PCI DSS対策:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視! ALog (エーログ) シリーズ

PCI DSSとは

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、
クレジットカード業界のセキュリティ基準です。
12 の「要件」として文書化されています。

Payment Card Industry Data Security Standard の頭文字をとったもので、
国際カードブランド5社 (American Express、Discover、JCB、MasterCard、VISA) が共同で設立した
PCI SSC (Payment Card Industry Security Standards Council) によって運用、管理されています。

「日本カード情報セキュリティ協議会」 HP より

対象となる企業

カード情報を「保存、処理、または伝送する」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS に準拠する必要があります。
またカード取引量が PCI DSS 準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。

「日本カード情報セキュリティ協議会」 HP より

業界例
金融業クレジットカード会社、クレジットカード発行金融機関
流通業大手百貨店、スーパー、量販店、鉄道、航空会社
通信/メディア/公共携帯電話会社、通信会社、ユーティリティ、新聞
製造業石油業界 他

PCI DSS をめぐる最近の動向

対応するなら、今しかない!!

2017年3月8日、経済産業省から

クレジットカード取引におけるセキュリティ対策の強化に向けた
「実行計画 2017」

が策定されました。
この中で、EC 加盟店は2018年3月末までにクレジットカード情報の非保持化を推進することが求められており、
カード情報を保持する場合は「PCI DSS 準拠」が定められています。
(カード会社および PSP (Payment Service Provider) については、一律でPCI DSSの準拠が必要)

また対面加盟店においても、 2018年3月末までの対応を基本とし、最終的には全加盟店が2020年3月末までにカード情報の適切な保護に関する対応
(非保持化又はPCI DSS準拠)が完了している状態になっていることを目指しています。

PCI DSS 12の要件と ALog シリーズの位置づけ

全要件を満たせるセキュリティ製品はありません。

ALogシリーズは「要件10」へ対応します。

要件 1カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件 2システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
要件 3保存されるカード会員データを保護する
要件 4オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
要件 5すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件 6安全性の高いシステムとアプリケーションを開発し、保守する
要件 7カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件 8システムコンポーネントへのアクセスを識別・認証する
要件 9カード会員データへの物理アクセスを制限する
要件 10
要件 11セキュリティシステムおよびプロセスを定期的にテストする
要件 12すべての担当者の情報セキュリティに対応するポリシーを維持する
お問い合わせ

