10月1日付けで、カードセキュリティ基準の改訂版「PCI DSS v1.2」が公開された。改訂にあたっては米国で国際会議が行われたのだが、そこへ参加したネットワンシステムズ株式会社(以下、ネットワン)に改訂ポイントについて話を聞いた。説明してくれたのは、営業推進グループ セキュリティ事業推進本部長の山崎文明氏、および営業推進グループ セキュリティ事業推進本部 コンサルティング部兼サービス・ソリューション部長の豊田祥一氏のお二方。
会議は9月、フロリダ州オーランドで行われた。カードブランド5社のほか、PCI DSS認定の審査機関、準拠する側の小売業やマーチャント、セキュリティベンダーやコンサルタント、ならびにPOSベンダーなどが参加。想像していた以上に規模が大きく、「QSA(訪問審査機関)においては、ワールドワイドで約170社存在するうちの160社が参加し、メンバー数は総勢600名以上にも及んだ」(山崎氏)というから驚きだ。
■ 受診企業のフィードバックが義務化、ふるいにかけられるQSA
|
営業推進グループ セキュリティ事業推進本部長の山崎文明氏
|
さて、改訂のポイントはどこにあるのか。
山崎氏によれば「今回は大きな変更はなく、表現や単語の統一・調整など項目の明確化がほとんど」という。PCI DSSの運営を行う非営利団体であるPCI SSCも「今回の改訂には新たな項目の追加は含まれていない」と述べており、「従って、10月1日リリース後、即座に適用を開始する」としている。
とはいえ、注目すべき変更点がまったくない、というわけでもない。
会議では、大半の時間が現状への質問などに費やされ、「加盟店側からPCI DSSとPA-DSSの違いを問う質問が飛んだほか、QSAが行う審査の判断基準についても議論が交わされた」(山崎氏)という。
QSAが行う訪問審査の判断基準にばらつき感があって、「例えばPCI DSS対応をうたうセキュリティ製品を導入しても、QSAによって認定・否定するところがあり一部批判を招いている」(同氏)。
そこで審査基準の水準を高めるため、PCI SSCはこれまで以上にQSAをふるいにかけるつもりだ。QSAの審査品質維持のためには、これまでにも審査を受ける側がQSAを評価してPCI SSCに報告できるフィードバック制度があったのだが、「今回この報告が義務化された」(同氏)のである。QSAにとっては緊張感の増す話だが、「フィードバックはすべて英語で行わなければならず、実は審査を受ける側にとっても大変な話。日本では普及を阻害する要因となってしまうかもしれない」と山崎氏は憂慮する。
■ WEPは使用禁止に、IEEE 802.11iを推奨へ
セキュリティ要件についても、いくつかの変更が見られる。例えば、ファイアウォール/ルータなどのルールセット四半期レビューに関する項目は、半年レビューへと緩和された【v1.2/要件1.1.6】。一方で無線LANに関しては、WEP(Wired Equivalent Privacy)による暗号化を禁止するなど条件が厳しくなっている【v1.2/要件4.1.1】。
従来は、無線LANの機密性を保護するために「WEPだけに頼らない」こと、もしも利用する際は「最低でも104ビット暗号鍵と24ビット初期値を使う」「共有WEP鍵を四半期ごとに交換する」ことといった条件が規定されていたものの、使用は認められていた。しかし、10月14日に神戸大学と広島大学のグループから「WEPは10秒で解読可能」と発表されたように、以前から指摘されていた脆弱さを理由にWEPの使用が完全禁止となった。
ただし、即座に禁止になるわけではない。「2009年3月31日以降は新規にWEPを実装してはならず、既存のWEP環境も2010年6月30日までに別の方式に刷新しなければならない」とあるように、ある程度の猶予期間が設けられている。ここでいう別の方式としては、「IEEE 802.11iなどをベストプラクティスとする」という記述も新たに盛り込まれている。
■ 「1カ月以内に全パッチ適用」にも若干の緩和
パッチ適用に関する【要件6.1】にも若干の緩和が見られる。以前は「すべてのシステムとソフトウェアに最新のセキュリティパッチが適用されているか確認し、関連するセキュリティパッチはリリース後1カ月以内にインストールすること」と規定されており、事前検証を行わなければパッチ適用できない企業にとって障壁になり得るとされていた。
【v1.2/要件6.1】でも「1カ月以内にインストールすること」との記述はそのままなのだが、その後に、リスクベースのパッチ適用を容認する追記が盛り込まれたのだ。具体的には、「重要なシステムと重要でないシステムを明確に区別した上で、パッチ適用のタイムリミットを、重要度の高いシステムとデバイスは1カ月以内、重要度の低いシステムとデバイスは3カ月以内とすることができる」といった内容が追記された。
そのほか【要件5】のアンチウイルスの実施について「UNIXやメインフレームは対象外」とする記述が、刷新された【v1.2/要件5.1】では削除されており、Windowsのみならず、すべてのOSでウイルス対策が必須となっている。
■ 「重い」のはDMZのログに関する変更
|
営業推進グループ セキュリティ事業推進本部 コンサルティング部兼サービス・ソリューション部長の豊田祥一氏
|
こうした変更の中でも、ネットワンが最も重いと見るのが、【v1.2/要件10.5.4】で追加された「外部に公開するシステムのログの扱い方」に関する変更だ。
以前は、「無線LANのログを内部ネットワークにコピーすること」が規定されていたが、v1.2では「外部に公開されているファイアウォールとメール、DNSのログも内部ネットワークに書き出すこと」と、その対象範囲がファイアウォールの外側・内側の中間に位置するDMZ(非武装地帯)内の機器にまで広がっているのだ。
豊田氏は「ちょっと重いのではないか」と述べる。「例えば、WEPの禁止をはじめとする無線技術に関する変更については、当社のユーザーはすでに対応できているし、IEEE 802.11i対応も問題ない。そのほかも全体としてあんまり変わらない印象があるのだが、このログの扱い方に関してだけは加盟店が準拠する際、大きく影響することが考えられる」(同氏)。
具体的にどう重いのか。「対策としては内部セグメントにSYSログサーバーを設置するだけなので、技術的な難しさはあまりないのだが、もし“拒否”以外のログも取得して出力する場合には情報量が多くなることが考えられる。このため媒体容量について注意する必要がある。また、Webサイトの閲覧のような通常のWebアクセスとカード会員データを含む通信の区別ができない場合は、ログ自体が膨大になるため、出力と解析をどうするかが大きな課題になるだろう」(ネットワン)とのことだ。
■ URL
ネットワンシステムズ株式会社
http://www.netone.co.jp/
PCI SSC
https://www.pcisecuritystandards.org/
PCI DSS v1.2英語版ダウンロードページ
https://www.pcisecuritystandards.org/security_standards/pci_dss_download.html
PCI DSS バージョン 1.2 翻訳版
http://www.netone.co.jp/solution/security/pci_dss/pci_dss_ver1.2.html
■ 関連記事
・ ネットワン、PCI DSS v1.2に対応した「新PCI DSS準拠支援サービス」(2008/11/13)
・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【前編】(2008/10/23)
・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【後編】(2008/10/24)
( 川島 弘之 )
2008/11/13 11:00
|