Tweet

第7回 要件の目的をつかみ、要件を読み取るために

審査や準拠に向けての文書確認を行うとき、判断の決め手になるのは「PCI DSSナビゲート」。きっとすべてのシステムで役立ちます（編集部）

　要件の目的をつかむには

　ここのところPCI DSS関連のニュースは目立ったものがありませんでした。実際にPCI DSS対応が必要な企業では、すでにさまざまな対策を取っていることと思います。ある対策を取るとき、QSAの判断を仰ぐのは1つの重要なポイントになるものの、やはりその業務システムのことを一番理解しているのは、対策を実施する企業自身であることには間違いありません。各要件で低減させようとしている「本当のリスク」はどのようなものなのかを理解し、運用を見据えた効率的な対策方法をご検討いただければと思います。

　今回はまず、要件を理解するために役に立つ文書として、PCI SSCが公開している「Navigating PCI DSS」（PCI DSSナビゲート）を紹介したいと思います。PCI DSSナビゲートとは、要件の目的の理解のための文書です。筆者も、特定の要件と対策について考えるとき、もしくは代替コントロールを検討する必要があるときには、必ずこの文書を読み返します。

　例えば、PCI DSSバージョン1.2で更新された点として、ウイルス対策ソフトの導入対象の変更がありました。バージョン1.1では、「UNIX系システムは通常含まない」と記載されていたのに対し、バージョン1.2ではその記載が消えました。

　しかし、PCI DSSナビゲートの該当個所には、下記の記載があります。

　PCI DSS要件そのものからはウイルス対策ソフトの導入対象として「UNIXベースのシステムやメインフレームを含まない」という記載が消えたため、UNIXベースのシステムやメインフレームも対象になったのかと考えてしまいそうです。しかしPCI DSSナビゲートを読むと、そういうわけではないということが読み取れます。

　話が少しそれますが、PCI DSS対応という観点では、ウイルス対策ソフトの導入対象として、Windowsのクライアントおよびサーバでは導入必須と考えてください。内部に存在するか、外部（インターネットなど）に面しているかは関係ありません。上記PCI DSSナビゲートに従えば、LinuxやMac OSなどは悪意のあるソフトウェアによって影響を受けるOSとしては挙げられていないため、ウイルス対策ソフト導入の対象となりそうですが、このようなあいまいさが残る部分は、実環境におけるリスクと照らし合わせて検討する必要があるでしょう。

1/3

Index
要件の目的をつかみ、要件を読み取るために
	Page1 要件の目的をつかむには
	Page2 要件の読み取り方とテスト手順 テスト手順に1つずつ項目が記載されているケース
	Page3 テスト手順に複数の項目が存在するケース

オール・ザッツ・PCI DSS 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード