PCI DSS 要件別 サービス・製品対応表(PCI DSS対策研究所) | ScanNetSecurity
2024.04.25(木)
コンテンツ
注目検索ワード
ホーム 特集 PCI DSS 対策研究所 記事

PCI DSS 要件別 サービス・製品対応表(PCI DSS対策研究所)

PCI DSSは、ファイアウォールやWAFの導入、ログの定期チェックなど、その規定が具体的であるため、製品やソリューション導入後の適切な設定と運用が重要となります。「PCI DSS要件別 サービス・製品対応表」は、6つの目的を果たすPCI DSSの12要件毎に、各要件に対応する

特集 PCI DSS 対策研究所
PCI DSSは、ファイアウォールやWAFの導入、ログの定期チェックなど、その規定が具体的であるため、製品やソリューション導入後の適切な設定と運用が重要となります。「PCI DSS要件別 サービス・製品対応表」は、6つの目的を果たすPCI DSSの12要件毎に、各要件に対応するセキュリティ製品やソリューション、サービスを簡潔に解説します。

※製品名をアルファベット・五十音順で記載しています
※本対応表は、各要件に対応する製品やサービスの具体例の一部をご紹介するもので、すべての製品・サービスを網羅するものではありません (対応表作成:ScanNetSecurity編集部)

安全なネットワークの構築・維持
【要件1】カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件1では、ファイアウォールの導入とその維持について規定している。このファイアウォールは、すべてのインターネット接続およびDMZと内部ネットワーク領域との間に設置し、カード会員データ環境に必要なプロトコルを除く、すべての「信用できない」トラフィック(無線ネットワークも含む)を拒否するものとしている。また、維持についてはファイアウォールおよびルータに関するルール・セットの四半期レビューを義務づけている。

 【対応サービス・製品】
 Cisco ASA 5500 (シスコシステムズ合同会社)
 Nokia IP290 (ノキア・ジャパン株式会社)
 Tripwire (トリップワイヤ・ジャパン株式会社)

【要件2】システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと
要件2では、社内外のハッカーがしばしばベンダ出荷時のデフォルトパスワードやデフォルト設定を使用してシステムのセキュリティを脅かすケースが多いことから、これらのデフォルト値を必ず変更するというもの。これには、パスワードやSNMPコミュニティ文字列、無線LANのWEPキーやSSIDなども含まれ、不必要なアカウントを削除することも規定している。また管理アクセスには、SSH、VPN、SSL/TLS(transport layer security)などの技術を使用すべきとしている。

 【対応サービス・製品】
 Qualys (クォリスジャパン株式会社)
 RSA SecurID (RSAセキュリティ株式会社)
 セキュリティ診断(Web,NW) (NTTデータ先端技術株式会社)

カード会員データの保護
【要件3】保存されたカード会員データを安全に保護すること
要件3では、カード会員データの保管とその暗号化について規定している。保管するカード会員データは最小限に抑え、保管と廃棄に関するポリシーを作成する。また、オーソリゼーション後のセンシティブ認証データは、たとえ暗号化されていても保管してはならないとしている。そしてカード番号は、どこに保管されていても判読不可能な状態にしておく必要がある。PCI DSSでも対応の難しい要件となっている。

 【対応サービス・製品】
 Qualys (クォリスジャパン株式会社)
 RSA Database Security Manager (RSAセキュリティ株式会社)
 セキュリティ診断(Web,NW) (NTTデータ先端技術株式会社)

【要件4】公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
要件4では、カード会員データを公衆ネットワークにより送信する際の暗号化を規定している。公衆ネットワークにはインターネットのほかWi-Fiが含まれる。具体的にはIPsecやSSL/TLSを使用することになる。PCI DSSではGSM、GPRSも含めているが、これらは日本国内では使用されていない。ただし、携帯電話でWebやメールを使用してクレジット業務を行う場合にはSSLなどセキュアなプロトコルを使用する。

 【対応サービス・製品】
 PGP Universal (日本PGP株式会社)
 RSA Key Manager (RSAセキュリティ株式会社)
 SSH Tectia (SSH Communications Security Corp.)

