応
目標期日/コメント
12.9.1.b 以前報告されたインシデントまたは警告の文書をレビュー
し、文書化されたインシデント対応計画および手順に従っていることを
確認する。
12.9.2 計画を尐なくとも年に一度テストす
12.9.2 計画が尐なくとも年に一度テストされることを確認する。
る。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 75
PCI DSS 要件
テスト手順
12.9.3 警告に 24 時間体制で対応できる
12.9.3 承認されていない活動、承認されていない無線アクセスポイン
担当者を指定する。
トの検出、重要な IDS 警告、またはシステムもしくはコンテンツファイ
対応
未対応
目標期日/コメント
ルの承認されていない重要な変更(もしくはそれらすべて)の痕跡がな
いかどうかを調査するために、ポリシーのレビューおよび観察を通じて、
指定された従業員がインシデント対応および監視を 24 時間行うこ
とができることを確認する。
12.9.4 セキュリティ違反への対応を担当する
12.9.4 観察とポリシーのレビューを通じて、セキュリティ違反への対応
スタッフに適切なトレーニングを提供する。
を担当するスタッフが定期的にトレーニングされていることを確認する。
12.9.5 侵入検知、侵入防止、およびファイル
12.9.5 観察とプロセスのレビューを通じて、承認されていない無線アク
整合性監視システムからの警告を含める。
セスポイントの検出を含め、セキュリティシステムからの警告の監視お
よび対応がインシデント対応計画に含まれていることを確認する。
12.9.6 得られた教訓を踏まえてインシデント
12.9.6 観察とポリシーのレビューを通じて、得られた教訓を踏まえてイ
対応計画を変更および改善し、産業の発展
ンシデント対応計画を変更および改善し、産業の発展を組み込むプ
を組み込むプロセスを作成する。
ロセスがあることを確認する。
PCI DSS 要件とセキュリティ評価手順 バージョン 2.0 翻訳版
Copyright© 2010 PCI Security Standards Council LLC
2010 年 10 月
Page 76
Fly UP