Click to edit Master title style HP Security week 2009 PCI DSS最新事情
by user
Comments
Transcript
Click to edit Master title style HP Security week 2009 PCI DSS最新事情
Click to edit Master title style HP Security week 2009 基調講演 PCI DSS最新事情 2009年10月20日 山崎 文明 ビジネスアシュアランス株式会社 本日のアジェンダ 1. PCI DSSとは? 2. 米国の最新動向 3. PCI SSCの最新動向 4. PCI DSSの国内普及は? 5. PCI DSS GAP分析サービスのご紹介 Copyright ©2009 Business Assurance Co.,Ltd. 2 Click to edit Master title style PCI DSSとは? PCI DSSとは? Payment Card Industry Data Security Standardとは、 国際クレジットカードブランドが、カードビジネス関連事業者向けに、カード会員 情報を保護するためのセキュリティ対策の最低水準(ベースライン)を確立する ために策定した実装要求規格。 Payment Card Industry Security Standards Council PCI Data Security Standard JCB Security Program Account Information Security Information Security and Compliance Data Security Operation Policy Copyright ©2009 Business Assurance Co.,Ltd. Site Data Protection 4 国際カードブランド各社の普及施策 • 国際カードブランド各社の普及施策として • • • • • アクワイアラ、イシュアとの契約上の債務事項 カード不正利用被害に対する免責 順守期限以降の罰金制裁 漏えい事件発生後の決済再開条件 契約解除 • 第三者機関(QSA)による監査制度 アクワイアラは、契約する加盟店の遵守について責任を負い、レベル1、2に該当する加盟店は年次報 告書を、レベル3に該当する加盟店は、年2回遵守状況報告書をVisaに提出しなくてはなりません。た だし、レベル4加盟店に適用する遵守バリデーションガイドラインは、各アクワイアラが決定します。 【出展】VISAメディアセンターホームページ Copyright ©2009 Business Assurance Co.,Ltd. 5 PCI Security Standard Council DSS : Data Security Standard PED : Pin Entry Device QSA : Qualified Security Assessor ASV : Approved Scanning Vender PA : Payment Application SSC : Security Standard Council WG :Working Group 【出展】PCI SSCホームページ Copyright ©2009 Business Assurance Co.,Ltd. 6 PCI DSS1ダースの要求事項 安全なネットワークの構築・維持 要件 1 : カード会員データを保護するためにファイアウォールを導入し、最適な設定 を維持すること 要件 2 : システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォ ルトを使用しないこと カード会員データの保護 要件 3 : 保存されたカード会員データを安全に保護すること 要件 4 : 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること 脆弱性を管理するプログラムの整備 要件 5 : アンチウイルス・ソフトウェアを利用し、定期的に更新すること 要件 6 : 安全性の高いシステムとアプリケーションを開発し、保守すること 強固なアクセス制御手法の導入 要件 7 : カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件 8 : コンピュータにアクセスする利用者毎に個別の ID を割り当てること 要件 9 : カード会員データへの物理的アクセスを制限すること 定期的なネットワークの監視 およびテスト 要件 10 : ネットワーク資源およびカード会員データに対するすべてのアクセスを追 跡し、監視すること 要件 11 : セキュリティシステムおよび管理手順を定期的にテストすること 情報セキュリティー・ポリシーの整備 要件 12 : 情報セキュリティに関するポリシーを整備すること Copyright ©2009 Business Assurance Co.,Ltd. 7 ISMSのアプローチの限界 • 自己責任のISMS vs. PCI DSS 「パスワードの選択及び利用時に正しいセキュリティ慣行に従うことを利用者 に要求しなければならない。」