PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。
5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い453ページの”大作”となっており、中々細部まで読むのが大変な基準書となっていますが、PCI DSSの専門家を自負している1人として、個人的な感想を交えて何回かに分けてv4.0について記事を書ければと思います。
※前回記事の6月から間が空いてしまいましたが、お盆休み期間に少し記事がかけたので公開します。
要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
要件10ではまずタイトルが変更されています。少し意図が分かりにくかったネットワークリソースはシステムコンポーネントと書き直され、追跡部分もログ記録に置き換えられており、規定の意図が分かりやすくなった気がします。
※v3.2.1
※v4.0
要件10における新要件は5つです。
最初は10.1.2です。他の章と同様に「役割と責任」に関する要件が新規追加されています。他の章と同様に、文書化要求がありますので留意下さい。
2つ目の新要件は10.4.1.1で、監査ログレビューの実行には自動化されたメカニズムを使用する事が必須となりました。
v3.2.1では人が監査ログレビューを実施していても要件上は問題が無かったのですが、v4.0では『自動化』と明確に書かれている事から、人がレビューしていたPCI DSS準拠組織で色々と問題が発生した事が伺え、SIEM等を利用した自動化が必須とPCI SSCが判断したという事なのかと思われます。
※ガイダンスにはソレが伺えるん内容が”目的”に書かれています。「ログデータの量が多いため、1~2 システムであっても手動でログレビューを行うことは困難です。」
※未来日付(2025年3月31日まではベストプラクティス)の規定です
3つ目の新要件は10.4.2.1で、10.4.1の対象となっていない、その他全てのシステムコンポーネントのログもターゲットリスク分析で定めた頻度によって、定期的にレビューする事が求められています。※ログレビュー実施は10.4.2で要求されています
※未来日付(2025年3月31日まではベストプラクティス)の規定です
4つ目の新要件は10.7.2で、v4.0の変更履歴を見てもそうとは書かれていないのですが、v3.2.1では10.8に書かれていたサービスプロバイダー向けの要件に、この内容が含まれており、それが全ての事業体(≠サービスプロバイダー)に適用された様に思います。
10.7.2は、重要なセキュリティ対策機器の障害を検知し対処する為のプロセスが定義され、障害発生時にアラートが上がる事が要求されています。
※未来日付(2025年3月31日まではベストプラクティス)の規定です
最後5つ目の新要件は前述の10.7.3です。
10.7.3は障害発生時の対応が定義され、実際の障害が文書化されている(運用が廻っている)事が要求されています。
※未来日付(2025年3月31日まではベストプラクティス)の規定です
10.7.2、及び10.7.3ではどちらも未来日付が設けられていますが、既にv3.2.1で対応済のサービスプロバイダーとは違い、それ以外の事業体には”初見”の要件となっている為に未来日付となっているので、「少し先に対応すれば良い」と思わない事が肝要かと思います。
検知システムの導入である程度カバーされる10.7.2とは違い、10.7.3は実際に障害対応がルーチンとして廻る事が必要となってくる為、ある程度PDCAによってプロセスを自組織向けに修正していく事が必要かと思います。
12.10.1で要求されている、インシデント対応計画(訓練)と合せて、重要なセキュリティ機器の障害をシナリオに組み込むといった事も、組織によっては良いPDCA材料となる気がします。
■PCI DSSv4.0を読む シリーズ
PCI DSSv4.0を読む① v3.0リリースの頃を振り返る
PCI DSSv4.0を読む② v4.0の印象とタイムスケジュール
PCI DSSv4.0を読む③ カスタマイズドアプローチ
PCI DSSv4.0を読む④ 要件1の変更概要
PCI DSSv4.0を読む⑤ 要件2の変更概要
PCI DSSv4.0を読む⑥ 要件3の変更概要
PCI DSSv4.0を読む⑦ 要件4の変更概要
PCI DSSv4.0を読む⑧ 要件5の変更概要
PCI DSSv4.0を読む⑨ 要件6の変更概要
PCI DSSv4.0を読む➉ 要件7の変更概要
PCI DSSv4.0を読む⑪ 要件8の変更概要
PCI DSSv4.0を読む⑫ 要件9の変更概要
PCI DSSv4.0を読む⑬ 要件10の変更概要
PCI DSSv4.0を読む⑭ 要件11の変更概要
PCI DSSv4.0を読む⑮ 要件12の変更概要
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
