banner

タレス eセキュリティ/FAQ/PCI DSSコンプライアンス/カード会員データに対するアクセスをモニタリングする方法はありますか?(PCI DSS要件10)

タレス eセキュリティ/FAQ/PCI DSSコンプライアンス/カード会員データに対するアクセスをモニタリングする方法はありますか?(PCI DSS要件10)

 

データの読み取り・更新・削除が行われた方法や時刻に関する正確な情報がなければ、システムに対する攻撃を識別するのが困難になります。また、データ漏洩など、何か問題が発生したときに調査するための情報が得られません。

そのため、PCI DSS要件10では、包括的な監査ログの保存、モニタリング、保持が求められています。

監査証跡を維持する

PCI DSSでは、すべてのシステムコンポーネントを対象に、特定のアクティビティ、特にデータの読み取り、書き込み、変更(PCI DSS要件10.2を参照)を行う際は、自動監査証跡に記録することが求められています。対象となるコンポーネントには、ファイアウォール、侵入検知/侵入防止システム、認証サーバなど、外部と接続しているテクノロジーやセキュリティシステムが含まれます。

また、この基準では、すべてのデータアクセスを対象として、誰が、何を、どこで、いつ、どのようにアクセスしたのかを把握できるように、情報を記録する方法についても示されています。たとえば、特権ユーザーが権限を昇格させてからデータにアクセスしようとしている場合などは特に、rootユーザーや管理者ユーザーのアクセスをログに記録する必要があります。

PCI DSS要件10.4では、すべてのカード会員データ環境のシステムコンポーネントに対して、正確な時刻同期データを受信するように設定することも求められています。まだこの機能を備えていない場合は、システムのアップグレードが必要となることがあります。

ログに記録すべき重要な情報として、失敗したアクセス試行があります。特に、アクセスログに多数のエントリがある場合は、ブルートフォース攻撃や継続的パスワード類推攻撃を示す指標となります。また、アクセス権限の昇格や、認証制限の緩和、ログの一時無効化、ソフトウェアの置き換えなど、各種の追加や削除についても記録する必要があります(マルウェアの兆候の可能性があります)。

不正なログ編集を防ぐ

監査ログを作成した後は、ログを変更できないように、確実にログを保護する必要があります。そのためには、PCI DSSに記載されているログ一元管理ソリューション(PCI DSS要件10.5.3を参照)を使用する必要があります。また、このソリューションに対するアクセスは制限し、十分な容量を確保します。具体的には、カード会員データ環境内のすべてのシステムコンポーネントから収集したログデータを少なくとも90日分保持し、それ以上の期間については、1年分までは必要に応じて復元可能な状態にしておくことが必要です。

セキュリティを定期的に検証する

必要な詳細情報が生成されて一元的に保存され、不正なアクセスや編集から保護されていることを確認することに加え、少なくとも1日に1回は、ログとセキュリティイベントをモニタリングする必要があります。また、アラートが発生した場合は、昼夜を問わずただちに確認する必要があります(PCI DSS要件10.6および12.10.3を参照)。この要件は、不審なアクティビティや異常を識別するうえで役立ちます。

一元的ログ収集ソリューションの実装を検討する際は、将来の容量を考慮することと、レポート作成ツールを組み込むことをおすすめします。

注:この資料は、「 誰でもわかるPCIコンプライアンスとデータ保護、タレス eセキュリティリミテッドエディション」(Ian Hermon/Peter Spier著)から抜粋したものです。

関連記事