ここがポイント! DBセキュリティの実装(5)

PCI DSS準拠のためにデータベースができること

 

フォーティネットジャパン株式会社
セールスエンジニアリング部 シニアコンサルティングSE
成田泰彦
2010/8/2
支払カード業界で策定されたセキュリティ基準PCI DSS。準拠のために「DBセキュリティ」がカバーできる範囲を解説します(編集部)

 これまで4回にわたり、データベースセキュリティの実装方法について、データベースセキュリティ製品活用のポイントを説明してきました。今回は、いよいよ完全準拠への期限が迫っている、クレジットカード業界のグローバルセキュリティ基準「PCI DSS」(Payment Card Industry Data Security Standard)に対応するために、どのような点が重要か、それに対してデータベースセキュリティ製品がどう活用できるかを解説したいと思います。

完全対応の期限が迫るPCI DSS

 PCI DSSは、クレジットカード情報や決済情報などのセキュリティを保護するため、クレジットカードの加盟店やサービスプロバイダ(決済代行事業者など)が守るべきセキュリティ基準を定めたものです。これは、2006年9月にVISA、MasterCard、JCB、American Express、Discoverの国際カードブランドによって設立された、米国PCIデータセキュリティ基準審議会(PCI SSC)が制定したものです。

【関連記事】
5分で絶対に分かるPCI DSS
日本でも注目され始めたPCI DSS。金融系という最もセキュリティに厳しい業界からやってきた基準は、意外なほどに具体的で、エンジニアの強力な武器になるスグレモノでした

 PCI DSSには、クレジットカード情報を扱う会社が、どのようにカード情報を保護するべきか、一般的なフレームワークを定義しています。国際カードブランドは、カード情報流出を防止するため、カード加盟店やサービスプロバイダがPCI DSSに準拠することを求めています。

 その中でVISAは、2008年11月にPCI DSS遵守の国際的な義務化に向けたプログラムを発表しており、レベル1の加盟店に対して2010年9月30日までにPCI DSSの完全準拠するよう期限を設定しました。レベル1の加盟店とは、「VISAカードの取引件数が年間600万件を超える加盟店、または特定の地域のVISAがレベル1と認定したグローバルな加盟店」のことで、PCI DSSの中では最大規模の加盟店に位置付けられるものです。

【関連記事】
VISAがPCI DSS順守に期限を設定
(@IT NewsInsight)
http://www.atmarkit.co.jp/news/200811/14/pcidss.html

 レベル1加盟店は準拠期限が間近に迫っており、VISAはそれ以降、必要なリスク管理施策を展開する予定です。例えばアクワイアラ(クレジットカードの加盟店獲得と管理業務を行う事業者)から、レベル1加盟店のバリデーション完了証明書が提出されない場合は、罰金を科すこともあるとしています。

 ところが、期限が迫っているにもかかわらず、加盟店の対応は遅れているのが実情です。2010年3月に米国の情報管理調査会社Ponemon Instituteが発表したPCI DSSに関するレポートによると、41%の企業がPCI DSSで述べられている条件を完全にクリアすることができずに、何らかの代替策をQSA(Qualified Security Assessor:認定セキュリティ評価機関)に認めてもらって、急場しのぎせざるを得ない状況にあるとされています。

 完全対応できない加盟店が半数近くある現状を考えると、PCI DSSの内容が追加・修正されたり、代替策が認められる期間も延長される可能性もありますが、最終的には、代替策ではない“完全な対応策”でPCI DSS準拠を進める必要があります。その実現のためにも、データベースセキュリティ製品を上手に活用していくことを視野に入れて、対策を早急に推進することをお勧めします。

 クレジットカード情報を処理、保存するのに使用される情報インフラストラクチャがセキュアであると保証することにおいて、データベース監査・モニタリングは必要不可欠な対策です。データベースセキュリティ製品が持つ監査・リスク診断、モニタリングといった機能をフル活用することによって、PCI DSS対応はぐっと楽になります。

【関連記事】
@IT セキュリティソリューション Live! in Tokyoレポート
PCI DSSは“北極星”に向かうためのツールだ!(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/special/153pcidss/pcidss01.html

オール・ザッツ・PCI DSS 連載インデックス(@IT Security&Trust)
http://www.atmarkit.co.jp/fsecurity/index/index_pcidss.html

データベース監査で対応するPCI DSSの要件

 PCI DSSにはクレジットカード情報を保護するために、6つの目的(達成すべきカテゴリ)、および12の要件が定義されています。これらの要件は、すべてのシステムコンポーネントに適用されます。つまり、「カード会員データ環境」(CDE:Cardholder Data Environment)に含まれる、またはこれに接続するすべてのネットワークコンポーネント、サーバ、あるいは各種アプリケーションのすべてが要件の評価範囲となります。

 カード会員データ環境とは、カード会員データまたはセンシティブ認証データ(カードの磁気ストライプ情報など)を保有するネットワークの一部です。ネットワークコンポーネントにはファイアウォール、スイッチ、ルータ、ワイヤレスアクセスポイント、ネットワーク機器、そのほかのセキュリティ機器などが含まれますが、これらに限定されるわけではありません。また、サーバタイプには、Webサーバ、アプリケーション、データベース、認証、メール、プロキシ、ネットワークタイムプロトコル(NTP)、ドメインネームサーバ(DNS)などが含まれますが、これらに限定されるわけではありません。アプリケーションには、内部および外部(インターネット)アプリケーションなど、すべての市販およびカスタムアプリケーションが含まれます。

●表1 PCI DSS、6つのカテゴリと12の順守要件
I 安全なネットワークの構築・維持
要件1:
カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件2:
システムパスワードとほかのセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと

II カード会員データの保護
要件3:
保存されたカード会員データを安全に保護すること
要件4:
公衆ネットワーク上でカード会員データを送信する場合、暗号化すること

III 脆弱性を管理するプログラムの整備
要件5:
アンチウィルス・ソフトウェアを利用し、定期的に更新すること
要件6:
安全性の高いシステムとアプリケーションを開発し、保守すること

IV 強固なアクセス制御手法の導入
要件7:
カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件8:
コンピュータにアクセスする利用者ごとに個別のID を割り当てること
要件9:
カード会員データへの物理的アクセスを制限すること

V 定期的なネットワークの監視およびテスト
要件10:
ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
要件11:
セキュリティ・システムおよび管理手順を定期的にテストすること

VI 情報セキュリティ・ポリシーの整備
要件12:
情報セキュリティに関するポリシーを整備すること

 PCI DSSはネットワークコンポーネントすべてにかかわる要件とはいえ、クレジットカード情報が蓄積されるのはデータベースシステムや分析用のデータウェアハウスシステムです。従って、データベースセキュリティをいかに効果的に実装するかが大きなウエイトを占めます。

 そこで、これまで連載で解説してきたデータベースセキュリティ製品が、この12のPCI DSS要件の中で、どの部分で機能的役割を果たすことができるのか、要件に沿って実例を挙げてみたいと思います。

  1/3 次のページへ

Index
PCI DSS準拠のためにデータベースができること
→
Page 1
完全対応の期限が迫るPCI DSS
データベース監査で対応するPCI DSSの要件

Page 2
要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること
要件3:保存されるカード会員データを保護すること
要件6:安全性の高いシステムとアプリケーションを開発し、保守すること
要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限すること
要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

Page 3
DBセキュリティ製品は体制確立の一手段として活用可能

ここがポイント! DBセキュリティの実装

@IT Special

- PR -

TechTargetジャパン

Database Expert フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Database Expert 記事ランキング

本日月間
ソリューションFLASH