PCI DSS

PCI DSSに準拠する必要があるのは誰ですか?

PCI データ セキュリティ標準 (PCI DSS) の目標は、カード所有者データ (CHD) と機密認証データ (SAD) が処理、保存、または送信される場所を問わず保護することです。支払いのセキュリティを維持することは、カード会員データを保存、処理、または送信するすべての組織に必要です。

PCIセキュリティ標準には、次の技術的および運用要件が含まれています。

• 支払トランザクションを受け入れる、または処理する組織
• これらの取引で使用されるアプリケーションおよびデバイスのソフトウェア開発者およびメーカー

2018年5月にリリースされたPCI 3.2.1は、対象となる組織が遵守しなければならない現在のバージョンです。

コンプライアンスの検証は、年間処理されるクレジット カード取引量の関数である、組織の加盟店レベルの指定に適した方法によって、年次または四半期ごとに実行されます。

PCI加盟店レベルと監査および報告要件の概要

以下の表は、PCI加盟店レベルの概要、各レベルで通常使用される一般的な支払いアーキテクチャ、および対応するPCI監査およびレポート要件を示しています。注:クレジットカード会社によって加盟店レベルのベンチマークには微妙な違いがあるため、読者はPCIアドバイザリーおよびQSAパートナーに相談して、組織に適用される要件を正確に評価することをお勧めします。 

12 PCI DSSの要件

PCI DSS 3.2.1には、6つの目標、12の要件、78の基本要件、および400を超えるテスト手順が含まれています。次の表は、PCI DSS の目的と関連する要件をまとめたものです。サブ要件とテストの詳細については、 PCI DSS リファレンス ガイドを参照してください。

PCI不準拠による潜在的なリスク

PCI DSSは12年以上前から存在していますが、多くの組織は監査中に重大な有害な結果に直面し続けています。また、最近PCI監査に合格した後でも、データ侵害を経験したと報告し続けている組織も一握りあります。ここで重要なことは、コンプライアンスは必ずしもデータとアプリケーションが安全であることを意味するわけではないということです。コンプライアンスはベースラインと見なす必要があります。また、組織は、必ずしも コンプライアンス義務の対象とは限らない脅威ベクトルを特定して軽減することにも重点を置く必要があります。

