PCI DSS

PCI DSSに準拠するためにまず最初にやるきべこと

今回はあなたのシステムでPCI DSSに準拠すると決めた時、まず最初にやるべきことについてお話しします。

これはPCI DSSに準拠するために非常に大切なことです。

それは下記の3つのステップで行なっていきます。

  • カード会員情報の流れを特定する。
  • 監査対象範囲を特定する。
  • 監査対象をできるだけ狭くする。

それでは一つ一つのステップについてご説明します。

カード会員情報の流れを特定する

PCI DSSに準拠するということは、そのサービスはクレジットカード情報を扱うということかと思います。まずは、あなたのシステムがどこでどのようにカード情報を受け取るかということを全て洗い出し特定し、リストアップしていきます。具体的には、実店舗の場合には対面で受け取る、Webサービスの場合には、Web画面からブラウザで入力されるなど、サービスによって様々な方法があるかと思います。それらを全て洗い出します。

次に、そのカード情報がどのようにどこに保存、処理、送信され、破棄されるか、それらに関わる人間やプロセス、技術を特定します。

その関わるシステムは全てカード会員データ環境(CDE)と呼ばれ、PCI DSSの監査対象の中で最も重要な範囲になります。

監査対象範囲を特定する

最初のステップでカード情報の流れを洗い出すことができました。次のステップとしてはPCI DSSの監査対象の範囲を分類していきます。

PCI DSSの監査対象は下記の3つに分類できます。

  • カード会員データ環境 (CDE)
  • 監査対象内  (in scope)
  • 監査対象外  (out of scope)

図にすると下記のようになります。

サービスを構成する要素を下記の条件にしたがってそれぞれ分類していきます。

分類 条件
カード会員データ環境(CDE)
  • カード会員情報を保存、処理、送信するもの
  • カード会員情報を保存、処理、送信するものと同じネットワークセグメントにあるもの
監査対象内
  • CDEと直接接続するもの
  • CDEと間接的に接続するもの(プロキシーなどを仲介して接続する場合)
  • CDEの設定やセキュリティに影響を与えるもの(認証サーバなど)
  • CDEに対してセキュリティサービスを提供するもの(WAFなど)
  • CDEのネットワークセグメントの分離に使われるもの(ファイアウォールなど)
  • PCI DSSの要件をサポートするもの(ログサーバなど)
監査対象外 CDEでも監査対象内でもないもの

この3つの分類のうち、CDEと監査対象内の2つに分類されたものがPCI DSSの監査対象となり、 PCI DSSの12要件を適用していく必要があります。

監査対象範囲をできるだけ狭くする

2つめのステップでどのシステムを構成する要素が監査対象になるかがわかりました。

次に行うことは、この2つの監査対象をできる限り狭くすることです。監査対象が狭くなるということは、監査の対象を減らすことができるということです。

どうしてこのようなことをする必要があるのでしょうか。

それは下記のようなメリットがあるからです。

  • 監査対応にかかる時間を減らすことができる
  • 監査対応にかかる費用を減らすことができる
  • PCI DSS準拠の維持が容易になる
  • 情報漏洩等のリスクを減らすことができる

監査対象を減らすための施策としては、下記のような方法が考えられます。

  • CDEのネットワークセグメントには最低限の必要なサーバしか置かない
  • ファイアウォールの設定を見直しCDEと通信可能なサーバを最低限にする。

上記の流れで最終的にどのシステムの構成要素が監査対象となるかが決まったと思います。

それらの対象に対してPCI DSSの12要件を適用していきます。

関連記事

  1. Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    AWS

    Amazon Linux2でOSS版tripwireを使って改ざん検知する方法

    改ざん検知はPCI DSSなどセキュリティを強化する際には、必ず必要に…

  2. PCI DSSの12要件とAWSにおける対応方法

    AWS

    PCI DSSの12要件とAWSにおける対応方法

    今回は、AWSを使ってクレジットカード業界のセキュリティ基準であるPC…

  3. PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWS

    PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWSでセキュリティグループはEC2やRDS(リレーショナルデータベー…

  4. AWS

    AWSを利用してPCI DSS準拠のシステムを構築する3つのメリット

    今回はAWSを利用してPCI DSS準拠のシステムを構築す…

  5. webサイトをhttps化するメリットと注意点

    PCI DSS

    webサイトをhttps化するメリットと注意点

    webサイトをhttps化すると何がよいか、ご説明します。HTTP…

  6. AWS

    AWSでコンプライアンスのための監査ログを取得する方法

    PCI DSSやIT内部統制などのコンプライアンスの観点でAWS上で監…

最近の記事

  1. AWS

    AWSでOSの脆弱性対策をする方法
  2. AWS

    AWSを利用してPCI DSS準拠のシステムを構築する3つのメリット
  3. AWS

    AWSでCloudFrontを使った方が良い理由
  4. PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント

    AWS

    PCI DSS準拠するためにAWSのセキュリティグループを使うためのポイント
  5. AWS

    AWSでEC2インスタンスを安全に使うための3つの注意点
PAGE TOP