Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

コロナウイルス時代のリモート監査

PCI DSS つぶやいてみた。

コロナウィルスの影響はこんな所にも。考えてみれば当然なのですが、監査の世界にもリモートワークを考えなければいけない状況になってきた様です。

blog.pcisecuritystandards.org

 

 

PCI SSCは、コロナウイルスのspread延とそれを封じ込めるための国際的な取り組みを含む展開中の世界的な状況を考えると、遠隔評価の問題について多くの質問を受けました。このブログでは、リモート評価に関する評価者コミュニティにガイダンスを提供しています。   

PCI SSCは、コロナウイルスに関連付けられている異常な状況は、ミーティングや会議のための大規模なグループの会衆に限定されるものではないことを認識し、だけでなく、PCI DSS、カードに対するPCIの評価として、一般的には、国や世界の旅行必要とするその他の活動を、影響を与える可能性があります生産、P2PE、およびPIN標準。オンサイト評価は常に期待されていますが、このユニークな状況では、オンサイト評価に関する決定を行う際に個々の健康と安全を考慮する必要があります

 

(PCI DSSブログ記事より引用)※機械翻訳

 

キタきつねの所感

機械翻訳なので少し読みにくい文章かと思いますが、要はセキュリティ監査に直接監査員が現地に行けない様な状況の場合にどうするか?という課題がもう現実的に発生しているという事を、この記事は物語っています。

国際的な(金融系の)セキュリティ基準を策定するPCI SSCは、オンサイト評価が困難な場合、一定の条件下で「リモート評価」を認める=評価員(QSA)が現地に行かなくても良い、判断を出しました。

 

ですが、

 

リモートアセスメントを実行する場合、アセスメント担当者は、リモートで実行する検証により、コントロールが適切に実装され、要件が満たされていることを確認してから、要件が「適切」であることを承認し、コンプライアンスに関するレポートを完成させる必要があります

 

(PCI DSSブログ記事より引用)※機械翻訳

 

とあるので、評価内容が緩くなる訳ではありません。普段は評価人(QSA)が視認評価する点や、関係者に直接インタビューしていた内容を含め、要件を満たしているかを、別な証跡で判断して評価レポートを出す必要がある様です。

 

評価の整合性を維持する

評価者は、評価の整合性がリモートテストによって悪影響を受けないようにするために必要なすべての手順を実行する必要があります。たとえば、リモートテストの場合、インタビュー対象の人員と検査対象のシステムコンポーネントが同じであることを確認するために特別な予防措置が必要になる場合があります評価者が現場にいるかのように。実装を観察し、証拠を収集するために使用される方法も、少なくともオンサイト評価と同じレベルの保証を提供する必要があります。

また、査定者は、オンサイトテストが実行されなかった理由と、リモートテストが同等のレベルの保証を提供した方法コンプライアンスレポートに明確に文書化する必要があります。すべての関連する証拠は、監査またはその他の要求の場合に、評価のためのワークペーパーの一部として保持されなければなりません

(PCI DSSブログ記事より引用)※機械翻訳

 

率直に言って、リモート審査を実施する場合、(評価人=QSACの)評価手法が問われると言っても過言ではないかと思います。

「インタビュー対象人員と対象システム・・・同じであること」の下りは、評価を受ける(認定施設)側が評価者(QSA)を騙す事を想定した様な書き方です。

 

この辺りが上手い書き方(要求の仕方)だなと思いますが、「リモートテストが同等のレベルの保証」 する事を求めており、それについては評価を受ける側と評価者双方で考えて「同等レベルを保障」する事を考えないといけません。例えばビデオインタビュー(TV会議)を有効に使う事でもあるでしょうし、場合によっては評価者に指定された端末の設定をサーバ室の中で動画に撮影して評価を受ける・・・といった事もその対策に入るかも知れません。

ある意味、従来の対面審査以上に念入りな準備が必要であり、足りない部分をどう補うかについて、評価者(QSA)と施設側はよく話し合う必要があるかと思います。

 

別な逃げ方として、(日本のPCI DSS受審企業は日本のQSAをほとんどのケースで使っていると思うのであまり関係なさそうですが・・・)評価人の指示を受けた現地の業者が、監査要件を確認しにいくという事も認められる様です。

さらに、査定会社は、資格のある地元の査定者を支援することも検討します。たとえば、PCI DSS評価では、健康上の懸念によりプライマリQSAがオンサイトの場所に移動できない場合、承認された下請け業者に依頼して、QSAプログラム要件に従って評価のオンサイトの側面を実行することができます。

(PCI DSSブログ記事より引用)※機械翻訳

 

但し、PCI SSCが言う「資格のある」「承認された」は、QSAレベルの様です。(下記関連FAQ参照)

この記述内容から考えると、ISA(内部審査人)の評価結果をQSAに評価させる事は認められない様です。しかしISAを下請け業者と同様に考える事は難しくても、ISAが事前準備した証跡を、QSAが非対面(現地に行かずに)で、動画、画面キャプチャー、PDF資料、TV会議インタビュー等でレビューする事で、PCI SSCの要求する水準までもっていく事が出来るのかも知れません。

いずれにせよ、従来の対面審査よりも準備のハードルが上がりますが、このご時世ですので、もしそうした審査を必要が出た場合は、工夫で乗り込めていくしかないのかと思います。

 

■関連FAQ

PCI DSS評価のすべての側面について、QSAはクライアントの施設にオンサイトである必要がありますか?  (英語)

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

監査法人のキャラクター

 

更新履歴

  • 2020年3月15日 AM(予約投稿)