PCI DSS 要件別サービス・製品対応表（PCI DSS対策研究所）

PCI DSSは、ファイアウォールやWAFの導入、ログの定期チェックなど、その規定が具体的であるため、製品やソリューション導入後の適切な設定と運用が重要となります。「PCI DSS要件別サービス・製品対応表」は、6つの目的を果たすPCI DSSの12要件毎に、各要件に対応するセキュリティ製品やソリューション、サービスを簡潔に解説します。

※製品名をアルファベット・五十音順で記載しています
※本対応表は、各要件に対応する製品やサービスの具体例の一部をご紹介するもので、すべての製品・サービスを網羅するものではありません（対応表作成：ScanNetSecurity編集部）

安全なネットワークの構築・維持
【要件1】カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件1では、ファイアウォールの導入とその維持について規定している。このファイアウォールは、すべてのインターネット接続およびDMZと内部ネットワーク領域との間に設置し、カード会員データ環境に必要なプロトコルを除く、すべての「信用できない」トラフィック（無線ネットワークも含む）を拒否するものとしている。また、維持についてはファイアウォールおよびルータに関するルール・セットの四半期レビューを義務づけている。

　【対応サービス・製品】
　Cisco ASA 5500 （シスコシステムズ合同会社）
　Nokia IP290 （ノキア・ジャパン株式会社）
　Tripwire （トリップワイヤ・ジャパン株式会社）

【要件2】システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと
要件2では、社内外のハッカーがしばしばベンダ出荷時のデフォルトパスワードやデフォルト設定を使用してシステムのセキュリティを脅かすケースが多いことから、これらのデフォルト値を必ず変更するというもの。これには、パスワードやSNMPコミュニティ文字列、無線LANのWEPキーやSSIDなども含まれ、不必要なアカウントを削除することも規定している。また管理アクセスには、SSH、VPN、SSL/TLS（transport layer security）などの技術を使用すべきとしている。

　【対応サービス・製品】
　Qualys （クォリスジャパン株式会社）
　RSA SecurID （RSAセキュリティ株式会社）
　セキュリティ診断（Web,NW）（NTTデータ先端技術株式会社）

カード会員データの保護
【要件3】保存されたカード会員データを安全に保護すること
要件3では、カード会員データの保管とその暗号化について規定している。保管するカード会員データは最小限に抑え、保管と廃棄に関するポリシーを作成する。また、オーソリゼーション後のセンシティブ認証データは、たとえ暗号化されていても保管してはならないとしている。そしてカード番号は、どこに保管されていても判読不可能な状態にしておく必要がある。PCI DSSでも対応の難しい要件となっている。

　【対応サービス・製品】
　Qualys （クォリスジャパン株式会社）
　RSA Database Security Manager （RSAセキュリティ株式会社）
　セキュリティ診断（Web,NW）（NTTデータ先端技術株式会社）

【要件4】公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
要件4では、カード会員データを公衆ネットワークにより送信する際の暗号化を規定している。公衆ネットワークにはインターネットのほかWi-Fiが含まれる。具体的にはIPsecやSSL/TLSを使用することになる。PCI DSSではGSM、GPRSも含めているが、これらは日本国内では使用されていない。ただし、携帯電話でWebやメールを使用してクレジット業務を行う場合にはSSLなどセキュアなプロトコルを使用する。

　【対応サービス・製品】
　PGP Universal （日本PGP株式会社）
　RSA Key Manager （RSAセキュリティ株式会社）
　SSH Tectia （SSH Communications Security Corp.）

脆弱性を管理するプログラムの整備
【要件5】アンチウイルス・ソフトウェアまたはプログラムを利用し、定期的に更新すること
要件5では、システムにウイルス対策を施すことを規定している。具体的には、ウイルス対策ソフトをサーバおよびクライアントPCにインストールし、パターンファイルなどの更新によって常に最新の状態に保つ。またサーバ、クライアントともにウイルス対策ソフトの正常動作と、監査ログの生成ができることも必要となる。この要件には、一般的なエンタープライズ向けウイルス対策ソフトの導入で対応できる。なお、ここでいうシステムは、UNIXやメインフレームは含まないとしている。

　【対応サービス・製品】
　Endpoint Security and Control （ソフォス株式会社）
　Symantec Endpoint Protection （株式会社シマンテック）
　Total Protection (ToPS) for Endpoint （マカフィー株式会社）
　ウイルスバスターコーポレートエディション（トレンドマイクロ株式会社）

【要件6】安全性の高いシステムとアプリケーションを開発し、保守すること
要件6では、アプリケーション開発と保守について規定している。ここではシステムやソフトウェアに対し、ベンダが供給する最新のセキュリティパッチを1ヶ月以内に適用することや、ライフサイクルに応じた管理体制の確立、コードレビューの実施あるいはWAFの導入など、厳しい要素の多い要件となっている。この要件に対応するには、パッチなどの変更管理やWAF、UTMなどの導入が有効となる。

　【対応サービス・製品】
　Cirix Application Firewall （シトリックス・システムズ・ジャパン株式会社）
　Fortify （フォーティファイ・ソフトウェア株式会社）
　Qualys （クォリスジャパン株式会社）
　SecureSphere （株式会社Imperva Japan）
　SiteGuard （株式会社ジェイピー・セキュア）
　S.Q.A.T （株式会社ブロードバンドセキュリティ）
　Webアプリケ－ション脆弱性対策アプライアンス（バラクーダネットワークスジャパン株式会社）
　セキュリティ診断（Web,NW）（NTTデータ先端技術株式会社）