脆弱性を管理するプログラムの整備
【要件5】アンチウイルス・ソフトウェアまたはプログラムを利用し、定期的に更新すること
要件5では、システムにウイルス対策を施すことを規定している。具体的には、ウイルス対策ソフトをサーバおよびクライアントPCにインストールし、パターンファイルなどの更新によって常に最新の状態に保つ。またサーバ、クライアントともにウイルス対策ソフトの正常動作と、監査ログの生成ができることも必要となる。この要件には、一般的なエンタープライズ向けウイルス対策ソフトの導入で対応できる。なお、ここでいうシステムは、UNIXやメインフレームは含まないとしている。

 【対応サービス・製品】
 Endpoint Security and Control (ソフォス株式会社)
 Symantec Endpoint Protection (株式会社シマンテック)
 Total Protection (ToPS) for Endpoint (マカフィー株式会社)
 ウイルスバスター コーポレートエディション (トレンドマイクロ株式会社)

【要件6】安全性の高いシステムとアプリケーションを開発し、保守すること
要件6では、アプリケーション開発と保守について規定している。ここではシステムやソフトウェアに対し、ベンダが供給する最新のセキュリティパッチを1ヶ月以内に適用することや、ライフサイクルに応じた管理体制の確立、コードレビューの実施あるいはWAFの導入など、厳しい要素の多い要件となっている。この要件に対応するには、パッチなどの変更管理やWAF、UTMなどの導入が有効となる。

 【対応サービス・製品】
 Cirix Application Firewall (シトリックス・システムズ・ジャパン株式会社)
 Fortify (フォーティファイ・ソフトウェア株式会社)
 Qualys (クォリスジャパン株式会社)
 SecureSphere (株式会社Imperva Japan)
 SiteGuard (株式会社ジェイピー・セキュア)
 S.Q.A.T (株式会社ブロードバンドセキュリティ)
 Webアプリケ-ション脆弱性対策アプライアンス (バラクーダネットワークスジャパン株式会社)
 セキュリティ診断(Web,NW) (NTTデータ先端技術株式会社)

強固なアクセス制御手法の導入
【要件7】カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件7、要件8では、カード会員データへのアクセスに関する規定となっている。要件7は、重要なデータには権限を持つ担当者のみがアクセスできるようにするということだが、要件8ではアクセスする利用者毎に個別のIDを割り当てるよう定めている。また、これに加えパスワードやトークン・デバイス、生体認証のいずれかひとつを実施する必要がある。

 【対応サービス・製品】
 CA Access Control (CA Access Control日本CA株式会社)
 IDS/IPS監視サービス (NTTデータ先端技術株式会社)
 RSA Access Manager (RSAセキュリティ株式会社)

【要件8】コンピュータにアクセスする利用者毎に個別のIDを割り当てること
 【対応サービス・製品】
 CA Access Control (日本CA株式会社)
 ID管理システムGreenOffice Directory (京セラコミュニケーションシステム株式会社)
 RSA SecurID (RSAセキュリティ株式会社)

【要件9】カード会員データへの物理的アクセスを制限すること
要件9では、アクセス制限という点では要件7および8と同様だが、より物理的な対策を規定している。たとえばカード会員データが保存されている部屋やシステムコンポーネント、媒体などの管理を徹底することなどが挙げられる。これには入退室管理や、機密エリア内の監視カメラによる記録と保存、無線LANを含むネットワーク機器の物理的なアクセス制限といった対策が必要となる。ただし、ISMSと重複する要素が多いことも確かだ。

 【対応サービス・製品】
 ICカードソリューション (セコムトラストシステムズ株式会社)
 監視カメラ (株式会社ステージ)
 機密情報配送(e-ネコセキュリティBOX) (ヤマトシステム開発株式会社)
 入退室管理 (セコム株式会社)
 媒体管理(保管) (株式会社ワンビシアーカイブズ)
 媒体管理(抹消) (株式会社ワンビシアーカイブズ)

定期的なネットワークの監視およびテスト
【要件10】ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること
要件10では、ネットワーク資源およびカード会員データに対するアクセスログについて規定している。ログは管理者を含むすべての操作を対象に記録し、確実に保護することが求められている。また、ログの内容はユーザIDやイベントタイプ、日付、時刻など詳細にわたり、しかも改変できないよう措置する。また、セキュリティインシデントが発生した際には、ログを確実にトレースできることも必要だ。ログは1年間の保存が求められているため、ログ管理のほかストレージの増強も必要であろう。

