Payment Card Industry(PCI) データセキュリティ基準
ログ活用.COM 編集部
更新日:2011/4/4
| タイトル: | Payment Card Industry(PCI) データセキュリティ基準 要件とセキュリティ評価手順 |
|---|---|
| URL: | https://www.pcisecuritystandards.org/security_standards/documents.php |
| 対象: | カード会員情報やカード取引情報の処理、保管、伝送を行う加盟店および関連事業者 |
| 公表: | PCIセキュリティスタンダード協議会(PCI SSC) |
| 公表日/更新日: | 2010年10月28日 (PCI DSS V.2.0) |
PCI DSSとは
PCI DSS(Payment Card Industry Data Security
Standard)とは、カード加盟店やサービスプロバイダ等が取り扱うカード会員情報や取引情報を安全に守るために、国際カードブランド5社(American
Express、Discover、JCB、MasterCard、VISA)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
PCI DSSは、情報セキュリティに関する具体的な対策・実装を要求しており、カード情報を扱う事業者のみならず、多くの企業がセキュリティ基準として採用しています。PCI
DSSには12の要件があり、ログ管理に関する直接的な要件は「要件9」や「要件10」に記載されています。
PCI DSS 12の要件
| 安全なネットワークの構築・維持 | |
|---|---|
| 要件1 | カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
| 要件2 | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
| カード会員データの保護 | |
| 要件3 | 保存されるカード会員データを保護する |
| 要件4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
| 脆弱性管理プログラムの整備 | |
| 要件5 | アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する |
| 要件6 | 安全性の高いシステムとアプリケーションを開発し、保守する |
| 強固なアクセス制御手法の導入 | |
| 要件7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
| 要件8 | コンピュータにアクセスできる各ユーザに一意のIDを割り当てる |
| 要件9 | カード会員データへの物理アクセスを制限する |
| ネットワークの定期的な監視およびテスト | |
| 要件10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡及び監視する |
| 要件11 | セキュリティシステムおよびプロセスを定期的にテストする |
| 情報セキュリティポリシーの整備 | |
| 要件12 | すべての担当者の情報セキュリティポリシーを整備する |
PCI DSS ログ管理要件への対応
PCI DSSで求められるログ管理要件は、単にログを保管しておけば良いという内容ではありません。 下記のように、取得したログを適切にモニタリングできる状態になっているかが問われます。ここでは、ログ管理を行う上で特に注意が必要な内容についてご説明します。
PCI DSS 要件 9.4
| 項番 | PCI DSS要件・テスト手順 | |
|---|---|---|
| 9.4 | 訪問者ログを使用して、訪問者の行動の物理的な監査証跡を保持する。訪問者の名前、所属会社、物理アクセスを承認したオンサイト要員をログに記録する。法律によって別途定められていない限り、このログを少なくとも3カ月間保管する。 | |
| 9.4.a | カード会員データが保存または伝送されるコンピュータルームやデータセンターだけでなく、施設への物理アクセスの記録にも訪問者ログが使用されていることを確認する。 | |
| 9.4.b | ログに訪問者の名前、所属会社、物理アクセスを承認したオンサイト要員が含まれていて、少なくとも3カ月間保管されていることを確認する。 | |
| 9.7 | あらゆる種類の媒体の内部または外部での配布に関して、以下の項目を含め、厳格な管理を維持する。 | |
| 9.7.2 | 施設の外部に送付されるすべての媒体が管理者によってログに記録されて承認され、安全な配達業者または追跡可能なその他の配送方法によって送付されることを確認する。 | |
要件9.4では、サーバやネットワーク機器のみだけでなく、「コンピュータルーム」「データセンター」「施設」への物理アクセスの記録(入退室ログ)も取得する事を求めており、要件9.7.2では、「施設の外部に送付されるすべての媒体が管理者によってログに記録されて承認され」と記載されており、「申請・承認」ログも取得する事を求めています。
サーバやネットワーク機器のログのみでなく、こうした入退室履歴や承認データもログとして保管する事は、インシデントの発見に非常に役立ちますので、必ず対象に含めます。
PCI DSS 要件10.1/10.2
| 項番 | PCI DSS要件 |
|---|---|
| 10.1 | システム・コンポーネントに対するすべてのアクセス(特にルートなどのアドミニストレータ権限を持つユーザによるもの)を個々のユーザーとリンクするための手順を確立する。 |
| 10.2 | すべてのシステム・コンポーネントに対して、以下のイベントを追跡するための手順を確立する 「カード会員データに対する、個人ユーザーによる全てのアクセス」 「ルートまたはアドミニストレータ権限を持つ個人が行った全ての操作」 「すべての監査証跡へのアクセス」 「無効な論理的アクセスの試行」 「識別および認証メカニズムの使用」 「監査ログの初期化」 「システムレベルのオブジェクトの作成と削除」 |
