仮想環境下のPCI DSS対策 第2回「クラウド環境における推奨事項」 | ScanNetSecurity
2024.03.29(金)

仮想環境下のPCI DSS対策 第2回「クラウド環境における推奨事項」

前回「クラウド時代のPCI DSS」では、PCI SSCによって公開されたガイドライン“Information Supplement: PCI DSS Virtualization Guidelines”の前半を読み解きました。

特集 PCI DSS 対策研究所
前回「クラウド時代のPCI DSS」では、PCI SSCによって公開されたガイドライン“Information Supplement: PCI DSS Virtualization Guidelines”の前半を読み解きました。

前半では、まず使用される言葉や概念の定義を行っており、PCI DSSにあまり依存しない形で、仮想環境特有のリスクを考察していると考えられます。本稿では、前回挙げられたリスクに対して、どのような対策を行うべきであるのかを、比較的細かく説明しています。

付録文書、Appendix-Virtualization Considerations for PCI DSSでは、要件毎に何をすべきかが記載されています。PCI DSSへの準拠が求められる環境や、同等のセキュリティレベルが求められる環境において仮想技術の導入を検討する場合は、この付録文書を参考にしてリスク洗い出しと適切な対策の検討を行っていただくことをお勧めします。

前回の連載では、仮想環境に特有のリスクを洗い出し、対応していく際の観点が上げられましたが、本稿は、それを踏まえてどのような対策を行うべきかを説明しています。なお、ここではまだ解説は概念的で、具体的に何をすべきかが記載されているわけではありません。対策を行う際のひとつの観点であると考えるのが良いでしょう。

4.1.9 仮想マシンおよびその他のコンポーネントの強化

上記のハイパーバイザー向け対策は、VMなど仮想コンポーネントにも適用可能であり、推奨する。全ての項目が仮想マシンや仮想コンポーネントに適用できるとは限らない。実装方法は個別に確認すべきである。

・全ての不必要なインタフェース、ポート、デバイス、サービスを無効化もしくは削除する。

・全ての仮想ネットワークインタフェースおよびストレージ領域を安全に設定する。

・仮想マシン内で稼働するすべてのOSおよびアプリケーションも同様に強化する(要塞化する)。

・ログは、分離された安全なストレージに、できるだけリアルタイムに送信する。

・暗号鍵管理の取り扱いの整合性を確認する。

・個々のVMの仮想ハードウェアおよびコンテナを強化する(要塞化する)。

・その他適用可能なセキュリティ対策があれば適用する。

4.1.10 管理ツールの適切な使用の定義
管理ツールでは、仮想システムにおけるシステムバックアップやリストア、リモート接続、マイグレーション、設定変更等を行うことができる。スコープ内のコンポーネントを管理するための管理ツールは、スコープ内のコンポーネントのセキュリティや機能に直接的なインパクトを与えるため、管理ツールもスコープに入ると考えられる。管理ツールへのアクセスは業務上必要とされる関係者のみに限定されるべきであり、管理ツール機能の使用についての役割と責任を分離し、管理ツールの使用は監視し、ログを取得する。

4.1.11 VMの動的な性質の理解
VMは稼働中のもの以外に、休止状態の場合があるが、特に非アクティブもしくは休止状態のVMは、事実上、機密情報や仮想デバイスの詳細設定を含むデータセットである。休止状態のVMにアクセスできてしまえば、コピーして別の場所で稼働させたり、休止状態のVMイメージファイルの中をスキャンしてカード情報やその他機密情報を発見したりすることもできる。このためバックアップや休止状態のVMイメージへのアクセスは確実に制御、監視、管理しなければならない。

また、カード情報を含む非アクティブのVMは、その他のカード会員データの保管先と同等の機密レベルで取り扱う必要がある。つまり、データが不要となった際のVMの安全な削除、また、VMに関連する変更管理、監視、通知プロセスや、すべてのアクセスおよび行動の記録が必要となる。

4.1.12 仮想ネットワークセキュリティ機能の評価
仮想ネットワークインフラストラクチャでは、理想的には、(先述の)データ面、制御面、管理面すべてにおいてセキュリティ対策を実装することが望ましいが、必ずしもこれら3レベルで手段が存在するわけではない。そのような時には特に、下位にある物理コンポーネントが十分に分離されていること、および保護されていることで、仮想ネットワークデバイス間に経路を提供しない事が重要である。つまり、仮想ネットワークデバイスは、仮想システムを分離されたハードウェアであるかのようにする役割がある。