PCI DSS v3.2 要件10に対するALogシリーズ製品の対応

PCIDSS要件 ALog 製品の要件への対応状況
10.1 システムコンポーネントへのすべてのアクセスを各ユーザにリンクする監査証跡を確立する。 OS、アプリケーション、ネットワーク機器等あらゆるシステムコンポーネントからログを収集し、アクセスログ(監査証跡)として保持します。
ユーザーやホスト名、操作などをキーにした検索により、特定のユーザーまで追跡することができます。
10.2 次のイベントを再現するために、すべてのシステムコンポーネントの自動監査証跡を実装する。 対象となるサーバ並びにネットワーク機器からログを収集することで、監査設定に従って、自動的にアクセスログ(監査証跡)に変換できます。
10.2.1 カード会員データへのすべての個人アクセス。 ファイルサーバ上のデータに対しては、ALog ConVerter、DBサーバ上のデータであれば、ALog ConVerter DB、アプリケーションを介したデータアクセスの場合、ALog EVAで、個人アクセスの履歴を管理することができます。
10.2.2 ルート権限または管理権限を持つ個人によって行われたすべてのアクション。 Windowsサーバ管理者やドメイン管理者のアクションの履歴はALog ConVerter for Winsowsで、DBサーバ管理者はALog ConVerter DBで管理することができます。
上記以外の管理者によるアクションは、ALog EVAで管理することができます。
10.2.3 すべての監査証跡へのアクセス。 ALog ConVerterのマネージャーサーバ(Windows OS)を監査対象とすることで、監査証跡へのアクセス履歴を管理できます。
10.2.4 無効な論理アクセス試行。 OSやアプリケーションへのログインの失敗、データファイルやDB上のデータへのアクセスの失敗など、無効な論理アクセス履歴を管理することができます。
10.2.5 識別と認証メカニズムの使用および変更(新しいアカウントの作成、特権の昇格を含むがこれらに限定されない)、およびルートまたは管理者権限をもつアカウントの変更、追加、削除のすべて。 Windowsサーバやドメインへのログオン履歴は、ALog ConVerter for Windowsで管理することができます。
また、Windowsサーバ管理者やドメイン管理者によるアカウントの変更等は、ALog ConVerter for Windowsで、DBサーバ管理者の場合はALog ConVerter DBで管理することができます。
上記以外の管理者によるアカウントの変更等は、ALog EVAで管理することができます。
10.2.6 監査ログの初期化、停止、一時停止。 監査ログの初期化や停止、一時停止の操作に関するログ、または監査ログの出力設定ファイルへの操作ログを収集することにより、監査ログ出力に対する設定変更等の履歴を管理することができます。
10.2.7 システムレベルオブジェクトの作成および削除。 フォルダ(ディレクトリー)やファイルの作成や削除等の履歴は、ALog ConVerterで管理することができます。
データベーステーブルなどの作成や削除等の履歴は、ALog ConVerter DBで管理することができます。
上記以外のシステムレベルオブジェクトの作成および削除等の履歴については、ALog EVAで管理することができます。
10.3 イベントごとに、すべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録する。 ALogシリーズ製品ではPCI DSS v3.2が要求する監査証跡エントリを含んだアクセスログ(監査証跡)を保持することができます。
10.3.1 ユーザ識別 ALogシリーズ製品では、「ユーザ識別」、「イベントの種類」、「日付と時刻」、「成功又は失敗を示す情報」及び、「イベント発生元」といった監査証跡エントリを含むアクセスログ(監査証跡)を保持することができます。
10.3.2 イベントの種類
10.3.3 日付と時刻
10.3.4 成功または失敗を示す情報
10.3.5 イベントの発生元
10.3.6 影響を受けるデータ、システムコンポーネント、またはリソースの ID、または名前。 あらゆるOSやアプリケーション、ネットワーク機器から収集し、変換したアクセスログ(監査証跡)を一元的に管理することができ、それらを検索、レポート等により分析することで、影響を受けるデータ、システムコンポーネント、またはリソースIDやリソース名称を識別することができます。
10.4 時刻同期技術を使用してすべての重要なシステムクロックおよび時間を同期し、時間を取得、配布、保存するために以下の要件が実施されていることを確実にする。
注:ネットワークタイムプロトコル(NTP)は、時刻同期技術の一例である。
ALog ConVerterのマネージャーサーバはOS(Windows)の時刻を参照していますので、OS側の設定によるため、対象外となります。
10.4.1 重要な情報システムが正確で一貫性のある時刻をもっている。 同上
10.4.2 時刻データが保護されている。 同上
10.4.3 時刻設定は、業界で認知されている時刻ソースから受信されている。 同上
10.5 変更できないよう監査証跡をセキュリティで保護する。 ALogシリーズ製品では、アクセスログ(監査証跡)を暗号化ファイルとして複数の領域に保管することができます。
10.5.1 仕事関連のニーズを持つ個人に、監査証跡の表示を制限する。 ALogシリーズ製品では、管理権限の他に検索やレポート参照等の権限が用意されており、必要な監査証跡に対してのみ検索等ができるよう制御することができます。
10.5.2 監査証跡ファイルを不正な変更から保護する。 ALogシリーズ製品では、アクセスログ(監査証跡)を暗号化ファイルとして複数の領域に保管することができます。
