連載コラム

「ここが肝心 PCI DSS対策のツボ」

[ 2010年3月29日 ]

講師: トリップワイヤ・ジャパン株式会社
営業推進部 プリセールス マネージャー 中川和芳氏

 PCI DSSの運営団体、「PCI SSC」では「PCI DSSと10の神話」を発表しています。中でも興味深い神話に「PCIがあればセキュリティは万全である」というものがあります。PCI DSSにいったん準拠しても、厳密にはその時だけのもの。セキュリティレベルを高め、それを維持していくには、継続したアセスメントと対処プロセスの確立こそ重要である。この神話が訴えていることは、トリップワイヤのソリューションと合致するものです。

大きな問題は何か?
データ侵害を見つけられないこと

 カード情報を扱うシステムに対する攻撃や不正行為には、新しい手法も使われます。攻撃と対策のいたちごっこが続くため、システムを完全に保護することは極めて困難です。

 この観点から考えると、データ侵害をいち早く発見することが重要となります。米国では「データ侵害が発生した企業の75%は、数週間から数か月間発見できなかった」、「侵害が明らかになるまでの平均時間は156日」、カード会員データに限定すると「侵害が明らかになるまで686日」などの実例も報告されています。

 また米国では、2009年にデータ侵害を受けた企業が被害に対して支払ったコストは、平均して670万ドル(約6億円)に達し、しかもこの額は年々増加傾向にあります。データ侵害を万一受けたとしても、迅速に発見することができればここまで被害は広がりません。侵害の発生時にすぐに手がかりをつかむことが必要といえるのです。

セキュリティレベル維持には
整合性監視の自動化が有効

 PCI DSSの12要件には多くの項目が含まれており、その全てに手作業で対応し、24時間の防御・監視体制を敷くことはほぼ不可能です。そこでトリップワイヤでは、「Tripwire Enterprise」を用いたソフトウェアレベルによる自動化を提案します。PCI DSSに含まれる218項目のうち104項目で、アセスメント、分析、レポートの自動化が可能です。

 「Tripwire Enterprise」の主な機能は「変更監査」と「コンフィグレーションアセスメント」です。前者はトリップワイヤが20年前から手がけてきた分野で、システムに対して、いつ誰がどのような変更を加えたかを通知します。この機能は、PCI DSSの要件11.5「ファイル整合性監視」を満たすものです。重要ファイルだけでなく、サーバー、アプリケーション、ネットワークデバイス、仮想化環境の状態なども監視するため、例えば要件1に含まれるファイアウォール導入とネットワーク構成の維持などの要件に対しても有効に機能します。

payment2010_1_1.png
図1 正規の変更を「ベースライン」として、これを基準に新たな変更を検知、評価する
[図をクリックで拡大]

 管理者による正規の変更は、システム上で「ベースライン」として記録します。変更されたバージョンを、新たなベースラインとして履歴を蓄積していきます(図1)。監査時においても、重要システムに対し24時間監視していることを、即座にレポートで提示することができます(図2)。

payment2010_1_2.png
図2 変更監査に関するレポートの例。PCI DSSの要件別にテストを行った結果を示したダッシュボード
[図をクリックで拡大]

システム設定に関する要件を遵守
「ポリシー・テスト」による安全性向上と維持

 コンフィグレーションアセスメントは、不要なアプリやサービスの停止、重要ファイルへのアクセス権やコマンドの実行権限など、システム設定に関するPCI DSSの要件に対して、適切な状態を維持する機能です。

 これまでに発生した大規模な情報流出の実態を見ても、攻撃は周到に準備され組織化されていましたが、手法は初歩的なものでした。未知の攻撃は別として、よく知られた攻撃ならばあらかじめセキュリティレベルを上げておくことで対処することが可能です。

 トリップワイヤのソリューションには、さまざまな「ポリシー・テンプレート」が備わっており、PCI DSSのテンプレートを用いることで、設定が要求ポリシーを満たしているかどうかをテストできます。テスト結果は可視化されるため、システム設定を見直しながらセキュリティの向上を図ることができます。手作業ではシステムの調査に人手と時間がかかるうえ、調査と修復を毎日続けることは非現実的で、セキュリティレベルが時間と共に下がる恐れもあります。テンプレートを用いたテストによって、課題がある部分はすぐに判別できるため、短時間で安全性を向上し維持することができます。

 変更監査とコンフィグレーションアセスメントで、「悪意ある変更を検知」することができ、オペレーションミスの発見やシステムダウン時の修復時間短縮にもつながるため「可用性が向上」します。さらに、さまざまなレポート出力機能などを用いることで、「継続評価による監査コストの削減」にも結びつくのです。

トリップワイヤ・ジャパン

オペレーションミスや不正なシステムの改ざんを迅速に発見、通知する「変更監査」や、堅牢なシステム設定の維持・管理を行う「コンフィグレーション・アセスメント」により、IT全般統制を強力にサポートする「Tripwire Enterprise」を紹介する。

出展社情報Topへ質問・資料請求する









カード決済パビリオン・ワークショップより

「カード決済パビリオン」は、クレジットやギフトカード、電子マネー、ネット決済など、決済手段が多様化している中、流通業でますます重要性の高まる「決済」「カード」の最新ソリューションを、展示とセミナー、特製ムックの発行などを通じて、業界動向から活用事例まで最新情報を包括的に発信するクロスメディア・イベントです。

バックナンバー

PAGE TOP