1. ホーム »
  2. PCI DSS「要件10」への対応 ~ログの管理編~
PCI DSS「要件10」への対応 ~ログの管理編~

PCI DSS(Payment Card Industry Data Security Standard)とは

PCI DSS(Payment Card Industry Data Security Standard)とは、カード加盟店やサービスプロバイダ等が取り扱うカード会員情報や取引情報を安全に守るために、国際カードブランド5社 (American Express、Discover、JCB、MasterCard、VISA)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
PCI DSSは、情報セキュリティに関する具体的な対策・実装を要求しており、カード情報を扱う事業者のみならず、多くの企業がセキュリティ基準のガイドラインとして採用しています。

PCI DSSの12要件

PCI DSSは下表の12要件から構成されています。
その中で要件10には「ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること」とあり、システムの証跡管理が求められています。

安全なネットワークの構築・維持
要件 1 カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件 2 システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと
カード会員データの保護
要件 3 保存されたカード会員データを安全に保護すること
要件 4 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
脆弱性を管理するプログラムの整備
要件 5 アンチウイルス・ソフトウエアまたはプログラムを利用し、定期的に更新すること
要件 6 安全性の高いシステムとアプリケーションを開発し、保守すること
強固なアクセス制御手法の導入
要件 7 カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件 8 コンピュータにアクセスする利用者毎に個別のIDを割り当てること
要件 9 カード会員データへの物理的アクセスを制限すること
定期的なネットワークの監視およびテスト
要件 10 ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること
要件 11 セキュリティ・システムおよび管理手順を定期的にテストすること
情報セキュリティ・ポリシーの整備
要件 12 従業員と契約社員のための情報セキュリティに関するポリシーを整備すること
ログに関する内容が記述

PCI DSSの要件10の詳細

PCI DSSの要件10をさらに細かく紐解くと、下表の7項目から構成されています。

項番 要件
10.1 システム・コンポーネントに対するすべてのアクセス(特にルートなどのアドミニストレータ権限を持つユーザによるもの)を個々のユーザとリンクするための手順を確立する
10.2 すべてのシステム・コンポーネントに対して、以下のイベントを追跡するための手順を確立する 「カード会員データに対する、個人ユーザによる全てのアクセス」 「ルートまたはアドミニストレータ権限を持つ個人が行った全ての操作」 「すべての監査証跡へのアクセス」 「無効な論理的アクセスの試行」 「識別および認証メカニズムの使用」 「監査ログの初期化」 「システムレベルのオブジェクトの作成と削除」
10.3 すべてのシステム・コンポーネントにおいて、イベントごとに少なくとも次の監査証跡を記録する。 「ユーザID」 「イベントのタイプ」 「日付と時刻」 「成功または失敗の表示」 「イベントの起点」 「 影響を受けたデータ」「システムコンポーネント」「リソースの識別子もしくは名前」
10.4 すべての重要なシステム・クロックと実際の時刻を同期させる。
10.5 監査証跡は、改変できないように保護する
10.5.1 監査証跡の閲覧は、それが業務上必要な人々に制限する
10.5.2 監査証跡ファイルは、改竄されないように保護する
10.5.3 監査証跡ファイルを、集中ログ・サーバまたは改竄が難しい媒体に、直ちにバックアップする
10.5.4 無線ネットワークのログを、内部のLAN上のログ・サーバにコピーする
10.5.5 既存のログ・データが改竄された時に必ずアラートが発せられるよう、ログに対してファイルの完全性 監視/変更検知ソフトウエアを使用する(新しいデータの追加に対しては、アラートは起こらない)
10.6 全てのシステム・コンポーネントのログを、少なくとも一日1回はレビューする。
10.7 監査証跡履歴は、少なくとも1年は保管、最低3ヶ月間はオンラインで閲覧利用できるようにする。

上記の要件を個々のシステム(マシン)単位で実装していくことは可能ですが、管理面での煩雑性、および正確性から考えると現実的ではありません。
現実的には各システムでポリシーやロギング(監査証跡取得)の設定をし、それを証明する各種ログを統合的に管理することが一般的です。次項以降では各要件に対する対応をみていきます。

このページの先頭へ

PCI DSSの要件10への対応方法

要件10.1

各システムで取得されているログでは、個人を特定するためのキーワードがIPアドレスであったり、MACアドレス、ユーザIDといったようにシステムごとに出力されている内容が異なります。
そのためマスタ情報と紐付け、実際操作を行っていたのは誰なのかということがわかる仕組みを作る必要があります。

要件10.1イメージ 要件10.2

各システムでアクセス履歴を保存しておくことはもちろんですが、イベントの追跡という観点では各システムのログを横断的に追跡できる仕組みを作る必要があります。

要件10.2イメージ 要件10.3

本要件にある記録項目がログに出力されている必要があります。
また、ログ管理の際は、各項目を基準に参照できる仕組みを作る必要があります。

要件10.3イメージ

このページの先頭へ


要件10.4

各システム上のNTP(Network Time Protocol ) Clientを動作させ、全システムの時刻を正しく統一する必要があります。動作ログを確認し、エラー/ワーニングを早期に検知する必要があります。

要件10.4イメージ 要件10.5

収集された監査証跡(ログ)の閲覧は限られた人に制限し、また、ログへの適切なアクセス権によりログの改竄を防止する必要があります。
万が一改竄があった場合でも速やかに管理者が知る仕組みを作る必要があります。

要件10.5イメージ 要件10.6

システム・コンポーネントのログを様々な視点で速やかに確認/レビューできる仕組みが必要になります。
全てのログの参照、エラー/ワーニング系のログの参照、ログの分析レポート、など用途に合ったログの参照方法を準備する必要があります。

要件10.6イメージ
このページの先頭へ


要件10.7

オンライン期間(最低3ヶ月)を過ぎたログを自動的にアーカイブする仕組みが必要となります。またディスクの空き容量管理をし、ディスク容量が足りずにログが取れていなかったという事態を避けなければいけません。

要件10.7イメージ イーセクターでは

ここまでPCI DSS要件10への対応方法を挙げてきました。

カードシステムの構築はシステムの性質上、関連するマシンの数は膨大なものとなり、その中でログ管理システムに限っても設計/構築は非常に時間がかかります。
セキュリティ基準を満たしていることをどのログをもって証明するのか、日々のログの運用、確認、アラートの検知/対応方法など、検討しなければいけない項目も多岐に渡ります。

イーセクターではいままでに統合ログ管理製品『Logstorage』を用いて、PCI DSSに準拠したログ管理システムを多数構築してまいりました。監査時の対応や、運用を考慮したシステム構築など、豊富な現場経験を活かしスムーズなログ管理システムの構築を支援させて頂きます。

PCI DSS 要件10完全対応のログ管理システム

各種ログのフォーマットを吸収し可読性を高め、複数ログを使用した追跡性の向上・多様な分析・レポート要件に対応!ログの収集・管理・活用には、国内シェアNo1の統合ログ管理製品『Logstorage』です!

logstorageバナー

このページの先頭へ