「全てのアクセスを個々のユーザとリンクし、それを追跡するための仕組み作り」への対応は容易ではありません。
各システム上に記録されるログは、そのフォーマットもバラバラで、ユーザIDも異なる体系で記録されている事が多くあります。こうしたログを単に収集・保管しても、ここで求められる要件を満たす事はできません。
対応方法は、「ログのフォーマットやユーザIDの体系を吸収」した上で「ログを一元管理」する事です。具体的には、各ログのフォーマットを調査し、「ユーザID」や「IPアドレス」、「アクセス内容」といった項目について、ログ上の記録位置を認識した上で、必要な情報の付加や変換を行ってログを保管します。
必要な情報の付加や変換とは例えば、ユーザIDがログ毎に異なる体系で記録されているのであれば、それを共通のIDに変換したり、アクセス内容が「0」や「1」といったコードで記録されているのであれば、それに対応する「ログイン」「ログアウト」といった、人間が読んで理解できる情報を付加します。
しかし、こうした内容をユーザ側で調査し、仕組みを一から用意するのは極めて難しいため、これらの機能を持つ「統合ログ管理ツール」を導入するケースが多くなっています。
PCI DSS 要件10.5/10.7
| 項番 | PCI DSS要件 |
|---|---|
| 10.5 | 監査証跡は、改変できないように保護する |
| 10.7 | 監査証跡履歴は、少なくとも1年は保管、最低3ヶ月間はオンラインで閲覧利用できるようにする |
監査証跡であるログを改変できないように保護し、かつ一定期間ログを保管するためには、やはり「ログの一元管理」が必要となります。
各サーバやネットワーク機器上にそのままログを保管する方法では、そのシステムの管理者による改ざんには無防備で、また、ネットワーク機器等はログの保存領域が小さい為、最低3ヶ月という保管要件を満たせない可能性もあります。
これには、ログ管理サーバを設置し、そこにログを転送して一元管理する事で、ログの出力元での改ざんへの対策や、長期保管といった要件に対応する事ができます。また勿論、ログ管理サーバ上でのログの暗号化や、改変防止の為のアクセス制御等は正しく行う必要があります。
「PCI DSS 要件10.1/10.2」のところでも触れましたが、ログを点在したままにしておく事には多くの問題がありますので、いかにして「ログの一元管理」を行うかが極めて重要になります。ここでもやはり、そうした機能を持つ「統合ログ管理ツール」の利用が有効です。
PCI DSS 変更内容
PCI DSSは2004年12月の制定以降バージョンアップを重ねており、最新バージョンは2010年10月公開の「Ver.2.0」となっています。(2012年4月4日現在)
ここでは、ログ管理に関連するPCI DSS要件の変更箇所についてご説明します。
Ver.1.2.1 → Ver.2.0 ログ管理関連の変更内容
| 項番 | PCI DSS要件 | 変更内容・解説 |
|---|---|---|
| 9.4 | (Ver.1.2) 訪問者ログを使用して、訪問者の行動の物理的な監査証跡を保持する。訪問者の名前、所属会社、物理アクセスを承認した従業員 をログに記録する。法律によって別途定められていない限り、このログを少なくとも3カ月間保管する。 |
「従業員(employee)」から「オンサイト担当者(onsite personnel)」に変更され、承認者がより具体的な記述となりました。 |
| (Ver.2.0) 訪問者ログを使用して、訪問者の行動の物理的な監査証跡を保持する。訪問者の名前、所属会社、物理アクセスを承認したオンサイト要員 をログに記録する。法律によって別途定められていない限り、このログを少なくとも3カ月間保管する。 |
||
| 10.4 | (Ver.1.2) すべての重要なシステムクロックおよび時間を同期する。 |
ログに記録されるタイムスタンプが正しくない場合、ログの追跡・分析を正確に行う事は出来ませんので、システムの時刻同期は極めて重要になります。Ver.1.2.1までは時刻同期の要件がやや抽象的だったため、Ver.2.0 では「NTP」という時刻同期技術の例を挙げて説明を具体化しています。 |
| (Ver.2.0) 時刻同期技術を使用してすべての重要なシステムクロックおよび時間を同期し、時間を取得、配布、保存するために以下の要件が実施されていることを確認する。 注:時刻同期技術の一例として、ネットワークタイムプロトコル(NTP)が挙げられる。 |
||
PCI DSS 対応レポート例
PCI DSS 対応レポート一覧
最後に、PCI DSS に対応した企業が、具体的にどういったログ分析レポートを出力しているか、一部ですが例を掲載します。
| レポート | PCI DSS 対応項目 |
レビュー観点 |
|---|---|---|
| ログイン失敗一覧 | 10.2.4 | 一定時間内に複数回連続してログイン失敗したアクセスを確認する。 |
| パスワードの変更履歴一覧 | - | パスワード変更の実施履歴を確認する。 |
| 特権権限への昇格の一覧 | 10.2.4 | 特権権限の昇格者と昇格時間を確認し、通常運用における操作で無い場合は、実行コマンドを 確認する。 |
| 管理者権限の操作履歴一覧 | 10.2.2 | 通常運用における操作で無い場合は、システム管理責任者に妥当性を確認する。 |
| ポリシーの変更の一覧 | 10.2.2 | ポリシーなどが変更されている場合は、システム管理責任者に妥当性を確認する。 |
| ログの消去・初期化 | 10.2.6 | イベントログやsyslogが消去されていないか確認する。 |
| カード会員データへのアクセスの一覧 | 10.2.1 | カード会員データへのアクセス履歴を確認する。 |
| ログへのアクセス履歴の一覧 | 10.2.3 | Logstorageの利用履歴を確認する。ログレビュー時間外でのアクセスが無い事を確認する。 |
| 重要なファイルの作成・削除の一覧 | 10.2.7 | システム環境下のファイル作成及び削除履歴を確認する。 |