クラウドサービス利用時のPCI DSS準拠のポイント ~PCI DSS Responsibility Matrixとは~

クラウドサービスは、インターネットなどのネットワークを介して、必要な時に必要なだけのITリソース(ネットワーク、サーバー、ストレージ、アプリケーション、サービスなど)の提供を可能とするクラウドコンピューティングという技術に基づいた柔軟性、拡張性に優れたサービスです。一方で、クラウドサービス利用時の設定ミスにより誰でもアクセス可能な設定のままインターネット上に機密情報を公開してしまうなどのセキュリティ事故も発生していますが、クラウドサービスのリスクと自身の責任を正確に把握できていないことが一因と考えられます。
この事は、クレジットカード情報を取り扱うシステムがクラウドサービスを利用してPCI DSS準拠を目指す場合も同様で、自身が責任を持つPCI DSS要件を正確に把握することが重要です。そこで今回は、クラウドサービス利用者とクラウドサービスプロバイダーの間でPCI DSS要件を維持するための責任がどのように共有されるかを確認するためのツールとしてPCI SSC Cloud Computing Guidelines[1]で紹介されているPCI DSS Responsibility Management Matrix(以降「PCI DSS Responsibility Matrix」と表記)について紹介したいと思います。

クラウドサービス分類別のPCI DSS要件の責任範囲

クラウドサービスは様々な機能や形態で提供されていますが、その提供範囲によって利用者とプロバイダー間で共有されるPCI DSS要件の責任範囲は異なり、PCI SSC Cloud Computing Guidelinesでは大きくSaaS/PaaS/IaaSの3つに分類しています。

Software as a Service (SaaS)
クラウドインフラストラクチャー上で実行されているプロバイダーのアプリケーションを使用する形態。アプリケーションには、ウェブブラウザなどのシンクライアントまたはプログラムインタフェースを介して、さまざまなデバイスからアクセスする。
Platform as a Service (PaaS)
プロバイダーがサポートするプログラミング言語、ライブラリ、サービス、ツールを使用して、クラウドインフラストラクチャーに(作成または取得した)アプリケーションを展開する形態。
Infrastructure as a Service (IaaS)
クラウドインフラストラクチャー上でオペレーティングシステム、アプリケーション、およびその他のソフトウェアを展開および実行するために、プロバイダーのプロセッシング、ストレージ、ネットワーク、およびその他の基本的なコンピューティングリソースを利用する形態。

図1:SaaS/PaaS/IaaSプロバイダーの提供範囲のイメージ

図1:SaaS/PaaS/IaaSプロバイダーの提供範囲のイメージ

図1に示す通り、クラウドサービスの提供範囲はIaaS、PaaS、SaaSの順に広がります。そのため、SaaSが最もプロバイダーが責任を負う範囲が大きく、逆にIaaSは利用者側で責任を負うべき範囲が広がります。これはPCI DSS要件についても同様です。PCI SSC Cloud Computing GuidelinesのTable 2: Example of PCI DSS responsibility sharing between Customers and Providersでは、SaaS/PaaS/IaaS分類ごとにPCI DSS要件が利用者とプロバイダーの間でどのように共有されるかの参考例が示されています。

表1「PCI SSC Cloud Computing Guidelines」
Table 2: Example of PCI DSS responsibility sharing between Customers and Providersを元に意訳
PCI DSS 要件コントロールの管理責任の割当例
IaaSPaaSSaaS
要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する共有共有プロバイダー
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない共有共有プロバイダー
要件3: 保存されるカード会員データを保護する共有共有プロバイダー
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する利用者共有プロバイダー
要件5: すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する利用者共有プロバイダー
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する共有共有共有
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する共有共有共有
要件8: システムコンポーネントへのアクセスを識別・認証する共有共有共有
要件9: カード会員データへの物理アクセスを制限するプロバイダープロバイダープロバイダー
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する共有共有プロバイダー
要件11: セキュリティシステムおよびプロセスを定期的にテストする。共有共有プロバイダー
要件12: すべての担当者の情報セキュリティに対応するポリシーを維持する。共有共有共有
PCI DSS 付録A1: 共有ホスティングプロバイダ向けの PCI DSS 追加要件プロバイダープロバイダープロバイダー

例えば、要件1におけるIaaSやPaaSでは「共有」とあるように、ネットワークセキュリティの管理責任は利用者とプロバイダー共に責任を負うこととされています。具体的には、PCI DSSの関連要件を満たしたファイアウォール機能をプロバイダーが提供し、利用者は業務上必要な通信にファイアウォールのルール設定を行い、自身のネットワーク環境を保護することなどが挙げられます。

PCI DSS Responsibility Matrixとは

実際のサービスには様々な特徴があり、利用者の想定でSaaS/PaaS/IaaS毎に一律に責任範囲を思い込みで判断してしまうと、前述のセキュリティ事故のように利用者とプロバイダー間での責任所在に漏れが生じてしまう恐れがあります。
そのため、プロバイダーは、契約、覚書、サービスレベルアグリーメントなどによって、PCI DSSの責任の割当てを明確に文書化し、利用者はその内容を理解した上でプロバイダーと合意することが重要です。具体的には、PCI SSC Cloud Computing Guidelinesでは、そのためのテンプレート例としてPCI DSS Responsibility Matrixによる文書化を推奨しています。

表2「PCI SSC Cloud Computing Guidelines」Appendix C: Sample PCI DSS Responsibility Management Matrixより意訳、抜粋

表2「PCI SSC Cloud Computing Guidelines」Appendix C: Sample PCI DSS Responsibility Management Matrixより意訳、抜粋

① Responsibility (Provider only ,Customer only ,or shared)
PCI DSSの各要件に対する維持、検証責任が、プロバイダーにあるか、利用者にあるか、あるいはプロバイダーと利用者で責任が共有されるかを明示します。
② Specific Coverage / Scope of Customer Responsibility
利用者の具体的な責任範囲を示します。例えばIaaS環境で提供されるファイアウォールを用いて業務上必要なトラフィックのみにファイアウォールのルール設定を行うのは利用者の責任であること等が明示されます。
③ Specific Coverage / Scope of Provider Responsibility
プロバイダーの具体的な責任範囲を示します。例えばIaaS環境で提供するファイウォール機能についてPCI DSSに準拠したセキュアな構成を維持するのはプロバイダーの責任であることなど等が明示されます。
④ How and When Provider Will Provide Evidence of Compliance to Customer
利用者がプロバイダーの責任範囲についてPCI DSSに準拠していることを検証できるように、PCI DSSの準拠状況を確認可能な証拠の提出時期と方法を示します。例えば、年次のPCI DSS準拠証明書の更新時期などが明示されます。

本表を活用することでPCI DSSの各要件を維持するための責任が利用者とプロバイダーでどのように共有されているかを明確にし、確認することができます。利用者とプロバイダー間で責任の所在が不明瞭となり対処が抜け漏れてしまうことのな無いよう、プロバイダーがPCI DSSに準拠していることを検証すると共に、自身の責任範囲となるPCI DSS要件を正確に把握し、PCI DSS要件に沿った対応を確実に行うことが求められます。

図2:ファイアウォール構成に関するPCI DSS 要件の維持責任範囲の検証イメージ

図2:ファイアウォール構成に関するPCI DSS 要件の維持責任範囲の検証イメージ

まとめ

今回は、クラウドサービス利用時のPCI DSS準拠のポイントとして、利用者とプロバイダーの責任範囲の正確な把握の重要性と、そのツールとしてPCI DSS Responsibility Matrixの概要を紹介いたしました。
PCI DSSに関連するクラウドサービスの提供プロバイダーは、利用者のPCI DSS準拠をサポートできるよう、PCI DSS Responsibility Matrixを作成し、責任の割当てを明確にすることが必要と考えます。
またクラウドサービスを利用したPCI DSS準拠の取り組みを検討中の組織は、主要なクラウドベンダーが各社サイトで自社のPCI DSS Responsibility Matrixについて紹介していますので(※入手にはベンダーとの契約やアカウント作成が前提となる場合が多い)、まずはPCI DSS Responsibility Matrixを入手し、自社とプロバイダーの責任範囲を正確に把握することから始めてみてはいかがでしょうか。

参考リソース

※上記URLの「Filter by:」で「GUIDANCE DOCUMENT」を選択ください。

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
堀 茂人(CISSP、QSA)


クラウドサービス利用時のPCI DSS準拠のポイント ~PCI DSS Responsibility Matrixとは~