第5回 カード情報システムでのIIS、QSAはどう見る?


川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP

2009/1/29
第4回ではPCI DSSの視点でApacheの設定をチェックしました。今回はもうひとつのポピュラーなネットワークサービスであるIISを題材に、設定のポイントを確認しましょう(編集部)

 本題に入る前に、PCI SSC発信の有益な情報がありますので、ここで紹介させていただきます。PCI DSS バージョン1.2が複数言語で利用可能になり、これには日本語版も含まれています。

【関連リンク】
PCI DSS v1.2 Now Available in Multiple Languages
https://www.pcisecuritystandards.org/security_standards/
pci_dss_download_agreement.html


※リンク先ページはNDA(機密保持契約)がありますので、ダウンロードする場合はこちらに同意する必要があります。

 バージョン1.1までは「基準」の部分と「手順」の部分が分かれていましたが、バージョン1.2からはこれらは統合され、1つの文書となりました。“PCI DSS Version 1.2 launched October 1, 2008”の下にある“Japanese:pdf”というリンクが張られているファイルがいわゆるPCI DSSバージョン1.2の日本語版です。

 PCI DSSに準拠するには、システム面のみならず、ポリシーや標準、手順書などの文書、物理セキュリティなどさまざまな範囲に対して、網羅的に対策を実施することが必要です。対策の抜けをゼロに近づけるためには、PCI DSSを読み、理解し、そしてあらためて自組織の環境を見直したときに「漏れに気付く」ことが必要です。ぜひ、この文書を読み通すことをお勧めいたします。

 QSAの視点――IIS編

 第4回「Apacheセキュリティチェック、PCI DSSの場合」では、QSA(セキュリティ評価ベンダ)によるPCI DSS訪問調査における現場でのシステムの確認方法をご紹介しました。しかし、カード情報を取り扱うシステムでは、Windows Server群で構成され、WebサーバとしてIISが使用されている、ということが少なくありません。今回は、Windows、IISの場合はどのように調査が行われるのかをご紹介したいと思います【注】

【注】
ただし、アプリケーションの稼働するシステムやその周辺の物理的/論理的環境、運用方法などに依存する、また、審査を行うQSAによっては調査の手法に差異が見られる、といった可能性もありますので、あくまでご参考にとどめていただき、実際の環境に照らし合わせたときにどうすべきか、皆さまの環境で確認していただく必要があります。

 さて、IISというと、頭に浮かぶのはWebサーバかもしれません。確かにエラーページなどで一般的によく目にするのはWebサーバなのですが、IISが“インターネット・インフォメーション・サービス”の頭文字語であることからも分かるとおり、さまざまなネットワークサービスの集まりのことを指しており、実際には下記のようなコンポーネントを含んでいます(下記ですべてというわけではありません)。

  • FTPサービス
  • NNTPサービス
  • SMTPサービス
  • WWWサービス
  • IISマネージャ
図1 IISとしてインストールされるコンポーネント

 前回までの記事をご覧いただいている方はすでにピンときているかもしれませんが、IISのインストールを行う時点で、手順を間違うと「不要なサービス」もインストールしてしまう可能性があるということです。特にWebサーバはDMZ上に配置することが多いですから、不要なサービスを稼働させないことは、より重要になってくるわけです。しかしファイアウォールで不要な通信を遮断していれば不要なサービスが稼働していてもアクセスできないのではないか、と思われるかもしれませんが、多層防御の考え方でもご紹介したとおり、複数の層で重ねて保護を行うことが重要です。

1/4

Index
カード情報システムでのIIS、QSAはどう見る?
Page1
QSAの視点――IIS編
  Page2
稼働サービスの確認
-1.サービス一覧で確認
-2.netstatで確認
-3.IISマネージャで確認
  Page3
IIS設定の確認
-1.不要なコンテンツが存在しないか
-2.ログ設定
-3.ファイル名拡張子マッピングの設定
  Page4
セキュリティ標準をお忘れなく


オール・ザッツ・PCI DSS 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH