PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)とは、カード加盟店やサービスプロバイダ等が取り扱うカード会員情報や取引情報を安全に守るために、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
PCI DSS 認証取得が求められる企業
PCI DSSでは情報セキュリティに関する具体的な対策・実装を要求しており、カード情報を扱う事業者のみならず、多くの企業がセキュリティ基準として採用しています。
業界例石油:ガソリンスタンド
金融:クレジットカード会社
流通:大手百貨店、スーパー、量販店
交通:鉄道、航空会社
通信/メディア:通信会社、オンラインゲーム会社
小売:ECサイト
インフラ:水道、ガス、電気
PCI DSS 12要件
PCI DSSには12の要件があり、ログ管理に関する直接的な要件は「要件10」に記載されています。
| PCI DSS12要件 | |
|---|---|
| 要件1 | ネットワークセキュリティコントロールの導入と維持 |
| 要件2 | すべてのシステムコンポーネントにセキュアな設定を適用する |
| 要件3 | 保存されたアカウントデータの保護 |
| 要件4 | オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する |
| 要件5 | 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する |
| 要件6 | 安全なシステムおよびソフトウェアの開発と維持 |
| 要件7 | システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲によって制限する |
| 要件8 | ユーザの識別とシステムコンポーネントへのアクセスの認証 |
| 要件9 | カード会員データへの物理アクセスを制限する |
| 要件10 | システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること |
| 要件11 | システムおよびネットワークのセキュリティを定期的にテストする |
| 要件12 | 組織の方針とプログラムによって情報セキュリティをサポートする |
参照元:Payment Card Industry データセキュリティ基準
PCI DSS 認証における要件10|ログ管理要件への対応
| PCI DSS 要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること | |
|---|---|
| 項番10.1 | システムコンポーネントおよびカード会員データに対するすべてのアクセスをログに記録し監視するための プロセスおよびメカニズムを定義し、文書化する。 |
| 項番10.2 | 異常、疑わしい活動の検出、イベントのフォレンジック分析を支援するために監査ログを実装する。 |
| 項番10.3 | 監査ログは、破壊や不正な改ざんから保護する。 監査ログファイルへの読み取りアクセスは、業務上必要な者に限定される。 |
| 項番10.4 | 監査ログは、異常または疑わしい活動を特定するためにレビューを行う。監査ログのレビューを行うために 自動化されたメカニズムが使用されている。対象の監査ログを少なくとも毎日一度レビューする。 |
| 項番10.5 | 監査ログの履歴は保持され、分析に利用できる状態にする。監査ログの履歴を少なくとも12カ月間保持し、 少なくとも直近の3カ月間は分析のために直ちに利用できるようにする。 |
| 項番10.6 | 時刻同期する仕組みを用い、すべてのシステムで一貫した時刻設定をサポートする。 時刻同期技術により、システムクロックおよび時刻を同期させる。 |
| 項番10.7 | 重要なセキュリティ管理システムの障害を迅速に検知し、報告し、対応する。 |
上記要件に対応するためには、いくつもの課題が存在し、それらを解決することは容易ではありません。ここでは、代表的な課題について3つほどご紹介します。
課題1.ログを保全し続けることは容易ではない
ログを保全し続けることは容易ではありません。 悪意ある第三者からの攻撃に加えて、ディスクの逼迫や破損、サービス障害などの問題からログを守り切ることは想像以上に困難です。 また、ログは分散して存在しているため、守るべき範囲は広いです。対策を行っていない場合、 ログの異変に気付けない可能性もあります。
課題2.多種多様なログの収集・管理が困難
ITシステム上では多種多様なログが生成されています。それらを抜け漏れなく集約し、適切に管理することは容易ではありません。例えば、ファイアウォールはsyslog形式で送れることが多くsyslogサーバに集約することは容易ですが、Windowsサーバはevtxファイルに出力されますし、一般的なアプリケーションはテキストで出力されることが多いです。
このように様々な出力形式のログを集約するとなるとそれなりの工夫が求められます。 加えて、ログの中身についても同様で、時刻の形式をはじめアプリケーションごとに内容に差異があるため、横断検索など一括してログを扱いたい場合には正規化が必要になります。 このように様々なログを収集し、正規化することは難しく、実現するためには相応の実現する仕組み、システムが必要になります。
課題3.定常的なログ運用に伴う負荷
PCI DSS 要件10では「 1日1回のログのレビュー」や「各種問題の検知」などを求められます。これを実現するためには、大量のログの中から必要なログを見つけだし、必要に応じて集計・分析をしなければなりません。 また、セキュリティポリシーに応じて継続的、発展的な取り組みを行う必要もあります。 これらの運用負荷を減らし、定常的なログの分析や監査を行うためには、優秀な検索・集計機能・結果を出力するレポート機能などを備えた仕組みが不可欠です。
統合ログ管理システムLogstorageが解決します!
Logstorageとは?
| Logstorageの有効性 |
|---|
| 様々なシステムのログを収集する豊富な収集機能→(要件10.1、10.2) |
| 異なる形式のログの可読性を高めるログフォーマット定義機能→(要件10.2、10.4) |
| ログの圧縮・暗号化保存・改ざん検出・ログへのアクセス制御機能→(要件10.3) |
| セキュリティ監査レポートの自動生成機能、検知機能→(要件10.4、10.7) |
| ログの長期保存、アーカイブ・リストア機能→(要件10.5) |
