クラウド時代のPCI DSS 第3回「仮想システムコンポーネントとスコープガイダンス」

2011年6月14日、PCI SSCより、仮想環境に関するガイドライン「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。

Information Supplement:PCI DSS Virtualization Guidelines
https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

本稿では4回に分けて、このガイドラインに書かれている内容を紹介しています。なお、読み解くにあたり、誤訳や誤解がある可能性もあります。実際に何らかの判断をされる場合の正確な情報としては、上記の公式ドキュメントを参照していただきますよう、お願いいたします。また、翻訳は大部分が意訳となっているため、システムの設計や構築、運用に関する判断をされる際は、元文書を参考にしていただけますようお願いいたします。

Virtual System Components and Scoping Guidance（仮想システムコンポーネントとスコープガイダンス）では、仮想環境でよく見られるコンポーネントの説明をしています。PCI DSSの基本原則である「カード会員データを扱う全てのシステムコンポーネント、およびそこに直接接続するシステムコンポーネントが対象となる」という観点について、これら仮想環境におけるコンポーネントも追加で検討すべき、とされています。

また、重要な考え方として、「特定の仮想システムコンポーネントがスコープ範囲内であるかどうかは、その技術および当該環境においてどのように実装されているかに依存する」とされています。仮想システムコンポーネント毎に、その定義とスコーピングに関するガイダンスが記載されていますので、確認してみましょう。

・Hypervisor（ハイパーバイザー）
仮想マシンをホストする、もしくは管理する責任をもつソフトウェアもしくはファームウェア。Virtual Machine Monitor（VMM）と呼ばれるコンポーネントを含むことがあり、これは仮想マシンのハードウェア抽象化を実装、管理するもので、ハイパーバイザープラットフォームの管理機能とも考えられる。

スコープガイダンス：
ハイパーバイザー上にPCI DSSの対象となるホストが1つでも存在すれば、ハイパーバイザーも対象となる

・Virtual Machine（仮想マシン）
ハイパーバイザー上で動作する、いわゆる「ゲスト」。

スコープガイダンス：
カード会員データを保管、処理、伝送する、もしくはカード会員データ環境に接続したり、入り口となる場合はその仮想マシン全体が対象となる。

・Virtual Appliance（仮想アプライアンス）
仮想マシン内で動作するよう設計され、パッケージ化されたソフトウェアイメージ。一般的に、基本的なOSコンポーネントと単一アプリケーションから成り、特定の機能を提供する。Virtual Security Appliance（VSA）もしくはSecurity Virtual Appliance（SVA）と呼ばれるものは、強化されたOSと単一のセキュリティアプリケーションで構成される。これらの例としては、ファイアウォール、IPS/IDS、アンチウィルス等がある。

スコープガイダンス：
スコープ内のシステムコンポーネントやネットワークに接続したり、これらに対してサービスを提供したりするような仮想アプライアンス、およびカード会員データ環境のセキュリティにインパクトを与え得るVSA/SVAは対象となると考えられる。

・Virtual Switch or Router（仮想スイッチ、仮想ルータ）
仮想スイッチ、仮想ルータは、ネットワークレベルのルーティングやスイッチング機能を持つソフトウェアコンポーネントで、例えばハイパーバイザーのドライバ、モジュール、もしくはプラグイン等として、仮想サーバプラットフォームにおける重要な部分となり得る。単一の物理アプライアンス上のコンポーネントとして、複数のネットワーク機器の仮想アプライアンスとして実装されるものもある。

スコープガイダンス：
先述の仮想アプライアンスと同様、カード会員データ環境内に存在する、もしくはカード会員データ環境にサービスを提供していたり、接続していたりする場合は対象となる。

仮想スイッチや仮想ルータを搭載した物理デバイスも、その仮想コンポーネントがスコープ内のネットワークに接続するような場合、対象となる。

・Virtual Applications and Desktops（仮想アプリケーション、仮想デスクトップ）
アプリケーションやデスクトップ環境も、仮想化されてエンドユーザに機能を提供することができる。これらは一般的に中心的な拠点に設置され、リモートデスクトップインタフェースによりアクセスされる。仮想デスクトップではシンクライアントやモバイル機器を含む多数の種類の機器からアクセスを受け付けることができる。POS、カスタマーサービス、その他決済機構の中で様々な役割を持つことがある。

スコープガイダンス：
カード会員データの処理、保管、伝送に関わるのであれば仮想アプリケーションや仮想デスクトップも対象となる
仮想アプリケーションや仮想デスクトップが同じ物理ホストもしくはハイパーバイザー上にあり、十分なセグメンテーションが行われていない場合、スコープ内となるだろう

※4.2の「Recommendations for Mixed Mode Environments」にさらに詳しい解説がある

・Cloud Computing（クラウドコンピューティング）
パブリック、セミ・パブリック、プライベートなインフラ上で提供される、サービスもしくはユーティリティとしてのコンピューティングリソースの使用。クラウドベースのサービスでは通常、接続されたシステムの「pool」、「cluster」として提供されており、複数のユーザ、事業体、テナントに対してコンピューティングリソースがサービスベースのアクセスとして提供される

スコープガイダンス：
クラウドコンピューティングを使用する場合、数多くのスコープに関する課題、懸念事項がある。

「サービスについて徹底的に調べ、詳細を理解すること」
「そのサービス特有のリスクを詳しく評価すること」
「その他マネージドサービスと同様、PCI DSS要件を維持するために、それぞれの当事者が持つ責任が明確に定義され、文書化されている必要がある」

クラウドプロバイダー側としては、どのPCI DSS要件、システムコンポーネント、サービスがクラウドプロバイダー自身のPCI DSS準拠範囲となるのか、また、どの要件、コンポーネント、サービスがプロバイダー自身の準拠範囲ならないため、それらの準拠はサービスを利用する事業体側の責任となる旨を、サービス契約書（Service Agreement）で明確に文書化する必要がある。またサービスプロバイダとして、当該環境がPCI DSSに準拠していることを示すための十分な証跡と保証を提供すべきである。

※4.3 Recommendations for Cloud Computing Environmentsにさらに詳しい解説がある。

（NTTデータ先端技術株式会社　CISSP　川島祐樹）

略歴：NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

NTTデータ先端技術株式会社
http://security.intellilink.co.jp/
PCI DSS徹底解説（川島氏連載）
http://security.intellilink.co.jp/article/pcidss.html