仮想環境下のPCI DSS対策第3回「リスク評価におけるガイダンス」

前回「クラウド時代のPCI DSS」では、PCI SSCによって公開されたガイドライン“Information Supplement: PCI DSS Virtualization Guidelines”の前半を読み解きました。

前半では、まず使用される言葉や概念の定義を行っており、PCI DSSにあまり依存しない形で、仮想環境特有のリスクを考察していると考えられます。本稿では、前回挙げられたリスクに対して、どのような対策を行うべきであるのかを、比較的細かく説明しています。

付録文書、Appendix－Virtualization Considerations for PCI DSSでは、要件毎に何をすべきかが記載されています。PCI DSSへの準拠が求められる環境や、同等のセキュリティレベルが求められる環境において仮想技術の導入を検討する場合は、この付録文書を参考にしてリスク洗い出しと適切な対策の検討を行っていただくことをお勧めします。

前回の連載では、仮想環境に特有のリスクを洗い出し、対応していく際の観点が上げられましたが、本稿は、それを踏まえてどのような対策を行うべきかを説明しています。なお、ここではまだ解説は概念的で、具体的に何をすべきかが記載されているわけではありません。対策を行う際のひとつの観点であると考えるのが良いでしょう。

4.4 仮想環境のリスク評価におけるガイダンス
仮想技術は実装の多様性から基準と呼べるものが存在しないため、企業は個々の環境を評価して、関連するリスクを洗い出し、適切な対策を実施する必要がある。

リスクアセスメントは様々な手法があるが、どの手法を使った場合でも脅威と脆弱性の識別、当該環境に対するリスクの理解を含むべきである。ここではいくつかの仮想環境上で含めるべきリスクアセスメントのポイントを挙げる。

4.4.1 環境の定義
脅威や脆弱性を識別する前に、まずは当該環境に関連する、人、プロセス、技術を含む環境の理解が重要である。まずはPCI DSSの対象内、対象外に関わらず潜在リスクが影響を与えうるあらゆる側面について検討すべきである。

仮想環境の定義には最低限、以下を含む。

・ハイパーバイザー、ワークロード、ホスト、ネットワーク、管理コンソール、その他のコンポーネントを含む、全てのコンポーネントの識別

・各コンポーネントについて、物理拠点の詳細

・各コンポーネントについて、主要機能と責任者の詳細

・コンポーネントへの、もしくはコンポーネント間の可視性についての詳細

・異なるコンポーネント間、コンポーネントとハイパーバイザー間、コンポーネントと下位のホストシステムもしくはハードウェアリソース間のトラフィックフローの識別

・内部ホスト、仮想コンポーネント、その他のシステムコンポーネントとの間の通信チャネルとデータフローの識別

・コンポーネント間の通信を可能とする、全ての外向き通信チャネルの識別

・役割の定義と承認を含む、管理インタフェース、ハイパーバイザーアクセスメカニズムの詳細

・リムーバブルディスクドライブやUSB、パラレルポートやシリアルポートを含む、全ての仮想および物理ハードウェアコンポーネント

・各ホストにおける、仮想コンポーネントの数と種類、コンポーネントとホストの分離、仮想コンポーネントの機能およびセキュリティレベル

4.4.2 脅威の識別
このプロセスでは、機密性、完全性、可用性の損失に伴う可能性のある顕在的な、および潜在的な脅威を識別する。これにはあらゆるシナリオ、アクション、イベントを含める必要がある。

仮想環境は、非仮想環境と同様の脅威が存在するが、仮想化の追加レイヤーにリスクが潜在する可能性がある。例えば、ハイパーバイザーを標的とするような仮想技術特有の新種の悪意のあるコードや論理攻撃、共有ハードウェアコンポーネント間の安全でない外部への通信チャネルなどがある。攻撃や脅威を識別するには、各コンポーネントの主要機能と責任者を詳しく把握することが重要である。

4.4.3 脆弱性の識別
仮想環境に依存しない技術的な脆弱性と同様、特定の仮想化技術やその環境で実装される設定についての脆弱性を識別する必要がある。仮想化レイヤーが追加されることによる複雑性の増加や、動的な性質、共有を行う性質、下位アーキテクチャの可視性の低さに起因する脆弱性が存在するだろう。

