クラウド時代のPCI DSS 第1回「仮想環境ガイドラインの公開」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.01.18(木)

クラウド時代のPCI DSS 第1回「仮想環境ガイドラインの公開」

特集 PCI DSS 対策研究所

2011年6月14日、PCI SSCより、仮想環境に関するガイドライン「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。このガイドラインは、PCI SSC内の「SIG(Special Interest Group)」と呼ばれる、特定の分野に関する議論が行われるワーキンググループの中の、「Virtualization SIG」が長い議論の末まとめたものです。

以下のPCI SSCのプレスリリースによれば、Virtualization SIGはCitrix SystemsのChief Security StrategistであるKurt Roemer氏を筆頭に、30を超える組織から構成されているとのことです。

プレスリリース(PCI SSC)
https://www.pcisecuritystandards.org/pdfs/pci_pr_20110614.pdf

このガイドラインは、PCI SSCのウェブサイトから自由にダウンロードすることができますので、詳細についてはこちらをご覧ください。

Information Supplement:PCI DSS Virtualization Guidelines
https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

本稿では4回に分けて、このガイドラインに書かれている内容を、紹介したいと思います。なお、読み解くにあたり、誤訳や誤解がある可能性もあります。実際に何らかの判断をされる場合の正確な情報としては、上記の公式ドキュメントを参照していただきますよう、お願いいたします。

また、翻訳は大部分が意訳となっているため、システムの設計や構築、運用に関する判断をされる際は、元文書を参考にしていただけますようお願いいたします。

この補足資料は、PCI DSSに沿って仮想技術の使用に関するガイドラインを提供するものである旨と、カード会員データ環境における仮想技術の使用に関する4つの原則が示されています。4つの原則とは以下の通りです。

(1)カード会員データ環境で仮想技術を使用する場合、PCI DSSはそれらの仮想技術にも適用される

(2)仮想技術には、他の技術には関連しない新たなリスクを伴う。よって、カード会員データ環境※における仮想技術の使用時は、それらの新たなリスクを確実に評価しなければならない

(3)仮想技術の実装方法は多様であるため、特定の仮想化された実装環境について、決済トランザクションプロセスや決済カード情報を含むあてはまる特性を識別し、文書化して徹底的に洗い出さなければならない

(4)PCI DSS要件を満たす仮想環境を作り上げるのに万能な手段や解決方法は存在しない。管理方法や手順は、仮想化がどのように使用され、実装されるかによって異なるだろう

(※カード会員データ環境:カード会員データを取り扱う環境、およびそこに直接接続する環境。詳細はPCI DSSv2.0、適用範囲の項を参照して下さい)

少し回りくどいので、簡単な言葉で言い換えてみましょう。

(1)仮想化していようとしていまいと、カード会員データを扱う環境であればPCI DSSの対象となる

(2)仮想技術を使う場合、仮想技術を使わない場合と比べて特別に気をつけなければいけないことがある

(3)とはいえ仮想技術や実際の環境も幅広いので、個々の実際の環境でリスクを洗い出し、文書化し、対策を練らなければならない

(4)万能な方法などない

(1)(2)(3)は特に仮想技術についてだけいえることではありません。PCI DSSのスコープの考え方は原則通りですし、要件を満たすためには様々な方法がある事も、仮想環境でなくとも同様です。つまり、PCI DSSの原則が、仮想環境でも同様に適用されますよ、という念押しに過ぎないというのが筆者の印象です。ですので、特に(2)の部分、仮想環境特有のリスクをどうとらえるかが重要になる事でしょう。

(NTTデータ先端技術株式会社 CISSP 川島祐樹)

略歴:NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

NTTデータ先端技術株式会社
http://security.intellilink.co.jp/
PCI DSS徹底解説
http://security.intellilink.co.jp/article/pcidss.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×