ISO/IEC27001:2005(JIS Q27001:2006) • 要件 8 : コンピュータにアクセスする利用者毎に個別の IDを 割り当てること 8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 8.5.9 ユーザー・パスワードは少なくとも90 日ごとに変更する。 8.5.10 最小パスワード長は少なくとも7 文字以上にする。 8.5.11 数字と英字の組合せから成るパスワードを使用する。 8.5.12 直近4回に使用されたのと同じパスワードは、新しいパスワードとして使用 できないようにする。 8.5.13 ユーザーIDをロックアウトすることにより、連続したアクセス試行を6回以内 に制限する。 8.5.14 ロックアウト時間は30分間、またはアドミニストレータがユーザーIDを有効 にするまでとする。 Copyright ©2009 Business Assurance Co.,Ltd. 8 Click to edit Master title style 米国の最新動向 PCIDSSの普及に乗り出した米国州政府 • テキサス州 CSHB3222 (2007年5月) z PCIDSSに準拠しておらず漏洩事件・事故を起こした場合、金融機関は損害賠償訴訟を起 こすことができる • 直接的損害 – 弁護士費用 – アクセスデバイスの取り消しならびに再発行費用 – 口座の閉鎖、支払い停止、口座再開費用 – 不正により生じた損害の口座開設者への返金費用 – 口座開設者への通知費用 – 金融機関が被った全ての費用 z 事件・事故を起こした組織は90日以内にPCIDSSに準拠していた事を証明する証明書を 提出しなければならない。30日以内に証明できれば訴訟を免れる • 続々と広がるPCIDSS関連法 – – – 10 マサチューセッツ州(2007年2月) ミネソタ州 Plastic Card Security Act( 2007年4月) カリフォルニア州 AB779(2007年5月) Copyright ©2009 Business Assurance Co.,Ltd. 10 PCIDSSの普及に乗り出した米国州政府 • ついに義務化法施行 – ネバダ州 Wiener議員法(2009年6月) 州内で事業を行い決済カードを受け入れている事業者(the data collector)はPCI DSSに従わなければならない。 また、社会保険番号、自動車免許番号、口座番号とパスワードなどの 個人情報を保持している事業者はその情報を社外に 送信する際、暗号化しなければならない。 この法律は2010年1月1日より施行される。 • レベル3、レベル4加盟店がPCIに準拠 – 高まるGAP分析サービス需要 – セキュリティプロダクト特需 • HSM、統合ログマネジメント、WAF、・・・ – サービスプロバイダへの機能移転 Copyright ©2009 Business Assurance Co.,Ltd. 11 PCI DSSは本当に有効か? • 史上最大のカード情報漏えい事件 Copyright ©2009 Business Assurance Co.,Ltd. 1億件以上? 12 PCI DSSは本当に有効か? • Hertland Payment Systems(ニュージャージー州) – – – – – – – – – – 業界第6位の決済処理会社 顧客25万社 2009年1月20日(オバマ大統領就任式の日)不正侵入によるデータ漏え い発表 VISA、MasterCardからの通報で発覚 システムに不正なソフトウェア(Key Logger?/Sniffer?)が組み込まれ、 ネットワークから漏えい(東欧?) カード番号、有効期限、場合によっては所有者の名前? 流出データ件数不明 6億? 2008年からすでに流出していた? 対策費用12億6000万円(2009年5月時点) 2009年2月10日フロリダ州保安官事務所が3名の容疑者を逮捕 被害を受けた金融機関300以上。民事訴訟15件、集団訴訟2件 Copyright ©2009 Business Assurance Co.,Ltd. 13 PCI DSSは本当に有効か? • 2008年4月 QSA(Trustwave社)から準拠認定 – VISAコンプライアンス サービスプロバイダーリストから削除 2009年4月30日QSA(Verisign)から準拠認定 – Copyright ©2009 Business Assurance Co.,Ltd. 14 PCI DSSは本当に有効か? • Heartland事件がもたらした2つの課題 – 監査制度(Qualified Security Assessor)の有効性確立 • 外部(カード会社)から通報されるまで気づかなかった – 要求1.2.1カード会員データ環境に 必要なインバウンドおよびアウトバウンド ・トラフィックに確実に制限する – 要求10.6すべてのシステム構成要素 “The goal is to make sure it's a level playing field so we don't have accusations from QSAs or merchants that some people are rubber-stamping" - Bob Russo 2/23/2008 のログを、少なくとも1日1回はレビューする – 要求11.5ファイル完全性監視ソフトウェア を導入して、重要なシステムファイル、設定ファイルまたはコンテンツ・ファイルに 権限のない修正があった場合、担当者に警告させる。