banner

カード会員データに対するアクセスをモニタリングする方法はありますか?(PCI DSS要件10)

カード会員データに対するアクセスをモニタリングする方法はありますか?(PCI DSS要件10)

 

データの読み取り・更新・削除が行われた方法や時刻に関する正確な情報がなければ、システムに対する攻撃を識別するのが困難になります。また、データ漏洩など、何か問題が発生したときに調査するための情報が得られません。

そのため、PCI DSS要件10では、包括的な監査ログの保存、モニタリング、保持が求められています。

監査証跡を維持する

PCI DSSでは、すべてのシステムコンポーネントを対象に、特定のアクティビティ、特にデータの読み取り、書き込み、変更(PCI DSS要件10.2を参照)を行う際は、自動監査証跡に記録することが求められています。対象となるコンポーネントには、ファイアウォール、侵入検知/侵入防止システム、認証サーバなど、外部と接続しているテクノロジーやセキュリティシステムが含まれます。

また、この基準では、すべてのデータアクセスを対象として、誰が、何を、どこで、いつ、どのようにアクセスしたのかを把握できるように、情報を記録する方法についても示されています。たとえば、特権ユーザーが権限を昇格させてからデータにアクセスしようとしている場合などは特に、rootユーザーや管理者ユーザーのアクセスをログに記録する必要があります。

PCI DSS要件10.4では、すべてのカード会員データ環境のシステムコンポーネントに対して、正確な時刻同期データを受信するように設定することも求められています。まだこの機能を備えていない場合は、システムのアップグレードが必要となることがあります。

ログに記録すべき重要な情報として、失敗したアクセス試行があります。特に、アクセスログに多数のエントリがある場合は、ブルートフォース攻撃や継続的パスワード類推攻撃を示す指標となります。また、アクセス権限の昇格や、認証制限の緩和、ログの一時無効化、ソフトウェアの置き換えなど、各種の追加や削除についても記録する必要があります(マルウェアの兆候の可能性があります)。

不正なログ編集を防ぐ

監査ログを作成した後は、ログを変更できないように、確実にログを保護する必要があります。そのためには、PCI DSSに記載されているログ一元管理ソリューション(PCI DSS要件10.5.3を参照)を使用する必要があります。また、このソリューションに対するアクセスは制限し、十分な容量を確保します。具体的には、カード会員データ環境内のすべてのシステムコンポーネントから収集したログデータを少なくとも90日分保持し、それ以上の期間については、1年分までは必要に応じて復元可能な状態にしておくことが必要です。

セキュリティを定期的に検証する

必要な詳細情報が生成されて一元的に保存され、不正なアクセスや編集から保護されていることを確認することに加え、少なくとも1日に1回は、ログとセキュリティイベントをモニタリングする必要があります。また、アラートが発生した場合は、昼夜を問わずただちに確認する必要があります(PCI DSS要件10.6および12.10.3を参照)。この要件は、不審なアクティビティや異常を識別するうえで役立ちます。

一元的ログ収集ソリューションの実装を検討する際は、将来の容量を考慮することと、レポート作成ツールを組み込むことをおすすめします。

タレスのPCIDSS準拠支援ソリューション

  • CipherTrust Transparent Encryption (CTE:透過的暗号)
    タレスのCipherTrust Transparent Encryption (通称CTE)は、オンプレミス、マルチクラウド、ビッグデータ内、コンテナ環境のどこに機密データが保管されていても透過的に暗号化し、一元的な暗号鍵管理と特権ユーザーアクセス制御により保護します。きめ細かなアクセス制御と、アクセスログにより、カード会員データに対する履歴の監査データを取得することができます。
  • 統合暗号・暗号鍵管理プラットフォーム (CipherTrust Data Security Platform)
    クラウドやデータベース、ストレージ、サーバーなど様々な場所に散財する機密情報の暗号化を統合管理するプラットフォームです。その核となる暗号鍵管理アプライアンス(CipherTrust Manager)はFIPS140-2に準拠した、仮想アプライアンスと物理アプライアンスで暗号化、トークン化の暗号鍵を保管管理します。
  • タレスデータセキュリティポートフォリオ
    タレスは、クラウド、オンプレミスを含むあらゆるハイブリッドIT環境における機密データを、検出・保護・制御の一連のサイクルによって保護します。データそのものを暗号化やトークン化によって秘匿化するため、例えデータ流出やハッキングが行われても、情報の価値は保護されます。