PCI DSSコンプライアンスレポート

特権ID管理ソフト

【無料セミナー】キャッシュレス時代に必要なPCI DSS準拠
~アクセス制御に関する要件7と8を特権ID管理ツールと共に解説~

セミナーページへ

PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員のカード情報や取引情報を安全に守るために策定された、クレジットカード事業者およびその加盟店向けの国際セキュリティ基準です。

PCI DSSは、2011年以降、日本国内でも準拠が本格化しています。これに加え、2020年の東京オリンピック開催決定を契機に、セキュリティ強化を促進する目的で経済産業省から「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」が公開され、PCI DSS準拠に向けた動きが更に活発化しました。

Password Manager ProのPCI DSSコンプライアンスレポート

PCI DSSは多面的なセキュリティ基準で「セキュリティ管理」「ポリシー」「手順」「ネットワーク構成」「ソフトウェアデザイン」、その他の重要な保護基準に対する要求が含まれており、下記の6つの目標とそれに関する12のデータセキュリティ要件を定めています。

  • 安全なネットワークの構築と維持
  • カード会員データの保護
  • 脆弱性管理プログラムの確実な保守
  • 強力なアクセス制御手段の実装
  • ネットワークの定期的な監視とテスト
  • 情報セキュリティ・ポリシーの整備

Password Manager Proが生成するPCI DSSコンプライアンスレポートは、共有されたソフトウェアやサービスアカウントのパスワード使用および管理に関連する要件2、要件3、要件7、要件8、要件10、要件12に対応しており、基準を遵守していないユーザーや要件違反の分布グラフなどを確認できます。

要件2:システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

2.1:システムをネットワークに導入する前に、必ずベンダ提供のデフォルト値を変更する
2.3:強力な暗号化を使用して、すべてのコンソール以外の管理アクセスを暗号化する。Web ベースの管理など非コンソール管理アクセスについては、SSH、VPN、または SSL/TLS などのテクノロジを使用します。

要件3:保存されるカード会員データを保護する

3.5.1:鍵へのアクセスを最小限の管理者数に制限する
3.5.2:最小限の場所とフォームで鍵を安全に保管する

要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する

7.1:業務上の要求でアクセスが必要となる個人を除き、コンピューターのリソースやカード所有者の情報へのアクセスを制限する
7.2:ユーザーが知るべきものに対して特別な許可を与えない限りアクセスを制限する、複数ユーザーを含むシステム上の仕組みの確立

要件8:システムコンポーネントへのアクセスを確認・許可する

8.1:システム コンポーネントやカード所有者データへのアクセスをユーザーに許可する前にすべてのユーザーが一意なユーザー名を持つことを識別する
8.2:一意のIDの割り当てに加えて、すべてのユーザーの認証において以下のいずれかの手法を採用する: パスワード / トークン サービス / 生体認証
8.5:すべてのシステム コンポーネントにおいて非コンシューマー ユーザーと管理者のための適切なユーザー認証とパスワード管理を以下のように確保する
8.5.2:パスワード変更前に、ユーザーが本人であることを検証
8.5.4:離職したユーザーのアクセスは直ちに無効にする
8.5.5 :90日以上非アクティブなユーザーを削除する
8.5.8:グループ、共有または汎用のアカウントとパスワードを使用しない
8.5.9:最長でも90日以内にユーザーのパスワードを変更する 
8.5.10:最小パスワード長は少なくとも7文字以上にする
8.5.11:数字とアルファベットの両方を含むパスワードを使用する 
8.5.12:過去4回分のパスワードのいずれかと同じ新しいパスワードの設定を個人に許可しない

なお、要件8.3の多要素認証への準拠機能については、下記をご覧ください。

多要素認証システムとの連携(指紋/その他バイオメトリクス認証、ICカード認証等)
https://www.manageengine.jp/products/Password_Manager_Pro/multi-factor-authentication.html

PCI DSS要件8.3「多要素認証」の落とし穴!?「多段階認証」との違い
https://blogs.manageengine.jp/pci-dss-8-3-multi-step-vs-multi-factor-authentication/

要求10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

10.5:監査証跡は、改変できないように保護する
10.5.1:業務で関連がある場合を除き、監査証跡の表示を制限する
10.5.2:監査証跡ファイルは、改ざんされないように保護する 
10.7:監査証跡履歴は、少なくとも1年は保管、最低3ヶ月間はオンラインで閲覧利用できるようにする。 

要件12:すべての担当者の情報セキュリティに対応するポリシーを維持する

12.2:本仕様の要求と一貫性のある日々のセキュリティ操作手順を開発する
12.5:以下の情報セキュリティ管理責任を個人またはチームに割り当てる
12.5.1:セキュリティ ポリシーと手順を制定、文書化、配布する
12.5.2:セキュリティ アラートと情報を監視/分析し、適切な個人に配布する
12.5.3 :セキュリティ インシデント応答を制定、文書化し、エスカレーション手順を配布し、あらゆる事態に対して時宜にかなった効果的な対応を行う
12.5.4:ユーザーアカウントの管理(追加、削除、変更を含む)
12.5.5:データへのすべてのアクセスを監視・制御する
12.9:インシデント応答計画の実装。システム侵害への迅速な対応を準備する