強固なアクセス制御手法の導入
【要件7】カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件7、要件8では、カード会員データへのアクセスに関する規定となっている。要件7は、重要なデータには権限を持つ担当者のみがアクセスできるようにするということだが、要件8ではアクセスする利用者毎に個別のIDを割り当てるよう定めている。また、これに加えパスワードやトークン・デバイス、生体認証のいずれかひとつを実施する必要がある。

　【対応サービス・製品】
　CA Access Control （CA Access Control日本CA株式会社）
　IDS/IPS監視サービス（NTTデータ先端技術株式会社）
　RSA Access Manager （RSAセキュリティ株式会社）

【要件8】コンピュータにアクセスする利用者毎に個別のIDを割り当てること
　【対応サービス・製品】
　CA Access Control （日本CA株式会社）
　ID管理システムGreenOffice Directory （京セラコミュニケーションシステム株式会社）
　RSA SecurID （RSAセキュリティ株式会社）

【要件9】カード会員データへの物理的アクセスを制限すること
要件9では、アクセス制限という点では要件7および8と同様だが、より物理的な対策を規定している。たとえばカード会員データが保存されている部屋やシステムコンポーネント、媒体などの管理を徹底することなどが挙げられる。これには入退室管理や、機密エリア内の監視カメラによる記録と保存、無線LANを含むネットワーク機器の物理的なアクセス制限といった対策が必要となる。ただし、ISMSと重複する要素が多いことも確かだ。

　【対応サービス・製品】
　ICカードソリューション（セコムトラストシステムズ株式会社）
　監視カメラ（株式会社ステージ）
　機密情報配送（e-ネコセキュリティBOX）（ヤマトシステム開発株式会社）
　入退室管理（セコム株式会社）
　媒体管理（保管）（株式会社ワンビシアーカイブズ）
　媒体管理（抹消）（株式会社ワンビシアーカイブズ）

定期的なネットワークの監視およびテスト
【要件10】ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること
要件10では、ネットワーク資源およびカード会員データに対するアクセスログについて規定している。ログは管理者を含むすべての操作を対象に記録し、確実に保護することが求められている。また、ログの内容はユーザIDやイベントタイプ、日付、時刻など詳細にわたり、しかも改変できないよう措置する。また、セキュリティインシデントが発生した際には、ログを確実にトレースできることも必要だ。ログは1年間の保存が求められているため、ログ管理のほかストレージの増強も必要であろう。

　【対応サービス・製品】
　ALog コンバータ（株式会社網屋）
　AUDIT MASTER （株式会社アクアシステムズ）
　CA Access Control （CA Access Control日本CA株式会社）
　Chakra （株式会社ニューシステムテクノロジー）
　IDS/IPS監視サービス（NTTデータ先端技術株式会社）
　LanScope Cat6 （エムオーテックス株式会社）
　LogLogic LX/ST （LogLogic Japan株式会社）
　Logprofiler （株式会社ニューシステムテクノロジー）
　RSA enVision （RSAセキュリティ株式会社）
　TotalSecurityFort （ファインアートテクノロジー）
　Tripwire （トリップワイヤ・ジャパン株式会社）
　セキュリティ監視サービス（NTTデータ先端技術株式会社）
　ログ監視分析システム、LogStare （株式会社セキュアヴェイル）

【要件11】セキュリティ・システムおよび管理手順を定期的にテストすること
要件11では、セキュリティシステムやその管理手順のテストについて規定している。脆弱性スキャンは四半期ごとに実施し、システムに大きな変更があった際にも実施する。また、ネットワークインフラとアプリケーションに対するペネトレーションテストも年に一回実施することを定めており、こちらもインフラまたはアプリケーションの大きなアップグレードまたは変更（OSのアップグレードやサブネットワークの追加、Webサーバの追加など）があった際には、変更の後に実施する。

　【対応サービス・製品】
　eEye Digital Security （住商情報システム株式会社）
　Fortify （フォーティファイ・ソフトウェア株式会社）
　IDS/IPS監視サービス（NTTデータ先端技術株式会社）
　nCircle IP360 （京セラコミュニケーションシステム株式会社）
　Qualys （クォリスジャパン株式会社）
　S.Q.A.T （株式会社ブロードバンドセキュリティ）
　Tripwire （トリップワイヤ・ジャパン株式会社）
　セキュリティ監視・診断サービス（株式会社ラック）
　セキュリティ診断（Web,NW）（NTTデータ先端技術株式会社）

情報セキュリティポリシーの整備
【要件12】従業員と契約社員のための情報セキュリティに関するポリシーを整備すること
要件12では、セキュリティポリシーの整備について規定している。厳格なセキュリティポリシーを整備することで会社全体のセキュリティへの認識レベルを決定し、従業員が何を期待されているか情報を与える。また、すべての従業員はデータの機密性とそれを保護する責務を認識する必要があるとしている。設備や機器とは直接関係しない上に、多くの要素がISMSと重複するため、ISMSを取得している企業は容易に対応できる。一方、PCI DSSを初めて導入する場合には、コンサルティングなどの利用が有効であろう。

　【対応サービス・製品】
　PCI DSS実装支援サービス（株式会社ラック）
　PCI DSS準拠支援サービス（ネットワンシステムズ株式会社）
　PCI DSS トータルサービス（NTTデータ先端技術株式会社）
　PCI DSS認証コンサルティング（日本オフィス・システム株式会社）
　PCI DSS認定取得サポートサービス（TIS株式会社）
　RSAプロフェッショナルサービス（RSAセキュリティ株式会社）

（更新：2010/03/18）