PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

AWS

PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

AWSでセキュリティグループはEC2やRDS(リレーショナルデータベースサービス)へのアクセスを制御するために使われます。クレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)に準拠するための環境をAWSを使う場合でもセキュリティグループは非常に重要です。

まず、PCI DSSの要件1では下記のようにファイアウォールの構成維持が求められています。

PCI DSSデータセキュリティ基準

1.2 信頼できないネットワークとカード会員データ環境内のすべてのシステムコンポーネントの接続を制限する、ファイアウォール構成を構築する。

1.2.1 着信および発信トラフィックを、カード会員データ環境に必要なトラフィックにし、それ以外のすべてのトラフィックを特定的に拒否する

つまりファイアウォールを使い、カード会員データ環境(Cardholder Data Environment、CDE)とそうでない環境を分け、クレジットカードを扱う環境への通信を特定し、必要最低限にする必要があります。

AWSにおいて、そのために使用するのがセキュリティグループですので非常に重要な役割があります。

AWSにおいてPCI DSS準拠するためにセキュリティグループを使うためのポイントは下記の通りです。

  • カード会員データ環境へのインバウンド通信を必要なサーバ、ポート番号に限定する
  • 対象の指定はセキュリティグループIDを使う

カード会員データ環境へのインバウンド通信を必要なサーバ、ポート番号に限定する

PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

それほどセキュアにする必要がない環境であればVPC内からの通信は全て許可するといった設定をしている場合もあるかと思いますが、PCI DSS準拠や個人情報を扱う環境においては、まずクレジットカード情報や個人情報を配置するセグメントをできる限り狭くすることが重要になってきます。そうすることで審査の対象範囲も狭くでき、準拠に必要な作業を減らすことができるからです。そのためには、セキュリティグループを使って、通信を必要な対象のみに制限します。

例えば、RDSにカード情報を保存しており、EC2インスタンスからRDSに対してアクセスする必要がある場合には、クレジットカード情報にアクセスする必要があるEC2にのみ、データベースで使用するポートのみのアクセスを許可します。許可する必要のないEC2インスタンスにも許可してしまうと、そのインスタンスも本来は入れる必要のない、カード会員データ環境に含まれてしまい、様々なPCI DSSの要件を従うための対策を行なっていく必要があります。

対象の指定はセキュリティグループIDを使う

PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

1つ目のポイントとも関連してくるのですが、セキュリティグループでインバウンドの通信許可の対象を指定する際に、IPアドレスではなく、セキュリティグループIDを指定します。

IPアドレスを使わない方が良い理由は、パブリッククラウドでは自社データセンターと違って、IPアドレスはサーバの作り直しなどで常に変動する前提で考える必要があるからです。

IPアドレスで通信許可をしてしまうと、サーバが作り直された際に都度アクセスの許可を設定し直す必要があります。

イメージとしては、下記のような形になります。

PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

例えばRDSを作るときにセットでセキュリティグループA(クライアント用)とセキュリティグループB(サーバ用)の2つを作ります。

そして、セキュリティグループBはアクセスを制御したいインスタンスに設定します。

次に、セキュリティグループAはアクセスを許可したいサーバに紐付けを行います。

この方式だとセキュリティグループの紐付けだけで簡単にアクセス許可をすることができます。

セキュリティグループAの内容はダミーでよく、127.0.0.1/32に対してICMPを許可するなどしておき、EC2インスタンス自体へのアクセス制限はそのEC2インスタンスに個別で設定されているセキュリティグループで行うようにします。(図の白い枠で書かれているセキュリティグループ)

具体的な設定方法は下記の通りです。

PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

ぜひ参考にしてみてください。

関連記事

  1. AWS

    CloudFrontでLambda@Edgeを本番運用してわかった注意点

    CloudFrontでLambda@Edgeを一年間運用しまして、気づ…

  2. PCI DSSの12要件とAWSにおける対応方法

    AWS

    PCI DSSの12要件とAWSにおける対応方法

    今回は、AWSを使ってクレジットカード業界のセキュリティ基準であるPC…

  3. AWSで安全なネットワーク設計を行うポイント

    AWS

    AWSで安全なネットワーク設計を行うポイント

    今回は、AWSにおいて安全なネットワーク設計を行いポイントについて…

  4. AWS

    AWSでOSの脆弱性対策をする方法

    今回はAWSで作成したEC2インスタンスのOSの脆弱性対策をする方…

  5. AWS

    AWSでLinuxサーバ上のログを自動的にS3に保存する方法

    AWSでLinuxサーバ上のApacheのアクセスログやアプリケーショ…

  6. webサイトをhttps化するメリットと注意点

    PCI DSS

    webサイトをhttps化するメリットと注意点

    webサイトをhttps化すると何がよいか、ご説明します。HTTP…

最近の記事

  1. AWS

    AWSでコンプライアンスのための監査ログを取得する方法
  2. AWS

    AWSでS3を安全に使うための2つのポイント
  3. AWSをセキュリティを高めて安全に使う方法

    AWS

    AWSをセキュリティを高めて安全に使う方法
  4. AWSでS3の利用料を節約するためにやって置いた方がよいこと

    AWS

    AWSでS3の利用料を節約するためにやって置いた方がよいこと
  5. PCI DSSの12要件とAWSにおける対応方法

    AWS

    PCI DSSの12要件とAWSにおける対応方法
PAGE TOP