Tweet

第5回 カード情報システムでのIIS、QSAはどう見る？

第4回ではPCI DSSの視点でApacheの設定をチェックしました。今回はもうひとつのポピュラーなネットワークサービスであるIISを題材に、設定のポイントを確認しましょう（編集部）

　本題に入る前に、PCI SSC発信の有益な情報がありますので、ここで紹介させていただきます。PCI DSS バージョン1.2が複数言語で利用可能になり、これには日本語版も含まれています。

　バージョン1.1までは「基準」の部分と「手順」の部分が分かれていましたが、バージョン1.2からはこれらは統合され、1つの文書となりました。“PCI DSS Version 1.2 launched October 1, 2008”の下にある“Japanese:pdf”というリンクが張られているファイルがいわゆるPCI DSSバージョン1.2の日本語版です。

　PCI DSSに準拠するには、システム面のみならず、ポリシーや標準、手順書などの文書、物理セキュリティなどさまざまな範囲に対して、網羅的に対策を実施することが必要です。対策の抜けをゼロに近づけるためには、PCI DSSを読み、理解し、そしてあらためて自組織の環境を見直したときに「漏れに気付く」ことが必要です。ぜひ、この文書を読み通すことをお勧めいたします。

　QSAの視点――IIS編

　第4回「Apacheセキュリティチェック、PCI DSSの場合」では、QSA（セキュリティ評価ベンダ）によるPCI DSS訪問調査における現場でのシステムの確認方法をご紹介しました。しかし、カード情報を取り扱うシステムでは、Windows Server群で構成され、WebサーバとしてIISが使用されている、ということが少なくありません。今回は、Windows、IISの場合はどのように調査が行われるのかをご紹介したいと思います【注】。

　さて、IISというと、頭に浮かぶのはWebサーバかもしれません。確かにエラーページなどで一般的によく目にするのはWebサーバなのですが、IISが“インターネット・インフォメーション・サービス”の頭文字語であることからも分かるとおり、さまざまなネットワークサービスの集まりのことを指しており、実際には下記のようなコンポーネントを含んでいます（下記ですべてというわけではありません）。

• FTPサービス
• NNTPサービス
• SMTPサービス
• WWWサービス
• IISマネージャ

図1　IISとしてインストールされるコンポーネント

　前回までの記事をご覧いただいている方はすでにピンときているかもしれませんが、IISのインストールを行う時点で、手順を間違うと「不要なサービス」もインストールしてしまう可能性があるということです。特にWebサーバはDMZ上に配置することが多いですから、不要なサービスを稼働させないことは、より重要になってくるわけです。しかしファイアウォールで不要な通信を遮断していれば不要なサービスが稼働していてもアクセスできないのではないか、と思われるかもしれませんが、多層防御の考え方でもご紹介したとおり、複数の層で重ねて保護を行うことが重要です。

1/4

Index
カード情報システムでのIIS、QSAはどう見る？
	Page1 QSAの視点――IIS編
	Page2 稼働サービスの確認 -1．サービス一覧で確認 -2．netstatで確認 -3．IISマネージャで確認
	Page3 IIS設定の確認 -1．不要なコンテンツが存在しないか -2．ログ設定 -3．ファイル名拡張子マッピングの設定
	Page4 セキュリティ標準をお忘れなく

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード