Prioritized Approachの活用

PCIセキュリティスタンダードカウンシル(以下、SSC)では、2009年3月31に"Prioritized Approach for PCI DSS 1.2"と称した文書とツールを公開しました。以下ページより、情報文書を検索できます。
https://www.pcisecuritystandards.org/document_library

※上記リンク先では2つのファイルがダウンロード可能となっています。

 ①Prioritized Approach for PCI DSS 1.2 (PDFファイル、英語)

 ②Prioritized Approach for PCI DSS 1.2 (XLSファイル、英語)

この文書では、PCI DSSの12要件を6つの"Milestone"に分類し、リスクを早期に排除するためのアプローチ方法が示されています。今回はこの文書における考え方、と注意点、また、活用方法を説明します。

Prioritized Approachとは?

Prioritized Approachとは、PCI DSS12要件の優先順位付けを行うための参考資料です。注意しなければならないのは、これはあくまで優先順位を示すだけのものであり、対応すべき要件を取捨選択するものではありません。つまり、この文書で示された優先順位の高い要件に対応すれば、優先順位の低い要件は実施しなくても良いというわけではありません。
優先順位は、6つの"Milestone"に分類されます。それぞれのMilestoneは以下の通りです

Milestone(1)
センシティブ認証データを削除し、データの保持を制限すること

Milestone(2)
境界、内部、無線ネットワークを保護すること

Milestone(3)
ペイメントカードアプリケーションを安全にすること

Milestone(4)
システムへのアクセスを監視し、制御すること

Milestone(5)
保存されたカード会員データを保護すること

Milestone(6)
残りの準拠努力を完了し、すべての制御が実施されていることを確認すること

なぜ、12の観点で分けられたPCI DSSの要件を、このような形で再分類する必要が出てきたのでしょうか。それは、PCI DSSはあくまで対策を実施すべき対象をベースに分類されているためと考えられます。PCI DSSの要件1の観点は、「安全なネットワークの構築・維持」ですが、実際に要件を見てみると、主にファイアウォールとルータ、無線ネットワークに対する要件と、関連するプロセスに対する要件になっています。要件1すべてに対応すれば「安全なネットワークの構築・維持ができる」というわけではありませんし、これがもっとも重要かつリスクの高い箇所に対する要件というわけでもありません。

一方、Milestone1では、以下の要件が分類されています。

  • 1.1.2 ワイヤレスネットワークを含む、カード会員データへのすべての接続を示す最新ネットワーク図
  • 3.1 保存するカード会員データは最小限に抑える。データの保存と廃棄に関するポリシーを作成する。データ保存ポリシーに従って、保存するデータ量と保存期間を、業務上、法律上、規則上必要な範囲に限定する。
  • 3.2 承認後にセンシティブ認証データを保存しない(暗号化されている場合でも)。
  • センシティブ認証データには、以降の要件 3.2.1 ~ 3.2.3 で言及されているデータを含む。
  • 3.2.1 磁気ストライプのいかなるトラックのいかなる内容も保存しない(カードの裏面、チップ内、その他に存在する)。このデータは、全トラック、トラック、トラック 1、トラック 2、磁気ストライプデータとも呼ばれる。
  • 3.2.2 カードを提示しない取引の確認に使用されるカード検証コードまたは値(ペイメントカードの前面または裏面に印字された 3 桁または 4 桁の数字)を保存しない。
  • 3.2.3 個人識別番号(PIN)または暗号化された PIN ブロックを保存しない。
  • 9.10 次のように、ビジネスまたは法律上の理由で不要になったカード会員データを含む媒体を破棄する。
  • 9.10.1 カード会員データを再現できないよう、ハードコピー資料を裁断、焼却、またはパルプ化する。
  • 9.10.2 カード会員データを再現できないように、電子媒体上のカード会員データを回復不能にする。
  • 12.1.1 すべての PCI DSS 要件に対応する。

Milestone1の目的として「センシティブ認証データを削除し、データの保持を制限すること」とある通り、CVV2/CVC2/CID、完全な磁気ストライプデータ、PINまたはPINブロックなどのセンシティブ認証データの非保持を達成するための要件が分類されています。つまり、カード会員データを扱う企業のもつリスクを排除するために最も優先すべきことはセンシティブ認証データを持たないようにすることである、という考え方が読み取れます。

このように、Milestone(1)~(6)では、リスクの高い順に要件が再整理されているため、同じ「完全準拠」を目指すとしても、より早い段階でリスクを排除するアプローチをとることができます。

Prioritized Approachツール(上記②のExcelシート)の内容

Prioritized ApproachツールはExcelシートとなっており、3つのシートからなっています。それぞれのシートの説明をしたいと思います。ここでは便宜上、日本語版を使用しますが、PCI SSCから公開されているものではありませんので、PCI SSCからダウンロードできる英語版の内容と読み替えていただくか、個別にお問い合わせください。

シート(1) 使い方
使い方のシートには、このExcelシートの使用方法が記載してあります。このツールの使い方の流れの概要が記載されていますので、このシートでおおよその使い方がわかります。ここで示されたステップに従って作業を進めます。

まず、ステップ1に示された通り、Excelの設定を変更する必要があります。

  • Excelの設定を変更


次に、ステップ2およびステップ3を実施しますが、ここではこれから実施するマイルストーンをフィルタ機能で選択します。優先アプローチマイルストーンのシートを開き、マイルストーンのセルの「▼」をクリックし、実施するマイルストーンを選択してください。

マイルストーンの選択


マイルストーンを選択したら、それぞれの要件の「状況」セルに「Yes」もしくは「No」を入力します。対策済項目にはYes、未対策項目にはNoを入力します。特にNoの項目については現在どのような状況か、また、対応はいつ頃までに行うのか、対応者なども記入しておくと、後程役に立つはずです。また、Yesの場合も、参照するドキュメントや担当者を記入しておくことで、再確認する際にも非常に役に立ちます。

状況の入力



上記手順を実施した後、「優先アプローチサマリ」シートを確認することで、各マイルストーンおよび全体における「完了率」を確認することができます。

完了率の確認

 

どのような場面で活用できるか

優先アプローチサマリは、あくまでPCI DSSに準拠しようとする組織が高いリスクを優先的に排除するためのツールです。加盟店やサービスプロバイダにおけるサービスレベルの定義や、バリデーション手続き(準拠証明に何が必要かがブランド毎に定められた手続き)に従って対応、報告をしなければなりませんが、自主的な診断であるとはいえ、どのように対応が進んでいるのか内部で情報を共有するためにも、経営層に報告するためにも、後々審査を行うQSAに確認してもらうためにも使えるでしょう。

また、今のところこの証明書を使用した正式なバリデーション手続きについてはまだ聞いたことがありませんが、今後、このようなツールが使用されるケースもあるかもしれません。テスト手順までは細かく記載されていない、全体の概要を把握するためのツールですので、うまく活用し、リスクの早期排除とPCI DSS対応状況の把握と情報共有のために活用していただくことをお勧めします。

※日本語版Prioritized Approachにつきましては、E-mailにてお問い合わせください。
  E-mail:pci@nttdata-sec.co.jp
※日本語版Prioritized Approachの転載・加工・再配布はご遠慮ください。
※本ツールを使用することによっていかなる損害が生じようとも、当社は一切責任を負いません。
※各規格名、会社名、団体名は、各社の商標または登録商標です。

次回予告

次回以降も、各部分について少しずつクローズアップしながら解説していく予定です。

Writer Profile

コンサルティング本部
PCI推進室
川島 祐樹(CISSP、QSA、PA-QSA)

イントラネットセキュリティ研究開発、セキュリティ製品およびサービスの企画・開発、 導入・構築、情報セキュリティ対策コンサルティングに携わり、現在はQSAとして 訪問調査を実施するとともに、PCI DSSの普及推進活動を行っている。

Prioritized Approachの活用