 【対応サービス・製品】
 ALog コンバータ (株式会社網屋)
 AUDIT MASTER (株式会社アクアシステムズ)
 CA Access Control (CA Access Control日本CA株式会社)
 Chakra (株式会社ニューシステムテクノロジー)
 IDS/IPS監視サービス (NTTデータ先端技術株式会社)
 LanScope Cat6 (エムオーテックス株式会社)
 LogLogic LX/ST (LogLogic Japan株式会社)
 Logprofiler (株式会社ニューシステムテクノロジー)
 RSA enVision (RSAセキュリティ株式会社)
 TotalSecurityFort (ファインアートテクノロジー)
 Tripwire (トリップワイヤ・ジャパン株式会社)
 セキュリティ監視サービス (NTTデータ先端技術株式会社)
 ログ監視分析システム、LogStare (株式会社セキュアヴェイル)

【要件11】セキュリティ・システムおよび管理手順を定期的にテストすること
要件11では、セキュリティシステムやその管理手順のテストについて規定している。脆弱性スキャンは四半期ごとに実施し、システムに大きな変更があった際にも実施する。また、ネットワークインフラとアプリケーションに対するペネトレーションテストも年に一回実施することを定めており、こちらもインフラまたはアプリケーションの大きなアップグレードまたは変更(OSのアップグレードやサブネットワークの追加、Webサーバの追加など)があった際には、変更の後に実施する。

 【対応サービス・製品】
 eEye Digital Security (住商情報システム株式会社)
 Fortify (フォーティファイ・ソフトウェア株式会社)
 IDS/IPS監視サービス (NTTデータ先端技術株式会社)
 nCircle IP360 (京セラコミュニケーションシステム株式会社)
 Qualys (クォリスジャパン株式会社)
 S.Q.A.T (株式会社ブロードバンドセキュリティ)
 Tripwire (トリップワイヤ・ジャパン株式会社)
 セキュリティ監視・診断サービス (株式会社ラック)
 セキュリティ診断(Web,NW) (NTTデータ先端技術株式会社)

情報セキュリティポリシーの整備
【要件12】従業員と契約社員のための情報セキュリティに関するポリシーを整備すること
要件12では、セキュリティポリシーの整備について規定している。厳格なセキュリティポリシーを整備することで会社全体のセキュリティへの認識レベルを決定し、従業員が何を期待されているか情報を与える。また、すべての従業員はデータの機密性とそれを保護する責務を認識する必要があるとしている。設備や機器とは直接関係しない上に、多くの要素がISMSと重複するため、ISMSを取得している企業は容易に対応できる。一方、PCI DSSを初めて導入する場合には、コンサルティングなどの利用が有効であろう。

 【対応サービス・製品】
 PCI DSS実装支援サービス (株式会社ラック)
 PCI DSS準拠支援サービス (ネットワンシステムズ株式会社)
 PCI DSS トータルサービス (NTTデータ先端技術株式会社)
 PCI DSS認証コンサルティング (日本オフィス・システム株式会社)
 PCI DSS認定取得サポートサービス (TIS株式会社)
 RSAプロフェッショナルサービス (RSAセキュリティ株式会社)

(更新:2010/03/18)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report) 画像

Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
Armeria-saml に SAML メッセージ取り扱い不備 画像

Armeria-saml に SAML メッセージ取り扱い不備
LINE client for iOS にサーバ証明書の検証不備の脆弱性 画像

LINE client for iOS にサーバ証明書の検証不備の脆弱性
Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害 画像

Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害
PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性 画像

PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性
WordPress 用プラグイン Forminator に複数の脆弱性 画像

WordPress 用プラグイン Forminator に複数の脆弱性

インシデント・事故 記事一覧へ

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に 画像

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導 画像

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に 画像

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
笛吹市商工会へのサポート詐欺被害、調査結果公表 画像

笛吹市商工会へのサポート詐欺被害、調査結果公表
「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に 画像

「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に
NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず 画像

NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

調査・レポート・白書・ガイドライン 記事一覧へ

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性 画像

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表 画像

国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表 画像

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多 画像

セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査

研修・セミナー・カンファレンス 記事一覧へ

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

製品・サービス・業界動向 記事一覧へ

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース 画像

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース
情報処理学会、高等学校情報科の全教科書の用語リスト公開 画像

情報処理学会、高等学校情報科の全教科書の用語リスト公開
脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×