第3回 PCI DSS v1.2で注目すべき4つの変更点


川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP

2008/11/21
2008年10月にPCI DSSがアップデートされました。このアップデートでは「WEP利用の禁止」という項目が注目を集めていますが、そのほかにもすべてのシステムで検討すべき対策が盛り込まれています。第3回では今回のバージョンアップの内容と、そのアップテートの狙いを解説します(編集部)

 第1回「エンジニアも納得できる“PCI DSS”とは」、第2回「あの手この手で守るべきカード情報、その中身とは?」では、PCI DSSの概要を解説しました。2008年10月にはPCI DSSの最新バージョン1.2がリリースされ、各所で話題になっていますが、第3回はこのバージョン1.2の変更点と対応に当たっての注意点を述べたいと思います。

 基本的な考え方は変わらない

 バージョン1.2の変更点概要は、PCI SSCのWebサイトにPDF形式で公開されています。

【関連リンク】
PCI DSS Summary of Changes v1.2
https://www.pcisecuritystandards.org/pdfs/pci_dss_summary_of_changes_v1-2.pdf

(現在は英語バージョンのみが公開されていますが、公開されている文書は必要に応じて日本語を含む各国語版に翻訳される場合もあります)

 このSummary of Changesには、Requirement(要件番号)、Change(変更内容)、およびType(変更の種類)が一覧表で記載されていますが、Typeだけを見てみても、ほとんどの項目がClarification(明確化)、Explanatory(注釈/説明)、一部、Enhancement(強調)が存在するだけで、要件自体が変更されたり、大幅に厳格化されたりというような変更点はないといえるでしょう。

 バージョン1.2で追加された部分の中で特に目立っているのが、12要件に入る以前のスコープの定義に関する部分です。ネットワークセグメンテーションによるスコープの限定化の重要性やその手法についての解説が増えています。これにより、むやみにPCI DSSに対応しようとするよりも、システムが保持するカード会員データを限定し、一部分に集約させ、周辺の環境から分離させることで、対象のスコープを縮小することが強調されています。

 PCI DSSでは、その要件の具体性から、12要件の内容の一部分に焦点が当てられることが多いのですが、そもそもの目的を考えると「カード会員データを伝送、処理、保管する企業のリスクを減少させること」であるため、これら12要件以前の基本的な考え方を理解することは極めて重要なことです。先日、アメリカのフロリダで、PCI SSCからの情報公開と関連企業のコミュニケーションの場として開催された「PCI SSC Annual Community Meeting」では、やはりPCI DSSの内容やさまざまな情報の発信に先駆けて「そのカード会員データ、不要なら持つな、持つなら徹底的に守れ!」というメッセージが強調されていました。

 とはいえ、PCI DSSの12要件の内容に変化がなかったわけではありません。バージョン1.1の際にQSAや関連する企業から上がったさまざまな声や、技術の進歩/変化に対応して強化されたものや、逆に柔軟性が取り入れられたものもあります。

 バージョン1.2 の変更点のポイント

 バージョン1.2では、Summary of Changesに記載されているとおり、細かいものも含めるとかなりの変更点が見られます。これまでのPCI DSS訪問審査と照らし合わせて影響が比較的大きいと思われる変更点を抜き出して解説します【注】

【注】
日本語訳は筆者独自のものです。PCI SSCから公開された場合はそちらを参照してください

 ポイントその1:WEPの禁止

 バージョン1.1では、無線ネットワーク上でカード会員データを扱う場合、WEP(Wired Equivalent Privacy)だけに頼ることなく、WPA/WPA2、IPsec、SSL/TLSなどを併用することが求められていました。これと併せて、WEPを使用する際の鍵のbit数(104bitのWEP鍵と24bitのIV(初期化ベクタ))、WEP鍵の交換頻度(四半期に1回)なども記載されていました。しかしバージョン1.2では、これらWEP鍵のbit数や交換頻度についての要件は削除され、WEP自体の使用に期限が設けられました。

◆バージョン1.1

4.1.1 無線ネットワークを通してカード会員データを伝送する場合、WiFi保護アクセス(WPAやWPA2)技術、IPsecもしくはSSL/TLSによって暗号化する。無線LAN上での機密性の確保やアクセスを保護するために、WEPだけに頼らない

◆バージョン1.2

4.1.1 無線ネットワークを通してカード会員データを伝送する、もしくはカード会員データ環境に接続する場合、認証と伝送のための強固な暗号化を実装するべく、業界のベストプラクティスを利用する(例:IEEE802.11i)

・新しい無線の実装については、2009年3月31日以降、WEPの実装禁止
・既存の無線の実装については、2010年6月30日以降、WEPの使用禁止

 この変更が意味することは「いいかげん、WEPはやめよう」ということでしょう。WEPはもはや暗号化しないのと同じなのです。WEPが脆弱であることは2001年ころから知られていることであり、いまだWEPに頼ってしまっているのであれば、時代遅れといわざるを得ません。

 なお、バージョン1.1でも「WEPに頼っていればよい」というわけではなかったため、いまの環境が適切にPCI DSSバージョン1.1に対応しているのであれば、大きな環境の変更や設備の導入は不要のはずです。ポイントは、期限が明確に定められたところであり、このような具体的な内容がPCI DSSらしいところでもあります。

1/3

Index
PCI DSS v1.2で注目すべき4つの変更点
Page1
基本的な考え方は変わらない
バージョン1.2 の変更点のポイント
ポイントその1:WEPの禁止
  Page2
ポイントその2:アンチウイルスソフトウェアの対象範囲が拡大
ポイントその3:パッチの適用期限が柔軟に
  Page3
ポイントその4:ペネトレーションテストの対象が明確化
「その要件はなぜ必要?」を考えよう


オール・ザッツ・PCI DSS 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH