PCI DSS

PCI DSSでデータを暗号化して保存する際の4つのポイント

今回はデータを暗号化する際の鍵の管理方法についてお話したいと思います。

PCI DSS(Payment Card Industry Data Security Standard)は、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。

PCI DSS準拠のシステムにおいて、最も価値のあるデータは何でしょうか。それは、言うまでもなく、クレジットカード情報です。その重要な情報であるクレジットカードは安全に保存しなければいけません。どのようにすれば情報を安全に保存することができるでしょうか。それは、

データを暗号化する

ことです。PCI DSSの要件3.5, 3.6ではカード会員データを保存する際の暗号化について記載されています。データを暗号化する際に、注意するポイントは3つあります。

  1. 安全な暗号化方式の使用
  2. 暗号化に使用する鍵の定期的な変更
  3. 暗号化に使用する鍵のアクセス制御
  4. 暗号化鍵へのアクセス記録の取得

安全な暗号化方式の使用

PCI DSS要件の3.6.1 「強力な暗号化鍵の生成データを暗号化する」では、強度の強い暗号化方式を選ぶことが求められています。AES256など強度の強い暗号化方式を選びます。現時点で利用可能なものは下記の通りです。

  • AES(128 ビット以上)
  • TDES/TDEA(3倍長キー)
  • RSA(2048 ビット以上)
  • ECC(224 ビット以上)
  • DSA/D-H(2048/224ビット以上)

尚、安全な暗号方式は常に変わっていきますので、現在何が安全かは、PCI DSSに準拠するために、何を使用すれば良いかはPCI DSSの用語集に記載されており、最新バージョンのNIST Special Publication 800-57 Part 1を参照し、その時点で安全なものを使用してください。

暗号化に使用する鍵の定期的な変更

暗号化に使用する鍵を定期的に変更することで、万が一鍵が漏えいした場合にも被害を最小限にすることができます。どれくらいの頻度で鍵を更新するべきかは同様にPCI DSS用語集にあります。最新のNIST Special Publication 800-57(http://csrc.nist.gov/publications/)を元に判断します。暗号化の用途やデータ量によって期間は変わりますが一番短い物でも1年ですので、毎年変更していれば大丈夫です。

暗号化に使用する鍵のアクセス制御

暗号化鍵にアクセスできるアプリケーションや、人を必要最低限に限定することでリスクを低くすることができます。

暗号化鍵へのアクセス記録の取得

誰が暗号鍵にアクセスしたか常に記録を取っておき、定期的にログのレビューをし、不審なアクセスが無いか確認することで、万が一不正な利用があった際に直ぐに気づくことができます。

実際の構築方法

AWSで実際にどのように上記のような注意点を満たすことができるかは今後別の記事でご紹介したいと思います。

 

関連記事

  1. Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    AWS

    Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    改ざん検知はPCI DSSなどセキュリティを強化する際には、必ず必要に…

  2. PCI DSS

    PCI DSSに準拠するためにまず最初にやるきべこと

    今回はあなたのシステムでPCI DSSに準拠すると決めた時、まず最初に…

  3. webサイトをhttps化するメリットと注意点

    PCI DSS

    webサイトをhttps化するメリットと注意点

    webサイトをhttps化すると何がよいか、ご説明します。HTTP…

  4. AWSコンソール用の安全なユーザーの作成方法

    AWS

    AWSコンソール用の安全なユーザーの作成方法

    AWSに最初にアカウントを作るとルートユーザーというものが作られます。…

  5. AWS

    AWSを利用してPCI DSS準拠のシステムを構築する3つのメリット

    今回はAWSを利用してPCI DSS準拠のシステムを構築す…

  6. PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWS

    PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWSでセキュリティグループはEC2やRDS(リレーショナルデータベー…

最近の記事

  1. AWS

    AWSでS3を安全に使うための2つのポイント
  2. PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWS

    PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント
  3. PCI DSSの12要件とAWSにおける対応方法

    AWS

    PCI DSSの12要件とAWSにおける対応方法
  4. AWSで安全なネットワーク設計を行うポイント

    AWS

    AWSで安全なネットワーク設計を行うポイント
  5. AWS

    AWSでコンプライアンスのための監査ログを取得する方法
PAGE TOP