CISOの相談室　第11回 PCIDSSについて教えて下さい[後編]

　先日、ビザがPCIDSS遵守の国際的な義務化に向けて期限を設定したことが発表され、ますます関心の高まるPCIDSSですが、その具体的内容について教えて下さい。また、PCIDSSの基準を他に活かすことは出来ますか？

特集特集

2008年12月2日（火） 16時45分

　先日、ビザがPCIDSS遵守の国際的な義務化に向けて期限を設定したことが発表され、ますます関心の高まるPCIDSSですが、その具体的内容について教えて下さい。また、PCIDSSの基準を他に活かすことは出来ますか？

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

─

●こうすれば利用できる！

　PCIDSSの基準を一般企業に利用しようとすると、やはり出てくるのは「カード業界向け」という先入観です。これが邪魔して一般企業で取組むかどうかの土俵にすら上れない、または、実際にPCIDSSを読んでみても、なかなかスーっと入ってきません。そこで、セキュリティ業界でよく実施されているのが、記述で「カード会員データ」となっているところを、「重要データ」や「個人情報」と読み替えるという手法です。カード業界向けの基準が「あら不思議！」一般企業にも代用できる基準に早代わりします。

●対応が難しいところ

　要件8.5のパスワード管理で、「パスワードは90日毎に変更する。パスワードは7文字以上にする。4回以上使用したパスワードは使用できないようにする。連続したアクセス試行を6回以内に制限する。違反時のロックアウト時間は30分間とする。セッションのアイドル時間が15分を越えた場合パスワードを再入力させる。」などがあります。これらの要件を一度に満足させることは容易ではありません。

　自社開発のWebアプリケーションなどでは可能でしょうが、PCからのユーザー認証では、Windowsが提供しているパスワードポリシーとアカウントポリシー、そして、スクリーンセーバーのパスワードロック機能など複数の機能を併用させる工夫が必要です。しかし、古いWindowsではこれらの機能が無いために、別途、認証ツールを用意するかPCの入れ替えが必要となります。また、これらのポリシーを企業内で一元管理するためには、Active Directoryなどを構築して運用する必要があります。仮に技術的に要件を満たすことができたとしても、パスワード忘れや利便性の欠如など、運用面に不安を感じます。

●解釈が曖昧なところ

　PCIDSSを一読されるとすぐにわかることですが、前述のパスワード管理の様に機能とその設定まで深く掘り下げて規定している要件もあれば、単に「利用すること。」と、解釈が曖昧な要件もあり、要件レベルにばらつきがあります。詳細な部分は重要度が高く、それほどでもない要件は重要度が低いのではないかと勝手な予想はできますが、後述のウイルス対策などの様に重要であるのにもかかわらず、10行程度でサラッと通り過ぎている要件もあるので、これで本当に大丈夫？と感じられます。

　できれば、要件毎の重要度に応じた内容とボリュームで機能とその設定方法を規定するべきです。また、最初のページあたりに、要件毎の重要度のバランスや、目標とするセキュリティレベル毎の各要件の必要性をマトリックス表示した解説があると（PCIとしてはやらないでしょうからセキュリティコンサル企業などが）、一般企業にとって更にPCIDSSが適用しやすくなると思われます。

●内容が不十分なところ

　要件5において、ウイルス対策が規定されていますが、そこで、「多くの脆弱性や悪意あるウイルスは、従業員の電子メール操作を通じてネットワークに侵入する。」とあります。最近ではWeb閲覧からのウイルス侵入や、USBメモリーからのウイルス侵入も問題になっているので、説明と対策が不十分だと思われます。

　また、5.1で、「注：ウイルスによる影響を受けやすいシステムには、一般的にUNIXベースのオペレーティング・システムやメインフレームは含まない。」とあります。また、5.1.1で、「アンチウイルス・ソフトウェアやアドウェアを含む悪意のある異なる形態のソフトウェアに対して、検知・除去・防護が可能でなければならない。」ともあります。古くからUNIXを狙ったルートキットなどの悪意のあるソフトウェアは多く、これも説明と対策が不十分です。