脆弱性は技術的な視点のものだけでなく、運用プロセス、不十分な担当者の教育、対策の監視の欠如、物理セキュリティの隙間等にも存在する可能性がある。

4.4.4 リスクの評価と対応
リスクアセスメントでは、仮想環境におけるカード会員データや、その他機密情報を保護するための、あらゆる追加の対策を識別する必要がある。とくに、仮想技術に関連した潜在するセキュリティ事故を駆逐するには、PCI DSS要件だけでなく、それに加えて仮想環境特有の対策を行う必要があるだろう。

5.Conclusion
全体のまとめが記載されている。このような新しい技術には新しい攻撃ベクトルが発生するため、個々にリスクアセスメントを行うことや、PCI DSSの対象範囲だけでなく、関連する、もしくは隣接する環境もふまえて最適化されるよう対策を検討、実施していく事が推奨されているように読み取れる。

仮想システムを安全にするための万能な方法は存在しない。多くのアプリケーションが存在し、ある仮想環境で適切な対策が他の仮想環境で適切であるとも限らない。目に見える機能もあるが、仮想化アーキテクチャ内で働く下位の機能や通信は、適切に理解かつ管理されない限り、未知の攻撃ベクトルとなり得る。

多くの技術で見られるのと同様、仮想化の業界スタンダードがないため、ベンダ特有のベストプラクティスや推奨事項が存在している。企業ではこれをよく理解し、それぞれの環境を評価して仮想化がもたらす当該環境固有のリスクを識別し、カード会員データ環境のセキュリティを包含しなくてはならない。

仮想環境では、ひとつのVMもしくはコンポーネントの侵害が他コンポーネントの侵害につながるため、コンポーネントすべてを安全に実装しなければならない。仮想コンポーネントを設計する場合は、スコープ外だと考えられるような場合でも、PCI DSSセキュリティ要件に一貫して対応することで、ベースラインがセキュアになるだけでなく、全体として仮想環境の複数のセキュリティプロファイル管理に関連する複雑性やリスクを低めることができる。この理由から、PCI DSSスコープ内のハイパーバイザーやホスト上で稼働するコンポーネントはすべてPCI DSSのスコープ内とすることを推奨する。

6.Acknowledgements
ここでは省略

7.付録－PCI DSSにおける仮想化に関する考察
各要件において、仮想化環境で考慮すべき事項が記載されている。ただし、説明にあるとおり、これは要件ではないので、PCI DSSを上書きしたり、入れ替わったりする性質のものではなく、また、仮想化環境でカード会員データを取り扱う際は、このガイダンスの内容だけでなく、環境毎にリスクアセスメントを行い、ここに記載されていないリスクと対策も検討する必要がある。

実際には、この付録文書にあるように、各要件と実際の環境を照らし合わせ、本書に記載された内容を参考に対策を検討していくことが重要となるだろう。

おわりに
本文書では、色々と詳しく説明がされているものの、根本となる部分は一貫していたことにお気づきなのではないでしょうか。筆者が本書から読み取ったポイントを、3つに絞り込んでみます。

・大原則は変わらない。カード会員データを扱うシステム、および当該システムに直接接続するシステムは対象となる。

・仮想コンポーネントがカード会員データを取り扱う場合、同一ハードウェア上／ハイパーバイザー上で稼動する仮想コンポーネントは、対象とすることが強く推奨される。

・仮想技術の実装は多様であるため、現在のところ統一的なセキュリティ対策は示すことができない。このため個々の実環境でリスクアセスメントを行った上、脆弱性、脅威を洗い出し、対策を検討する必要がある。

本書は、PCI DSSの視点で検討が進められたものである一方、広く適用できる内容となっています。また、今後PCI DSS準拠が求められる環境の中で仮想技術やクラウドサービス等の導入を検討される際には、ひとつのよりどころになるのではないでしょうか。

（NTTデータ先端技術株式会社　CISSP　川島祐樹）

略歴：NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。