4.1.13 稼働する全ての仮想サービスの明確な定義
共有ホスティングサービスでは、仮想技術が使われていることがあるが、そのようなサービスの利用を検討する際は、ホストされる環境をその他の環境から、管理上、プロセス上、および技術上、適切に分離されていることを確認すべきである。例えば認証、ネットワークおよびアクセス制御、暗号化、ロギングなどの分離がある。

4.1.14 技術的な理解
仮想化環境は、トラディショナルな物理環境と大幅に異なるため、仮想技術を理解しなければ安全な環境を構築することはできない。業界ガイドライン等も参考にすべきである。業界ガイドラインとは以下のようなものがある。

・The Center for Internet Security (CIS)

・International Organization for Standardization (ISO)

・ISACA (formerly the Information Systems Audit and Con-trol Association)

・National Institute of Standards Technology (NIST)

・SysAdmin Audit Network Security (SANS) Institute

4.2 混在環境における推奨事項

4.2.1 混在環境におけるセグメンテーション
大原則として、異なるセキュリティレベルのVMは同一ハイパーバイザーや同一物理マシン上に配置すべきではない。なぜならセキュリティレベルが低い方に落ちてしまうからである。

基本ルールとして、スコープ内のホストがあれば、同一ハイパーバイザー上にある、本来関連しないサーバでもスコープ内となる。なぜなら、ハイパーバイザーもしくはホストOSが、仮想コンポーネント間の物理的、論理的、もしくは両方のコネクションを提供することになり、確実な分離/セグメンテーションが成し遂げられないからである。

もし、仮想コンポーネント間で十分にセグメンテーションが行えたとしても、セキュリティレベルの異なるコンポーネントをそれぞれ別に維持する事は、全体としてPCI DSSに準拠してしまう事よりも難しくなってしまう可能性もあるだろう。

4.3 クラウドコンピューティング環境における推奨事項

●プライベートクラウド
システムコンポーネントは所有者によって完全に制御され、信頼できるシステムコンポーネントのみから成る。

●パブリッククラウド
利用する側の企業が所有していない、もしくは全ての制御は行えないシステムコンポーネントから成る。どの程度クラウド提供事業者側に制御が残るかはサービスの種類、例えばInfrastructure as a Service(IaaS)、Platform as a Ser-vice(PaaS)、Software as a Service(SaaS)などによって異なる。パブリッククラウドの場合、リソースが全体で共有されるものであるため、物理的な分離は現実的ではない。

●ハイブリッドクラウド
プライベートクラウドとパブリッククラウドの組み合わせ。プライベートクラウド同士や、プライベートクラウドとパブリッククラウドを接続して構築する。所有権やデータ、システムコンポーネントの制御は複数の事業体に分割され、スコープの境界と責任範囲は複雑になる。

また、IaaS、PaaS、SaaSによって、クラウド提供事業者側とクラウド利用者側の責任範囲が異なる。ただしサービスによって異なるため、利用するクラウドサービスを個々に評価し、クラウド提供事業者とクラウド利用者の責任範囲を明確にすることが重要である。

クラウドではインフラストラクチャが共有される事により、PCI DSS準拠を成し遂げるにあたって障壁が発生する。その障壁には、以下のようなものがある。

・クラウド環境における分散アーキテクチャにより、環境に対する新たな技術レイヤの追加や、複雑性の増加が発生する。

・パブリッククラウド環境は公に面し、インターネット上のどこからでも当該環境にアクセスが許可されるよう設計されている。

・インフラストラクチャはもともと動的な性質であるため、テナント環境間の境界が流動的。

・利用者から、インフラストラクチャ内部や関連したセキュリティ対策を一部もしくは全く確認できない。

・利用者によるカード会員データストレージの制御が限定されている、確認できない、もしくは制御できない。

・マルチテナント環境では、利用者から「誰が」リソースを共有しているのか、隣人(同環境でリソースを共有している利用者)がシステム、データストア、その他リソースを利用開始したときにどのような潜在的なリスクがあるのかを知る術がない。

パブリッククラウドにおいては、クラウドアーキテクチャが不可視である点について追加の対策が必要である。つまりパブリッククラウドや同等の環境においては、カード会員データ環境に対する追加のリスクを補完するため、強力な予防的、検知的、復旧的制御が必要となる。クラウドサービスプロバイダは、カード会員データを取り扱う顧客をホスティングする場合、クラウド環境が顧客のPCI DSS対象範囲となった場合に備える必要がある。つまりどの要件に対する対策はクラウドサービスプロバイダの範囲外で、顧客側の責任で準拠しなければならないのかを明示する。

(NTTデータ先端技術株式会社 CISSP 川島祐樹)

略歴:NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×