Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

PCI DSSv4.0を読む④ 要件1の変更概要

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。

この記事を書いている時点では、まだ日本語版が出ていないので、v4.0基準に目を通されていない方も多いかと思いますが、英語版356ページにも及ぶ基準書となりますので、PCI DSSの専門家を自負している1人として、個人的な感想を交えて何回かに分けてv4.0について記事を書ければと思います。

 

5.  要件1:ネットワークセキュリティ制御の導入と維持

(後々の修正を恐れて)日本語版リリースを待って解説記事を書きたかったのですが、3/31の英語版リリース後1ヶ月以上経っても日本語版が出ていない為、手持ちの抄訳(機械翻訳)でv4.0の内容を読み解いていきます。

※今後リリースされる日本語版と日本語表記(翻訳)が一部違うかと思いますが、抄訳(機械翻訳)という事でご容赦下さい

 

PCI DSSの”12要件”という体系はそのまま維持されていますが、タイトル等が一部変更になっています。全体的に用語が見直しされ、規定内容の明確化がされていますが、多くの方に影響が出る可能性がある「新要件」はありません

 

※以下、PCI SSCのJCDSCセミナー(4/20)の資料からの引用

v3.2.1の要件1のタイトルは

要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する

なのですが、v4.0では

要件1:ネットワークセキュリティ制御の導入と維持

となっています。

 

これは、カード会員データ環境(CDE)を守るためのネットワークセキュリティ制御には、ファイアウォールだけではなく、クラウド制御技術や複合型のセキュリティ機器や技術を用いて実現するケースがある事を受けての変更だと思います。

 

要件1の解説に入る前に、v3.2.1と比べて”改善された”と感じた部分があるので触れておきます。それが12要件(章)の概要が書かれる様になりました。

v3.2.1では”いきなり要件”が始まるといった印象がありましたが、要件(章)が何についてのものであるのか、といった全体理解を深める為の要点が冒頭部分に書かれています。

※日本語抄訳(機械翻訳

 

前述の通り、要件1の変更点は”明確化”が多いので、v3.2.1準拠できている組織では、それほど大きな影響は無いかと思います。しかしガイダンス等を見て”差分が無いか”はチェックする必要があります。

またv4.0全般的な話になりますが、現在は自己問診票(SAQ)で準拠対応している加盟店等はQSA等のチェックも受けて無いかと思いますので、従来大丈夫だと思ってチェックしていた規定の意味を”取り違えていた”という事も十分に考えられますので留意が必要です。

 

以下、個人的に気になったv4.0要件です。

 

要件1.1.2 要求事項1の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。【明確化】

v3.2.1では、要件1.1.5に「1.1.5 ネットワークコンポーネントを管理するためのグループ、役割、責任に関する記述」とありますが、ネットワークコンポーネントだけでなく、要件1全体を指して役割と責任の明確化(v3.2.1より対象が広くなります)を求めています。ここは組織の体制図(又は役割が明記された規定類)等を作成する事が多いかと思いますが、きちんとした体制図を作れていない場合、見直しが必要になる可能性があります。

 

要件1.5.1 信頼されないネットワーク(インターネットを含む)とCDEの両方に接続する、会社および従業員所有のデバイスを含むあらゆるコンピューティングデバイスに、以下のようにセキュリティ管理が実施される。【明確化】

v3.2.1では、要件1.4に「ネットワークの外側ではインターネットに接続され(従業員が使用するラップトップなど)、またCDE へのアクセスにも使用されるすべてのポータブルコンピューティングデバイス(会社および /または従業員所有を含む)に、パーソナルファイアウォールソフトウェアまたは同等の機能をインストールする。」とありますが、v3の頃には一般的ではなかったBYODやタブレットスマホ等の性能も上がり、こうした端末を使ってカード会員データ環境(CDE)へアクセスする様なニーズも増えているという背景事情もあり、端末の特性に応じたセキュリティコントロールによって、なりすまし等の不正アクセスマルウェア等の脅威が、カード会員データ環境に持ち込まれない事を実現する事が求められています。

 

尚、PCI DSSはバージョンアップの度に「厳しくなる」方向にありますが、PCI DSSv4.0では”柔軟性”が向上している部分もあり、例えばこの要件1.5.1の注意事項には、保守や技術的調査等の例外的な運用に関して、(無条件という訳ではありませんが)正当な理由と経営陣の承認があれば許可される旨の補記があります。

適用に関する注意事項

これらのセキュリティ管理は、技術的に正当な必要性がある場合に限り、経営陣がケースバイケースで承認した上で、一時的に無効にすることができます。特定の目的のためにこれらのセキュリティ管理を無効にする必要がある場合、それは正式に承認されなければなりません。また、これらのセキュリティ管理が有効でない期間、追加のセキュリティ対策を実施する必要がある場合もあります。

 

 

PCI DSSv4.0を読む シリーズ

 PCI DSSv4.0を読む① v3.0リリースの頃を振り返る

 PCI DSSv4.0を読む② v4.0の印象とタイムスケジュール

 PCI DSSv4.0を読む③ カスタマイズドアプローチ

 PCI DSSv4.0を読む④ 要件1の変更概要

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

更新履歴

  • 2022年5月11日 PM