第7回 要件の目的をつかみ、要件を読み取るために


川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP

2009/12/25
審査や準拠に向けての文書確認を行うとき、判断の決め手になるのは「PCI DSSナビゲート」。きっとすべてのシステムで役立ちます(編集部)

 要件の目的をつかむには

 ここのところPCI DSS関連のニュースは目立ったものがありませんでした。実際にPCI DSS対応が必要な企業では、すでにさまざまな対策を取っていることと思います。ある対策を取るとき、QSAの判断を仰ぐのは1つの重要なポイントになるものの、やはりその業務システムのことを一番理解しているのは、対策を実施する企業自身であることには間違いありません。各要件で低減させようとしている「本当のリスク」はどのようなものなのかを理解し、運用を見据えた効率的な対策方法をご検討いただければと思います。

 今回はまず、要件を理解するために役に立つ文書として、PCI SSCが公開している「Navigating PCI DSS」(PCI DSSナビゲート)を紹介したいと思います。PCI DSSナビゲートとは、要件の目的の理解のための文書です。筆者も、特定の要件と対策について考えるとき、もしくは代替コントロールを検討する必要があるときには、必ずこの文書を読み返します。

【参考】
Supporting Documents PCI DSS V1.2
Navigating PCI DSS Document
https://www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml

 例えば、PCI DSSバージョン1.2で更新された点として、ウイルス対策ソフトの導入対象の変更がありました。バージョン1.1では、「UNIX系システムは通常含まない」と記載されていたのに対し、バージョン1.2ではその記載が消えました。

◆バージョン1.1 要件5.1:

 ウイルスによる影響を受けやすいすべてのシステム(特にPCとサーバ)には、アンチウイルス・ソフトウェアを導入する。
注:ウイルスに影響を受けやすいシステムには、一般的にはUNIXベースのオペレーティング・システムやメインフレームを含まない。


◆バージョン1.2 要件5.1:

 悪意のあるソフトウェアの影響を受けやすいすべてのシステム(特にパーソナルコンピュータとサーバ)に、ウイルス対策ソフトを導入する。

 しかし、PCI DSSナビゲートの該当個所には、下記の記載があります。

 通常、次のオペレーティングシステムは悪意のあるソフトウェアによって一般的に影響を受けません:

 メインフレーム、特定の UNIX サーバ(AIX、Solaris、HP-UNIXなど)。ただし、悪意のあるソフトウェアの業界での傾向は急速に変化する可能性があり、各組織は要件6.2に従って新しいセキュリティの脆弱性を識別して対応し、構成基準およびプロセスを適宜更新する必要があります。

 PCI DSS要件そのものからはウイルス対策ソフトの導入対象として「UNIXベースのシステムやメインフレームを含まない」という記載が消えたため、UNIXベースのシステムやメインフレームも対象になったのかと考えてしまいそうです。しかしPCI DSSナビゲートを読むと、そういうわけではないということが読み取れます。

 話が少しそれますが、PCI DSS対応という観点では、ウイルス対策ソフトの導入対象として、Windowsのクライアントおよびサーバでは導入必須と考えてください。内部に存在するか、外部(インターネットなど)に面しているかは関係ありません。上記PCI DSSナビゲートに従えば、LinuxやMac OSなどは悪意のあるソフトウェアによって影響を受けるOSとしては挙げられていないため、ウイルス対策ソフト導入の対象となりそうですが、このようなあいまいさが残る部分は、実環境におけるリスクと照らし合わせて検討する必要があるでしょう。

1/3

Index
要件の目的をつかみ、要件を読み取るために
Page1
要件の目的をつかむには
  Page2
要件の読み取り方とテスト手順
テスト手順に1つずつ項目が記載されているケース
  Page3
テスト手順に複数の項目が存在するケース


オール・ザッツ・PCI DSS 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間