また、重要ファイルの比較を少なく とも1週間に1回実行するようにソフトウェアを設定する – 新たな要求事項 E2EE(End-to-end Encryption) • Point –to-point EncryptionからEnd-to-end application-level Encryptionへ Copyright ©2009 Business Assurance Co.,Ltd. 15 PCI DSSは本当に有効か? • 要求2.3 非コンソール管理アクセスは全て暗号化する Webベースの管理やその他の非コンソール管理アクセスにはSSH、VPN、 SSL/TLS(transport layer security)などの技術を使用する • 要求3.4 少なくともカード番号は、どこに保管されていても、 次のいずれかの手段を使用して判読不可能な状態にしておく Payment Card Industry (PCI) Hardware Security Module(HSM) Security Requirements Version 1.0 malicious software SSL Internet Over SSL Customer HSM 2009年4月 リリース Hardware Security Modules Web Server Internet Over SSL Back End Server Sniffer Hacker Copyright ©2009 Business Assurance Co.,Ltd. 16 PCI DSSは本当に有効か? • 漏えい被害に対してQSAに損害賠償請求(2009年5月) Merrick銀行はカード情報の漏えい事件発覚前にQSAとしてCardSystems Solutions社を認定した企業をSavvis社に対する損害賠償請求訴訟を起こした。 Savvis社が、大規模なデータ漏えい事件を起こしたカード決済処理業者の CardSystemsSolustions社を、事件発覚の1年ほど前にPCI DSSのセキュリティ 要件を満たしていると認めていたことによる。Merrick銀行はこの事件で影響を 受けた銀行に対する賠償や法的措置にかかる費用など総額160億ドルの損害 をうけたという。 クレジットカード決済代行とリスクマネージメントの大手企業CyberSourceが、カードシス テムズ・ソリューションズの全資産を獲得する仮契約書に署名したと発表した。 カードシステムズは2005年5月、4000万件という大量の個人情報漏洩事件を起こして いたことが明らかになっていた。 カード会社との契約に違反して、処理後も保管していたデータを盗難されたということで、 7月に、VisaおよびAmerican Expressが10月31日付けで契約を解消することを発表。 大きな痛手を受けていた。(2005年9月23日) Copyright ©2009 Business Assurance Co.,Ltd. 17 Click to edit Master title style PCI SSCの最新動向 ~ PCI Security Standards Council Community Meeting 2009 ~ PCI SSC設立3回目のCommunity Meeting • 自律的に機能し始めたSSC – 拡がる国際ブランド間の温度差 (あくまでも山崎の個人的な印象です) Payment Card Industry Security Standards Council PCI Data Security Standard JCB Security Program Account Information Security Information Security and Compliance Data Security Operation Policy PCI DSS LIFECYCLE 【出展】PCI SSCホームページ Site Data Protection • Internal Assessorsの資格制度創設 • 年間33%のQSAを目標に監査実施 Copyright ©2009 Business Assurance Co.,Ltd. 