12要件の中でも、特に対応が難しい「要件10」
PCI DSSv4.0の準拠対応には、かなりの労力が求められます。なかでも、多くの企業が難航するのが「ペイメントシステムの構成要素とクレジットカード保有者のデータに対する全てのアクセスを記録し、監視すること」を求める要件10です。
なぜ、多くの企業が要件10への対応に難航するのでしょうか。その要因として、「日々の運用負荷が高いこと」や「必要な知識が多岐に渡り、準拠対応の敷居が高いこと」が挙げられます。
これらの原因となっているのが、ログ管理の難しさです。要件10を準拠するためには、ログの収集・保管・活用が必須ですが、これにはいくつもの課題があります。ここからは、多くの企業がぶつかる課題について代表的なものを3つご紹介します。
要件10準拠における3つの課題
1.多種多様なログを収集し、解析できる状態にすることが難しい
企業のシステム環境では、多種多様なログが生成されています。例えば、Windowsサーバのログは「evtx」形式、ファイアフォールのログは「syslog」形式で保存されることが多いです。また、ログのフォーマットもシステムごとに異なり、タイムスタンプの形式が「2024-08-13」のようなものもあれば、「13/08/2024」のようなものもあります。
要件10を準拠するためには、これらの異なるファイル形式やフォーマットに対応して、ログを収集・解析できる状態にする必要があります。しかし、これには高い専門性が求められるため、その実現は容易ではありません。
2.ログを保全し続けることは容易ではない
ログを長期に渡り保全し続けることも、容易ではありません。ログが消失する主な原因として、攻撃者による隠ぺい工作、マルウェアやツールなどによる破壊、機器やサービス障害に伴う破損、ストレージ容量の不足による破棄などが挙げられます。ITシステムの規模が大きくなるほど、保護すべき範囲も広がります。適切な対策が行われていない場合、「ログの改ざん・消失に気づけない」という問題も発生します。
このような課題に対応する必要があるため、ログを長期保全することは想像以上に困難です。
3.定常的なログ運用に伴う負荷
要件10では、「1日1回のログのレビュー」や「各種問題の検知」などを日常的に行うことを求めています。これを実現するためには、膨大なログの中から特定のログを見つけ出し、それを基に追跡調査や解析を行う必要があるため、担当者に大きな負担がかかります。
多くの現場で情シス部門の人手不足が問題となっている中、このような高い運用負荷が、要件10への対応を進める上で大きな課題となっています。
要件10準拠のために、ログに関する課題への対応方法を解説
要件10への対応にはログ管理が必須ですが、これには多くの課題が存在します。そこで、要件10への対応を検討している企業に向けて「PCI DSS v4.0で求められるログの管理要件を準拠するには」をテーマにしたセミナーを開催いたします。
セミナー前半では「PCI DSS v4.0 準拠のためのログ管理のポイント」と題して、PCI DSSv4.0の基礎知識をはじめ、ログの収集、保管、活用に対する課題と対応策について解説します。
セミナー後半では「PCI DSS要件10と準拠への課題について」と題して、要件10について詳しく解説します。「要件10を構成する7つのセクション」や「要件10を準拠する上での課題」など、より深く理解できる講演内容となっています。
本セミナーは、要件10準拠を検討している企業に役立つ内容となっています。