　また、要件12の「セキュリティ・ポリシーの整備」の12.3.7で、「会社が承認した製品のリスト」について使用ポリシーを作成して適切な使用を規定しなさい。というのがあります。つまり、会社が承認した製品は正しく使用し、承認していない製品は勝手に使ってはいけないということです。従業員によるWinnyなどのP2Pソフトウェアや、メッセンジャーなどの使用は、情報漏えいを誘発する最もリスクの高いポリシー違反です。できれば、ポリシーによる人的制御だけではなく、対策ツールを利用した不許可ソフトウェアの技術的制御も要件の一つとして追加するべきだと思います。

●PCIDSSは技術的対策の「ものさし」

　「情報セキュリティはどこまでやればよいのだろう？」費用対効果も含めて、これは企業にとって永遠のテーマであるかもしれません。情報セキュリティの人的対策は…

【執筆：せきゅバカ一代】
＜執筆者略歴＞
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

【関連記事】
CISOの相談室　第10回 PCIDSSについて教えて下さい[前編]
https://www.netsecurity.ne.jp/7_12496.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

CISOの相談室　第11回 PCIDSSについて教えて下さい[後編]

Scan PREMIUM 会員限定記事

Non State Actor 図鑑（4）世界 2 位は GDP だけではない～ QAnon 帝国ドイツ

ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

Non State Actor 図鑑（4）世界 2 位は GDP だけではない ～ QAnon 帝国ドイツ

ビッグ・ブラザー２０２４ ～ 監視カメラと画像分析 その高成長市場と国際動向

今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

JPRS、PowerDNS Recursor の DoS 攻撃が可能になる脆弱性に注意喚起

データスコープ社製の顔認証カメラに脆弱性

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性

TvRock にサービス運用妨害（DoS）と CSRF の脆弱性

NETGEAR 製ルータにバッファオーバーフローの脆弱性

RoamWiFi R10 に複数の脆弱性

インシデント・事故 記事一覧へ

法人間決済サービスの UPSIDER で利用可能枠やメールアドレス情報が記載されたメール誤送信

護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

メディキットホームページに不正アクセス、閲覧障害に

セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

調査・レポート・白書・ガイドライン 記事一覧へ

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少？ 感染率と身代金支払率 15 ヶ国調査 2024」

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート（2024.1Q）」公表

社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ～ 被害企業 230 社調査

国立国会図書館 調査及び立法考査局「令和 6 年能登半島地震への対応」総括、ソーシャルメディアの功罪も

「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024（情報漏えいの全容）」日本語版

研修・セミナー・カンファレンス 記事一覧へ

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説

ビッグ・ブラザー２０２４ ～ 監視カメラと画像分析 その高成長市場と国際動向

SECON 2024 レポート：最先端のサイバーフィジカルシステムを体感

トレーニング 6 年ぶり復活 11/9 ～ 11/15「CODE BLUE 2024」開催

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

スペシャリスト集結！ マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

製品・サービス・業界動向 記事一覧へ

経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

外務省、偽情報の拡散を含む情報操作への対応を公表

「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

KELA、生成 AI セキュリティソリューション「AiFort」提供開始

NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

Non State Actor 図鑑（4）世界 2 位は GDP だけではない～ QAnon 帝国ドイツ

ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

今日もどこかで情報漏えい第23回「2024年3月の情報漏えい」なめるなという決意ここまでやるという矜恃

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

セガフェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

調査・レポート・白書・ガイドライン記事一覧へ

Proofpoint Blog 36回「身代金を払わない結果日本のランサムウェア感染率減少？感染率と身代金支払率 15 ヶ国調査 2024」

ロシアからの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート（2024.1Q）」公表

社内不正 1位情報持ち出し・2位横領・3位労働問題～被害企業 230 社調査

国立国会図書館調査及び立法考査局「令和 6 年能登半島地震への対応」総括、ソーシャルメディアの功罪も

研修・セミナー・カンファレンス記事一覧へ

ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

スペシャリスト集結！マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

製品・サービス・業界動向記事一覧へ

「GMOサイバー攻撃ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