最も一般的な PCIコンプライアンス の課題は次のとおりです。

1. PCI監査の範囲を管理し、コストを管理する必要があります。PCI セキュリティ カウンシルは、 スコーピングとネットワーク セグメンテーションに関するガイドを公開しました。この文書は、対象となる組織がCDE(カード会員データ環境)コンポーネント、PCI接続およびPCIセキュリティに影響を与えるシステム、および範囲外のコンポーネントを特定するのに役立つフレームワークを提供します。残念ながら、データセンター環境と決済アーキテクチャの性質がますます動的で複雑になっているため、スコーピングとセグメンテーションのフレームワークを実行することは、多くの組織にとって困難です。静的なポイントインタイムデータとネットワークフローマップに依存してPCIコンポーネントインベントリを入力および維持し、一貫性のないIT変更とファイアウォールの変更管理プラクティスを組み合わせると、スコーピングとセグメンテーションのエラーが発生し、その結果、PCI評価の失敗と監査コストの増加につながります。
2. PCIセキュリティコンプライアンスとセグメンテーション体制を継続的に維持できない。PCI セキュリティ標準では、組織は PCI セグメンテーション体制を継続的に維持し、PCI 要件と基本要件に継続的に準拠していることを確認する必要があります。動的で複雑なデータセンターと支払いのアーキテクチャは、セキュリティプロセスとIT運用全体の不一致と相まって、セキュリティと制御のギャップにつながります。IT プラクティスの結果として、PCI コンポーネントは、同じゾーン、VLAN、またはサブネット内で非 PCI コンポーネントと混在することが多く、CDE へのトラフィックを制限するための追加の制御はありません。場合によっては、IT 変更管理、リソース プロビジョニング、およびファイアウォール変更管理プロセス間の切断により、スコープ内の PCI 接続システムのインベントリが正しくなくなり、ファイアウォール ルールが正しく設定されません。脆弱性管理とパッチ管理プロセスが不十分であると、組織はPCIセキュリティ体制を継続的に維持できなくなります。 Verizon Payment Security Report は、決済セキュリティの傾向と、組織が引き続き経験している重要なセキュリティ上の課題を詳細にレビューしています。ベライゾンは2010年から毎年このレポートを発行しています。2020年のレポートで、著者らは、次のPCI要件には最悪の管理ギャップがあると結論付けています。
3. 要求11。セキュリティシステムとプロセスのテスト
4. 要求5。悪意のあるソフトウェアからの保護
5. 要求10。アクセスの追跡と監視
6. 要求12。セキュリティ管理
7. 要求8。アクセスの認証
8. 要求1.ファイアウォール構成のインストールと保守
9. フラットなネットワークを持つ。驚くべきことに、今日の多くの組織は、設計が簡単で、運用と保守が容易なフラットネットワークを引き続き使用しています。ただし、フラットネットワークとは、環境内のすべてのもの(PCI接続されていないコンポーネントやCDE以外のコンポーネントを含む)がPCIの範囲内にあることを意味し、PCI監査コストが高くなります。フラットネットワークとは、悪意のある攻撃者が単一のホストを侵害することに成功した場合、ネットワークを簡単に通過し、決済アプリケーションやカード所有者データベースにアクセスできることも意味します。
10. リモートワーク運用モデルへの移行を確実にする必要があります。組織がオールリモートワークの運用モデルに移行するにあたり、これらの変更がPCI環境の範囲にどのような影響を与えるか、またCDEへの正当なトラフィックを制御するためにどのような追加の制御を実装する必要があるかを評価する必要があります。例としては、従業員のラップトップから支払いアプリケーションへの許可された管理者の正当なリモートアクセスの保護、リモートのカスタマーサポートと請求の保護、インターネットに接続する非接触型キオスクとデータセンターアプリケーション間のオンサイトの非接触型接続の保護などがあります。

PCI Data Security Standardの一般的な実装上の課題は何ですか?

ワークロード、ユーザー、デバイス、およびその接続とフローをリアルタイムで可視化することは、次の場合に重要です。

• PCI 環境の範囲が最新かつ正確であることを確認し、セグメンテーションとファイアウォールのルールが正しく適用されていることを意味します。
• 義務付けられた四半期ごとの内部脆弱性スキャンに貴重な情報を提供し、この情報を使用して、脆弱性に関連する潜在的な横方向攻撃経路をマッピングします。
• 潜在的な攻撃の兆候となる可能性のあるワークロード、デバイス、ユーザー、接続の変更、および接続試行の失敗がないか、PCI 環境を継続的に監視します。
• PCIコンプライアンス要件で必ずしもカバーされていない攻撃対象領域と脅威ベクトルの変化を特定します。