不良QSAの排除 19 POI Modular Approach • PIN Transaction Security(PTS) – 製品技術の深化により従来のPEDプログラム が不適格になりつつある • Point Of Interaction(POI) – 2010年8月リリース Copyright ©2009 Business Assurance Co.,Ltd. 20 お役立ち資料 • Information Supplement : PCI DSS Wireless Guidelines http:/www.pcisecuritystandards.org/education/info • Information Supplement : Skimming Prevention Best Practices for Merchants https://www.pcisecuritystandards.org/docs/skimming_prevention_for m.doc Copyright ©2009 Business Assurance Co.,Ltd. 21 Click to edit Master title style PCI DSS 国内普及は? 鍵を握るVISAの普及施策 PCI DSS遵守に期限を設定(2008年11月13日) Visaは、本日、ペイメントカード業界のデータセキュリティ基準(PCI DSS)遵守の国際的な義務化に向 けたタイムラインを発表しました。これにより、加盟店、サービスプロバイダおよびプロセッサにおける 基準の遵守に必要な統一された枠組みが整いました。 レベル1/2の加盟店向け保管禁止データの廃棄期限 – 2009年9月30日 Visaは、アクワイアラに対し、レベル1/2加盟店が全磁気ストライプデータ、セキュリティコード又は PINデータを含むセンシティブなカード関連情報を取引認証後に保管していないことを確認、報告する 期限を2009年9月30日としています。 期限経過後、Visaは必要なリスク管理施策を実施します。例えば、レベル1/2加盟店が保管禁止 データを保管していないことの証明書をアクワイアラがVisaに対し提出しなかった場合、罰金が科さ れることもあります。 レベル1加盟店向けPCI DSS遵守バリデーションの期限 – 2010年9月30日 Visaは、アクワイアラに対し、レベル1加盟店のPCI DSS完全遵守バリデーション完了の遵守証明書 を提出する期限を2010年9月30日としています。2010年9月30日以降、Visaは必要なリスク管理施策 を実施します。例えば、レベル1加盟店のPCI DSS完全遵守バリデーションが完了したことの証明書 をアクワイアラが、Visaに対し提出しなかった場合には、罰金が科されることもあります。ただし、それ 以前に設定された期限やリスク関連の実施プログラムがある場合には、その限りではありません。 出典:VISAメディアセンター(http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_131108.shtml ) Copyright ©2009 Business Assurance Co.,Ltd. 23 無視できない罰金制裁金 国際カードブランド VISA 罰金制裁 アクワイアラ マーチャントX マーチャントX マーチャントX (レベル1加盟店) (レベル1加盟店) (レベル2加盟店) $1万/月×未遵守レベル1加盟店数 $5000/月×未遵守レベル2加盟店数 Copyright ©2009 Business Assurance Co.,Ltd. 24 実装要件としてセキュリティを示す重要性 何をどこまでやればいいかが適切に判断できていない現実 • きりがないセキュリティ対策 z 理解できない費用対効果 z わかりやすい説明責任 クレジットカード会社なみのセキュリティ対策 z • z 重要なサプライ(バリュー)チェーン全体のセキュリティ確保 各社(各組織)で異なるリスク分析結果と実装対策 GAP分析が示す今後の道筋 • z あと幾ら投資が必要かは経営にとって重要な情報 入札仕様としても活用できるDSS • z 十分なセキュリティを要求するために必要な知見がない 自治体DSS 学校教育DSS Copyright ©2009 Business Assurance Co.,Ltd. 25 自治体DSS 学校教育DSS普及の取り組み • 自治体DSS / 学校教育DSSの普及施策 政府の認知 普及ツールの整備(解説書、用語集、ガイドライン、アセスメントツール) DSS準拠セキュリティモデルのコンペ モデル自治体、モデル学校での実装と評価試験 義務化と免責制度 z 助成金制度 z z z z z • プライバシーデータ・セキュリティ・スタンダード(PDSS) z 個人情報を扱う一般企業への義務化もしくは免責条件化などなど Copyright ©2009 Business Assurance Co.,Ltd. 26 自治体DSS 学校教育DSS普及の取り組み • 自治体DSS z ニューメディア開発協会 • 学校教育DSS z コンピュータ教育開発センター Copyright ©2009 Business Assurance Co.,Ltd. 27 PCI DSS国内普及の取り組み 重要な役割を担うParticipating Organization • 加盟店、カード発行金融機関、サービスプロバイダ、ハードウェア・ソフトウェア ベンダー、POSベンダー 直接的にPCI