10.5.3 監査証跡ファイルは、変更が困難な一元管理ログサーバまたは媒体に即座にバックアップする。
10.5.4 外部に公開されているテクノロジのログを、安全な一元管理の内部ログサーバまたは媒体デバイス上に書き込む。 ALogシリーズ製品では、外部に公開しているサーバ等のログも収集し、変換することができます。変換したアクセスログ(監査証跡)は、暗号化したファイルとして複数の領域に保管することができます。
10.5.5 ログに対してファイル整合性監視または変更検出ソフトウェアを使用して、既存のログデータを変更すると警告が生成されるようにする(ただし、新しいデータの追加は警告を発生させない)。 アクセスログ(監査証跡)を監査対象とすることで、アクセスの履歴を管理し、不正な変更を識別することができます。
10.6 すべてのシステムコンポーネントのログとセキュリティイベントを調べ、異常や怪しい活動を特定する。
注:この要件に準拠するために、ログの収集、解析、および警告ツールを使用することができます。
ALogシリーズ製品では、監視レポート機能が標準機能として実装されており、異常や怪しい活動と見なす条件を設定することができます。
また、その条件に合致するアクセスログ(監査証跡)が発見された場合は、管理者へのメール通知や該当するアクセスログ(監査証跡)のレポート送付ができます。
10.6.1 毎日一度以上以下をレビューする。
  • すべてのセキュリティイベント
  • CHDやSADを保存、処理、または送信するすべてのシステムコンポーネントのログ
  • すべての重要なシステムコンポーネントのログ
  • すべてのサーバとセキュリティ機能を実行するシステムコンポーネント(ファイアウォール、侵入検出システム/侵入防止システム(IDS/IPS)、認証サーバ、電子商取引リダイレクションサーバなど)のログ
該当するシステムコンポーネントのログを収集、変換したアクセスログ(監査証跡)から、あらかじめ設定した条件に合致するアクセスログ(監査証跡)が存在しないか、自動でチェック(レビュー)することができます。
10.6.2 組織のポリシー、および年間リスク評価によって決定されたリスク管理戦略に基づいて他のシステムコンポーネントすべてのログを定期的にレビューする。 ALogシリーズ製品では、組織のポリシーに従って、定期的なリスク評価やリスク管理状況の報告に必要となるレポートを日次、週次、月次、または特別な条件で出力することができます。
また、レポートは管理者へ送付するほか、任意の領域に出力することもできます。
10.6.3 レビュープロセスで特定された例外と異常をフォローアップする。 例外や異常など重点的にフォローアップする必要のある事象に対しては、監査対象の追加や条件を絞ったレポート出力などALogシリーズ製品の監査機能や検索、レポート機能等で管理することができます。
10.7 監査証跡の履歴を少なくとも1年間保持する。少なくとも3ヵ月はすぐに分析できる状態にしておく(オンライン、アーカイブ、バックアップから復元可能など)。 ALogシリーズ製品では、アクセスログ(監査証跡)を検索用DBにも保持しています。検索用DBでのアクセスログ(監査証跡)の保持期間は任意に指定できます。
また、検索用DBからアクセスログ(監査証跡)を削除してしまっても、ファイル出力したアクセスログ(監査証跡)を検索用DBにインポートすることで、すぐに復元することができます。
10.8 サービスプロバイダのための追加要件:重要なセキュリティ制御システムの障害のタイムリーな検出および報告のためのプロセスを実装する、障害には以下を含むがこれらに限定されない:
  • ファイアウォール
  • IDS/IPS
  • ファイル整合性監視
  • アンチウイルス
  • 物理アクセス制御
  • 論理アクセス制御
  • 監査ログメカニズム
  • セグメンテーション制御(使用している場合)
注:この要件は、2018年1月31日までベストプラクティスと見なされ、以降は要件になる。
セキュリティ制御システムの障害検知に関する要件のため対象外となります。
10.8.1 サービスプロバイダのための追加要件:すべての重要なセキュリティ制御の障害についてタイムリーに対応する。セキュリティ制御の障害に対応するためのプロセスには以下を含む:
  • セキュリティ機能の復旧
  • セキュリティ障害の期間(開始から終了までの日付時刻)の識別、および文書化
  • 根本原因を含む障害の原因の識別と文書化、および根本原因に対応する改善案の文書化
  • 障害中に発生したすべてのセキュリティ問題の識別、および対応
  • セキュリティ障害の結果としてさらなる活動が必要かどうか判断するためのリスク評価の実施
  • 再発防止策の実装
  • セキュリティ制御の監視の再開
注:この要件は2018年1月31日までベストプラクティスと見なされ、以降は要件になる。
セキュリティ制御の障害に対する人的対応、文書化等に関する要件のため対象外となります。
10.9 ネットワークリソースとカード会員データへのすべてのアクセスを監視するためのセキュリティポリシーと操作手順が文書化され、使用されており、影響を受ける関係者全員に知られていることを、確実にする。 セキュリティポリシーと操作手順の文書化要求のため対象外となります。

ALog(エーログ)シリーズとは

ALog ConVerterをはじめとしたALogシリーズ製品は、重要データへのアクセス記録をエージェントレスで取得する製品です。
エンドポイントに依存せず、サーバ群から得た情報をもとにセキュリティインシデントを検知および追跡するシステムとして、発売以来常にサーバログ市場国内シェアトップの実績を誇ります。

PCIDSS対策 お問い合わせ

Back to TOP