こんばんは。

更新おくれましたが、PCIシリーズ第三弾。

今回は準拠範囲の確定に関するお話を。。。

PCI DSSには、約400の要件があり様々な角度からカード会員データを保護する基準が設けられる話をしました。

ただ、これを準拠させるには、運用の強化や、セキュリティ製品の導入が伴い、それに応じたコストが発生します。

このコストがバカにならず、例えばPCI準拠範囲にあるサーバやネットワーク機器のログを1年間保存＋日次の侵入やデータ詐取の有無を確認する要件がありますが、これにはログを収集するためのディスク装置や、危険な兆候があった場合にそれを伝えるログ検査用のアプリケーションを導入しなければ準拠が難しく、収集対象が増えれば増えるほど、コストがかさんでいきます。

そのために、PCI DSSのガイドにも前文として記載されている通り、そのコストや人の負担増を抑制するためにも、範囲の絞り込みが非常に重要になるわけです。

範囲の特定には、一定のルールがあります。

『カード会員データが保存、処理、伝送されるセグメントに対し、一切の通信が遮断されていること』

これは、PCI DSS準拠範囲の外から内に対する通信がある場合、外のセグメントもPCIの準拠範囲である、と言ってます。

結構厳しいです。。。

そこで、準拠範囲の最適化のために必要なプロセスを踏む必要があります。

① カード会員データの流れを可視化する。

② 通信の要件を可視化する。

③ その上で、その通信が本当に必要なものかの整理を行い、不要な通信を遮断する。

これらのプロセスを順に実施し、整理することが極めて大事で、これをしないと真に最適化された準拠範囲の特定は出来ません。

難しいですよね、大変ですよね。。。苦笑

でも、これらを整理しなければ、いざ事故が発生してしまった時、被害の特定が出来なくなってしまいますし、不要なアクセスはデータ漏洩のリスクを高めます。

面倒ですが、範囲を絞り込むことは、その後の対応工数やコストの縮減に直結します。最も重要なポイントだと思います。

※実は、範囲を決定するには色々な知見や経験で、柔軟に対応する必要（手法）もあるのですが、それはまた後ほど。。。

簡単ですが、範囲の基準と絞り込みを行う上でのプロセスをまとめてみました。

次回から、各要件の説明（自分の整理）を進めていきたいと思います。

ありがとうございました。