効果的なPCI DSSコンプライアンスにおけるリアルタイムの可視性の重要性

• リアルタイムの可視性は、PCIのスコープ内にあるCDE、PCI接続、およびPCIセキュリティに影響を与えるシステムのすべての接続を継続的に監視することにより、PCIスコープの精度を確保するのに役立ちます。その後、組織はホストベースのマイクロセグメンテーションを適用して、適用可能なファイアウォールルールを適用して、PCI環境へのインバウンドおよびアウトバウンドトラフィックを「許可」または「正当な」トラフィックのみに制限できます。(要件1)
• PCI環境の効果的かつ正確なセグメンテーションを継続的に維持することで、PCI監査コストを管理できます。
• 誤って設定されたファイアウォールルールや古いファイアウォールルールを排除することで、対象となる組織が潜在的なデータ侵害にさらされる可能性が軽減されます。
• IT 自動化ツール (Chef、Puppet、Ansible、Terraform など) との統合を利用して、ワークロード リソースのプロビジョニングと本番環境へのリリースと同時に、セグメンテーション ポリシーが確実にプロビジョニングされるようにします。
• リアルタイムの可視性は、組織がリモートワークに移行する際のPCIスコープの変更を評価するのに役立ちます。これは、組織が重大な制御ギャップと潜在的な攻撃ベクトルを特定するのに役立ちます。その後、組織はホストベースのマイクロセグメンテーションを適用して、自宅のデバイスからリモートユーザーのラップトップへのピアツーピア接続を制限し、ユーザーからデータセンターへのアプリケーション接続を制御できます。
• 複数のVLAN、ゾーン、サブネットに分散している承認されたPCIワークロード、ユーザー、デバイス間の接続を制御し、ネットワーク環境を再設計することなく、IT運用の変更に対応します。
• クラウドネイティブおよびグリーンフィールド環境では、組織はコンテナオーケストレーションプラットフォームとの統合を利用して、ワークロードの誕生時に「セグメンテーションポリシー」をプロビジョニングできます。
• 組織は、PCIコンプライアンス要件を直接満たすだけでなく、マイクロセグメンテーションを適用して、攻撃対象領域を減らし、ラテラルムーブメントを妨害し、 ランサムウェアの急速な拡散を封じ込めることができます。

ホストベースのマイクロセグメンテーションを使用してPCIコンプライアンスとサイバーセキュリティの課題に対処する

• リアルタイムの可視性は、PCIのスコープ内にあるCDE、PCI接続、およびPCIセキュリティに影響を与えるシステムのすべての接続を継続的に監視することにより、PCIスコープの精度を確保するのに役立ちます。その後、組織はホストベースの マイクロセグメンテーション を適用して、適用可能なファイアウォールルールを適用して、PCI環境へのインバウンドおよびアウトバウンドトラフィックを「許可」または「正当な」トラフィックのみに制限できます。(要件1)
• PCI環境の効果的かつ正確なセグメンテーションを継続的に維持することで、PCI監査コストを管理できます。
• 誤って設定されたファイアウォールルールや古いファイアウォールルールを排除することで、対象となる組織が潜在的なデータ侵害にさらされる可能性が軽減されます。
• IT 自動化ツール (Chef、Puppet、Ansible、Terraform など) との統合を利用して、ワークロード リソースのプロビジョニングと本番環境へのリリースと同時に、セグメンテーション ポリシーが確実にプロビジョニングされるようにします。
• リアルタイムの可視性は、組織がリモートワークに移行する際のPCIスコープの変更を評価するのに役立ちます。これは、組織が重大な制御ギャップと潜在的な攻撃ベクトルを特定するのに役立ちます。その後、組織はホストベースのマイクロセグメンテーションを適用して、自宅のデバイスからリモートユーザーのラップトップへのピアツーピア接続を制限し、ユーザーからデータセンターへのアプリケーション接続を制御できます。
• 複数のVLAN、ゾーン、サブネットに分散している承認されたPCIワークロード、ユーザー、デバイス間の接続を制御し、ネットワーク環境を再設計することなく、IT運用の変更に対応します。
• クラウドネイティブおよびグリーンフィールド環境では、組織はコンテナオーケストレーションプラットフォームとの統合を利用して、ワークロードの誕生時に「セグメンテーションポリシー」をプロビジョニングできます。
• 組織は、PCIコンプライアンス要件を直接満たすだけでなく、マイクロセグメンテーションを適用して、攻撃対象領域を減らし、ラテラルムーブメントを妨害し、 ランサムウェアの急速な拡散を封じ込めることができます。

Learn more

PCIに準拠し、顧客と会社を保護するための手順を今すぐ実行してください。

マイクロセグメンテーションがPCI DSSの範囲を縮小し、コンプライアンスを達成するのにどのように役立つかについては、ホワイトペーパー「PCIコンプライアンスを効果的にセグメント化するための3つのステップ」をご覧ください。