DSSの影響を受ける当事者 – 属人的な解釈に振り回されるPO – • 過剰なセキュリティ投資 • POSやPIN製品の仕様変更にともなう投資損 Copyright ©2009 Business Assurance Co.,Ltd. 28 PCI DSS国内普及の取り組み • PCI SSC PO Japan連絡会発足 – PO加盟国内企業による情報共有機関 • 活動目的 – PCI DSSの正確な解釈の確立 • QSA監査結果の共有 • PA-DSS審査結果の共有 • PED審査結果の共有 • Q&Aの積極的な公開 – PCI DSSを理解したSEの育成 • PCI DSS基礎セミナー • Version1.2差分セミナー – 日本国内事情のPCI DSSへの反映 Copyright ©2009 Business Assurance Co.,Ltd. 29 Click to edit Master title style PCI DSS GAP分析サービスのご紹介 • ビジネスアシュアランスはPCI SSCよりQSA(Qualified Security Assessor)として認定されています。 • アセスメント会社の視点でPCI DSSへの準拠を目指 すお客様へGAP分析から準拠コンサルティング、認 証取得監査を提供して参ります。 The PCI Security Standards Council Qualified Security Assessor logo is a trademark or service mark of The PCI Security Standards Council in the United States and in other countries. Copyright ©2009 Business Assurance Co.,Ltd. 31 PCI DSS準拠に関するお悩み解決策 合理的な費用でGAP分析 がしたい。 QSA認定資格を保持しているコンサ ルタントが評価範囲を確定し、現状分 析を実施しますので、本審査と同等の サービスレベルを提供いたします。 さらにGAP分析シート利用により効率 化を図り、費用面を抑えております。 現在どの程度PCI DSSに準拠してい るのか知りたい 「PCI DSS GAP分析シート」に 現状のありのままを記入してい くことで診断ができます。 QSAがお客様と共同で記入して いきますので、お客様のPCI DSSご理解度は問いません。 PCI DSS対応ま での工程と予算 が知りたい。 短時間でGAP分 析がしたい GAP対応のための、一般 的な工程と概算費用をお 知らせします。 ご回答いただいた後、分析 から報告書作成完了まで最 短1週間で完了します。 「PCI DSS GAP分析サービス」にお任せ下さい。 Copyright ©2009 Business Assurance Co.,Ltd. 32 最長3週間で GAP分析結果をご報告 実施項目 実施項目 第 1週 第1週 第 2週 第2週 第 3週 第3週 準備&打合せ 準備&打合せ 評価範囲決定 評価範囲決定 GAP分析シート回答 GAP分析シート回答 報告書作成、ご提示 報告書作成、ご提示 報告書作成(最長)、ご報告 報告書作成(最長)、ご報告 Copyright ©2009 Business Assurance Co.,Ltd. 33 自己紹介 価格 : 2,940円 判型 : B5変形判/247ページ ISBN : 4-8222-6223-5 発行 : 日経BP社 発売 : 日経BP出版センター 2008年4月14日発行 山崎 文明(やまさき ふみあき) PCI SSC PO Japan 連絡会 会長 ネットワンシステムズ株式会社フェロー ビジネスアシュアランス株式会社 代表取締役社長 工学院大学 技術者能力開発センター客員講師 システム監査技術者(経済産業省) 英国規格協会 BS7799情報セキュリティ・スペシャリスト システム監査、ネットワークセキュリティ、セキュリティポリシーに関する専門家。大 手会計監査法人にてシステム監査に永年従事。 【各種委員会委員就任加盟歴】 内閣官房 安全保障危機管理室 情報セキュリティ対策推進室WG委員 警察庁不正アクセス犯罪等対策専科講師 学校セキュリティ検討委員会委員 経済産業省サイバーテロ実験評価委員 警察庁不正プログラム調査研究委員会委員 警察庁サイバーセキュリティ調査研究委員会委員 他 【加盟学会】 警察政策学会正会員 日本リスク・マネジメント学会正会員 【著書】 「PCIデータセキュリティ基準 完全対策」(日経BP社) 「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティハンドブック」(オー ム社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社) 、「システム監 査の方法」(中央経済社)、「コンティンジェンシー・プランニング」(日経BP社)、 「セキュリティマネジメント・ハンドブック」(日刊工業新聞社)等。 Copyright ©2009 Business Assurance Co.,Ltd. 34