クラウド時代のPCI DSS 第1回「仮想環境ガイドラインの公開」 | ScanNetSecurity
2024.05.13(月)

クラウド時代のPCI DSS 第1回「仮想環境ガイドラインの公開」

2011年6月14日、PCI SSCより、仮想環境に関するガイドライン「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。このガイドラインは、PCI SSC内の「SIG(Special Interest Group)」と呼ばれる、特定の分野に関する議論が行われるワーキン

特集 PCI DSS 対策研究所
facebookLINE
2011年6月14日、PCI SSCより、仮想環境に関するガイドライン「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。このガイドラインは、PCI SSC内の「SIG(Special Interest Group)」と呼ばれる、特定の分野に関する議論が行われるワーキンググループの中の、「Virtualization SIG」が長い議論の末まとめたものです。

以下のPCI SSCのプレスリリースによれば、Virtualization SIGはCitrix SystemsのChief Security StrategistであるKurt Roemer氏を筆頭に、30を超える組織から構成されているとのことです。

プレスリリース(PCI SSC)
https://www.pcisecuritystandards.org/pdfs/pci_pr_20110614.pdf

このガイドラインは、PCI SSCのウェブサイトから自由にダウンロードすることができますので、詳細についてはこちらをご覧ください。

Information Supplement:PCI DSS Virtualization Guidelines
https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

本稿では4回に分けて、このガイドラインに書かれている内容を、紹介したいと思います。なお、読み解くにあたり、誤訳や誤解がある可能性もあります。実際に何らかの判断をされる場合の正確な情報としては、上記の公式ドキュメントを参照していただきますよう、お願いいたします。

また、翻訳は大部分が意訳となっているため、システムの設計や構築、運用に関する判断をされる際は、元文書を参考にしていただけますようお願いいたします。

この補足資料は、PCI DSSに沿って仮想技術の使用に関するガイドラインを提供するものである旨と、カード会員データ環境における仮想技術の使用に関する4つの原則が示されています。4つの原則とは以下の通りです。

(1)カード会員データ環境で仮想技術を使用する場合、PCI DSSはそれらの仮想技術にも適用される

(2)仮想技術には、他の技術には関連しない新たなリスクを伴う。よって、カード会員データ環境※における仮想技術の使用時は、それらの新たなリスクを確実に評価しなければならない

(3)仮想技術の実装方法は多様であるため、特定の仮想化された実装環境について、決済トランザクションプロセスや決済カード情報を含むあてはまる特性を識別し、文書化して徹底的に洗い出さなければならない

(4)PCI DSS要件を満たす仮想環境を作り上げるのに万能な手段や解決方法は存在しない。管理方法や手順は、仮想化がどのように使用され、実装されるかによって異なるだろう

(※カード会員データ環境:カード会員データを取り扱う環境、およびそこに直接接続する環境。詳細はPCI DSSv2.0、適用範囲の項を参照して下さい)

少し回りくどいので、簡単な言葉で言い換えてみましょう。

(1)仮想化していようとしていまいと、カード会員データを扱う環境であればPCI DSSの対象となる

(2)仮想技術を使う場合、仮想技術を使わない場合と比べて特別に気をつけなければいけないことがある

(3)とはいえ仮想技術や実際の環境も幅広いので、個々の実際の環境でリスクを洗い出し、文書化し、対策を練らなければならない

(4)万能な方法などない

(1)(2)(3)は特に仮想技術についてだけいえることではありません。PCI DSSのスコープの考え方は原則通りですし、要件を満たすためには様々な方法がある事も、仮想環境でなくとも同様です。つまり、PCI DSSの原則が、仮想環境でも同様に適用されますよ、という念押しに過ぎないというのが筆者の印象です。ですので、特に(2)の部分、仮想環境特有のリスクをどうとらえるかが重要になる事でしょう。

(NTTデータ先端技術株式会社 CISSP 川島祐樹)

略歴:NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

NTTデータ先端技術株式会社
http://security.intellilink.co.jp/
PCI DSS徹底解説
http://security.intellilink.co.jp/article/pcidss.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

    デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

  3. 東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出

    東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出

  4. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  5. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

  6. 新日本プロレスリングオフィシャルファンクラブ会員情報を保存した USB メモリ紛失

    新日本プロレスリングオフィシャルファンクラブ会員情報を保存した USB メモリ紛失

  7. AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下

    AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下

  8. テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止

    テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止

  9. 北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

    北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

  10. ホビー・キャラクター関連商品販売 アルジャーノンプロダクトのホームページで不正アクセスが原因の表示トラブル

    ホビー・キャラクター関連商品販売 アルジャーノンプロダクトのホームページで不正アクセスが原因の表示トラブル

ランキングをもっと見る
ホーム 特集 PCI DSS 対策研究所 記事
TOP