Tweet

PCI DSS準拠のためにデータベースができること

　これまで4回にわたり、データベースセキュリティの実装方法について、データベースセキュリティ製品活用のポイントを説明してきました。今回は、いよいよ完全準拠への期限が迫っている、クレジットカード業界のグローバルセキュリティ基準「PCI DSS」（Payment Card Industry Data Security Standard）に対応するために、どのような点が重要か、それに対してデータベースセキュリティ製品がどう活用できるかを解説したいと思います。

完全対応の期限が迫るPCI DSS

　PCI DSSは、クレジットカード情報や決済情報などのセキュリティを保護するため、クレジットカードの加盟店やサービスプロバイダ（決済代行事業者など）が守るべきセキュリティ基準を定めたものです。これは、2006年9月にVISA、MasterCard、JCB、American Express、Discoverの国際カードブランドによって設立された、米国PCIデータセキュリティ基準審議会（PCI SSC）が制定したものです。

【関連記事】 5分で絶対に分かるPCI DSS 日本でも注目され始めたPCI DSS。金融系という最もセキュリティに厳しい業界からやってきた基準は、意外なほどに具体的で、エンジニアの強力な武器になるスグレモノでした

　PCI DSSには、クレジットカード情報を扱う会社が、どのようにカード情報を保護するべきか、一般的なフレームワークを定義しています。国際カードブランドは、カード情報流出を防止するため、カード加盟店やサービスプロバイダがPCI DSSに準拠することを求めています。

　その中でVISAは、2008年11月にPCI DSS遵守の国際的な義務化に向けたプログラムを発表しており、レベル1の加盟店に対して2010年9月30日までにPCI DSSの完全準拠するよう期限を設定しました。レベル1の加盟店とは、「VISAカードの取引件数が年間600万件を超える加盟店、または特定の地域のVISAがレベル1と認定したグローバルな加盟店」のことで、PCI DSSの中では最大規模の加盟店に位置付けられるものです。

　レベル1加盟店は準拠期限が間近に迫っており、VISAはそれ以降、必要なリスク管理施策を展開する予定です。例えばアクワイアラ（クレジットカードの加盟店獲得と管理業務を行う事業者）から、レベル1加盟店のバリデーション完了証明書が提出されない場合は、罰金を科すこともあるとしています。

　ところが、期限が迫っているにもかかわらず、加盟店の対応は遅れているのが実情です。2010年3月に米国の情報管理調査会社Ponemon Instituteが発表したPCI DSSに関するレポートによると、41％の企業がPCI DSSで述べられている条件を完全にクリアすることができずに、何らかの代替策をQSA（Qualified Security Assessor：認定セキュリティ評価機関）に認めてもらって、急場しのぎせざるを得ない状況にあるとされています。

　完全対応できない加盟店が半数近くある現状を考えると、PCI DSSの内容が追加・修正されたり、代替策が認められる期間も延長される可能性もありますが、最終的には、代替策ではない“完全な対応策”でPCI DSS準拠を進める必要があります。その実現のためにも、データベースセキュリティ製品を上手に活用していくことを視野に入れて、対策を早急に推進することをお勧めします。

　クレジットカード情報を処理、保存するのに使用される情報インフラストラクチャがセキュアであると保証することにおいて、データベース監査・モニタリングは必要不可欠な対策です。データベースセキュリティ製品が持つ監査・リスク診断、モニタリングといった機能をフル活用することによって、PCI DSS対応はぐっと楽になります。

データベース監査で対応するPCI DSSの要件

　PCI DSSにはクレジットカード情報を保護するために、6つの目的（達成すべきカテゴリ）、および12の要件が定義されています。これらの要件は、すべてのシステムコンポーネントに適用されます。つまり、「カード会員データ環境」（CDE：Cardholder Data Environment）に含まれる、またはこれに接続するすべてのネットワークコンポーネント、サーバ、あるいは各種アプリケーションのすべてが要件の評価範囲となります。

　カード会員データ環境とは、カード会員データまたはセンシティブ認証データ（カードの磁気ストライプ情報など）を保有するネットワークの一部です。ネットワークコンポーネントにはファイアウォール、スイッチ、ルータ、ワイヤレスアクセスポイント、ネットワーク機器、そのほかのセキュリティ機器などが含まれますが、これらに限定されるわけではありません。また、サーバタイプには、Webサーバ、アプリケーション、データベース、認証、メール、プロキシ、ネットワークタイムプロトコル（NTP）、ドメインネームサーバ（DNS）などが含まれますが、これらに限定されるわけではありません。アプリケーションには、内部および外部（インターネット）アプリケーションなど、すべての市販およびカスタムアプリケーションが含まれます。

　PCI DSSはネットワークコンポーネントすべてにかかわる要件とはいえ、クレジットカード情報が蓄積されるのはデータベースシステムや分析用のデータウェアハウスシステムです。従って、データベースセキュリティをいかに効果的に実装するかが大きなウエイトを占めます。

　そこで、これまで連載で解説してきたデータベースセキュリティ製品が、この12のPCI DSS要件の中で、どの部分で機能的役割を果たすことができるのか、要件に沿って実例を挙げてみたいと思います。

1/3

Index
PCI DSS準拠のためにデータベースができること
	Page 1 完全対応の期限が迫るPCI DSS データベース監査で対応するPCI DSSの要件
	Page 2 要件1：カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること 要件3：保存されるカード会員データを保護すること 要件6：安全性の高いシステムとアプリケーションを開発し、保守すること 要件7：カード会員データへのアクセスを、業務上必要な範囲内に制限すること 要件10：ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
	Page 3 DBセキュリティ製品は体制確立の一手段として活用可能

ここがポイント！ DBセキュリティの実装

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード