【仕事】PCI DSS 素人からのスタート③
こんばんは。
更新おくれましたが、PCIシリーズ第三弾。
今回は準拠範囲の確定に関するお話を。。。
PCI DSSには、約400の要件があり様々な角度からカード会員データを保護する基準が設けられる話をしました。
ただ、これを準拠させるには、運用の強化や、セキュリティ製品の導入が伴い、それに応じたコストが発生します。
このコストがバカにならず、例えばPCI準拠範囲にあるサーバやネットワーク機器のログを1年間保存+日次の侵入やデータ詐取の有無を確認する要件がありますが、これにはログを収集するためのディスク装置や、危険な兆候があった場合にそれを伝えるログ検査用のアプリケーションを導入しなければ準拠が難しく、収集対象が増えれば増えるほど、コストがかさんでいきます。
そのために、PCI DSSのガイドにも前文として記載されている通り、そのコストや人の負担増を抑制するためにも、範囲の絞り込みが非常に重要になるわけです。
範囲の特定には、一定のルールがあります。
『カード会員データが保存、処理、伝送されるセグメントに対し、一切の通信が遮断されていること』
これは、PCI DSS準拠範囲の外から内に対する通信がある場合、外のセグメントもPCIの準拠範囲である、と言ってます。
結構厳しいです。。。
そこで、準拠範囲の最適化のために必要なプロセスを踏む必要があります。
① カード会員データの流れを可視化する。
② 通信の要件を可視化する。
③ その上で、その通信が本当に必要なものかの整理を行い、不要な通信を遮断する。
これらのプロセスを順に実施し、整理することが極めて大事で、これをしないと真に最適化された準拠範囲の特定は出来ません。
難しいですよね、大変ですよね。。。苦笑
でも、これらを整理しなければ、いざ事故が発生してしまった時、被害の特定が出来なくなってしまいますし、不要なアクセスはデータ漏洩のリスクを高めます。
面倒ですが、範囲を絞り込むことは、その後の対応工数やコストの縮減に直結します。最も重要なポイントだと思います。
※実は、範囲を決定するには色々な知見や経験で、柔軟に対応する必要(手法)もあるのですが、それはまた後ほど。。。
簡単ですが、範囲の基準と絞り込みを行う上でのプロセスをまとめてみました。
次回から、各要件の説明(自分の整理)を進めていきたいと思います。
ありがとうございました。