PCI DSS 認証取得が求められる企業
PCI DSS(Payment Card Industry Data Security Standard)とは、カード加盟店やサービスプロバイダ等が取り扱うカード会員情報や取引情報を安全に守るために、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
情報セキュリティに関する具体的な対策・実装を要求しており、カード情報を扱う事業者のみならず、多くの企業がセキュリティ基準として採用しています。
業界例石油:ガソリンスタンド
金融:クレジットカード会社
流通:大手百貨店、スーパー、量販店
交通:鉄道、航空会社
通信/メディア:通信会社、オンラインゲーム会社
小売:ECサイト
インフラ:水道、ガス、電気
PCI DSS 認証における[要件10]
| PCI DSS 12 | 【要件】ネットワークの定期的な監視とテスト |
|---|---|
| PCI DSS v4.0 | 【要件10】システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること |
| 【項番10.1】 システムコンポーネントおよびカード会員データに対するすべてのアクセスをログに記録し 監視するためのプロセスおよびメカニズムを定義し、文書化する。 |
|
| 【項番10.2】 異常、疑わしい活動の検出、イベントのフォレンジック分析を支援するために監査ログを実装する。 |
|
| 【項番10.3】 監査ログは、破壊や不正な改ざんから保護する。監査ログファイルへの読み取りアクセスは、業務上必要な者に限定される。 |
|
| 【項番10.4】 監査ログは、異常または疑わしい活動を特定するためにレビューを行う。 監査ログのレビューを行うために自動化されたメカニズムが使用されている。 対象の監査ログを少なくとも毎日一度レビューする。 |
|
| 【項番10.5】 監査ログの履歴は保持され、分析に利用できる状態にする。 監査ログの履歴を少なくとも12カ月間保持し、少なくとも直近の3カ月間は分析のために直ちに利用できるようにする。 |
|
| 【項番10.6】 時刻同期する仕組みを用い、すべてのシステムで一貫した時刻設定をサポートする。 時刻同期技術により、システムクロックおよび時刻を同期させる。 |
|
| 【項番10.7】 重要なセキュリティ管理システムの障害を迅速に検知し、報告し、対応する。 |
統合ログ管理システムLogstorageが解決します!
Logstorageとは?
Logstorage(ログストレージ)は、サーバーやネットワーク機器等企業内のあらゆる情報システムから出力される大量のログデータを迅速・確実に収集し、内部統制・情報漏洩・情報セキュリティ対策・システム障害対応等、多様な目的にログデータを利用可能とするシステムです。
| Logstorageの有効性 |
|---|
| 様々なシステムのログを収集する豊富な収集機能→(要件10.1、10.2) |
| 異なる形式のログの可読性を高めるログフォーマット定義機能→(要件10.2、10.4) |
| ログの圧縮・暗号化保存・改ざん検出・ログへのアクセス制御機能→(要件10.3) |
| セキュリティ監査レポートの自動生成機能、検知機能→(要件10.4、10.7) |
| ログの長期保存、アーカイブ・リストア機能→(要件10.5) |
