そうしたいからではなく、そうしなければならないからそれをするという状況はよくあります。 規制に従わなければどうなるのかちょっと試してみたい誘惑に駆られることはあるかもしれませんが、結局は規則を遵守する側にいた方が安心感があり、そちらを選ぶことになるでしょう。これを一言で表現するなら、コンプライアンス、です。
金融業界ではよくあることです。
機密性が高いクレジットカード会員データ (カード会員名、サービス名、アカウント番号など) を複数の組織で共有しなければならない環境では、コンプライアンスを確保しながら、データをどのように扱うべきかを定義するルールが必要です。
そのような「ルール」の 1 つが、クレジットカード業界データセキュリティ基準 (Payment Card Industry Data Security Standard、PCI DSS) です。
PCI DSS 準拠への必要最低限の要項
その名前が示すように、PCI DSS は、クレジットカード情報を処理、送信、または保存するすべての企業が安全で信頼できる環境でそれを行うことを保証することを目的とした、国際的に認められた一連の要件を指します。
PCI DSS は、金融機関を念頭に置いて作成されたものですが、主要な組織としては、加盟店契約会社、サービスプロバイダー、銀行、小売業者、保険業者、クレジットカード処理業者などがあります。
ポイントはシンプルです。クレジットカード会員データは、最も標的になりやすい、脆弱で、機密性の高い情報の 1 つであり、いつでもどこにでも潜んでいるハッカーが、誰かがカード会員データのドアのロックを解除したままにしていないかと探りまわっているということです。
これこそが、PCI DSS が開発された理由です。PCI Security Standards Council (PCI セキュリティ基準協議会) によると、PCI DSS は、「データセキュリティを奨励および強化し、一貫したデータセキュリティ対策を世界的に幅広く採用することを促進する」ために作成されました。
この規制基準は、クレジットカードやデビットカードの情報を盗もうとするハッカーから消費者と金融機関のビジネスを保護することを目的としています。
PCI DSS コンプライアンスを満たせば、カードの盗難事故の減少、パートナーとの信頼関係の向上など、明らかなメリットがありますが、この規制基準を守ろうと努力しない企業もあります。PCI DSS コンプライアンスを満たさない企業がデータ侵害を受けた場合は、壊滅的な結果に結びつく可能性がありますが、それは誰しも避けたいはずです。
PCI コンプライアンスに必要なマネージド・ファイル・トランスファー
PCI DSS には現在、12 の主要なコンプライアンス要件があります。マネージド・ファイル・トランスファーがカバーする要件には次のようなものがあります。
- 保管中のカード会員データの保護
- 転送中のカード会員データの暗号化
- カード会員データへのアクセスコントロール
- 安全なアプリケーションとシステムの開発と維持
これらの規制要件について、 1 つずつ見ていきましょう。
1. 保管中のカード会員データの保護
これについては、特に説明するまでもないでしょう。
尊重すべきカード会員データを保護するために最初にできることは、オンプレミスのネットワークやシステムにデータを保管するような処理を削減していくことです。このような活発にアクセスされる、多面的でダイナミックな環境には、潜在的な脆弱性が含まれていると言えます。
何でも保存しておく、というような慣習は廃止し、社内に保存されるカード会員データの量と保存期間を制限するプロトコルを作成します。コアの運用要件を満たすのに必要なデータのみを残すようにしてください。
古くなったデータに関しては、確実に安全に削除するための戦略、プロトコル、ガイドラインを策定する必要があります。
社内で保持する必要があるカード所有者の情報については、適切な暗号化キー管理、エンドツーエンドのデータベース暗号化などで確実に保護するようにするとともに、すべてのセキュリティプロトコルを適切に文書化することも重要です。
2. 転送中のカード会員データの暗号化
Netflix の「マネーヘイスト」を見たことがありますか?このシリーズを見ると、転送中のものを保護することは、オンプレミスに保存されたものを保護するより難しいとわかります。「プロフェッサー」と彼の強盗団は、たいてい、お金を運ぶよりも盗む方が簡単だと気付かされます。彼らの「苦労して稼いだ」お金に何かが起こります。
PCI DSS セクション 3 で、転送中のデータの暗号化を厳しく規定するのは、このためです。
まず必要なことは、カード所有者のデータをすべて暗号化して、セキュリティが不十分なオープンなパブリックネットワークを通過するときに、悪意を持った何者かの手に利用可能なデータが渡らないようにすることです。これを少しでも怠ると、PCI DSS コンプライアンスを満たすことはできません。
転送されるカード会員データの安全な送信のためには、いろいろな仕組みを考慮する必要があります。信頼できるキーと証明書、強化された暗号化、そして HTTPS や AS1、AS2、 AS3 プロトコルを使用した安全なファイル転送を心がけるべきです。
単なる FTP だけでは不十分です。ファイルを安全かつ効果的に移動するには、セキュアな FTP over SSH2 (SFTP および SCP2) または FTP over SSL (FTPS) を選択します。
必要な証明書とキーについては、それらが信頼され、適切に保持、管理されていることを確認する必要があります。
3. カード会員データへのアクセスコントロール
「コントロールされたアクセス」。よく聞く言葉です。PCI DSS 要件7 は、アクセスコントロール手続きの遵守に関して万全を期すよう厳しく規定しています。
最大限のコンプライアンスを実現するには、その権限があると認定された人だけがカード所有者のデータにアクセスできるようにする必要があります。また、職務とビジネス要件に基づいてアクセスを規制するための適切なプロセスとプロトコルがあることを確認してください。
PCI DSS は、マネージド・アクセスポリシーも提唱しています。CTO、一般社員、など、企業内の様々なユーザーアクセスロールを包括的に定義し、ロールごとにアプリケーションのどの部分にアクセスできるかといったことを詳細に決定していきます。
エコシステムによっては、すべてのユーザー アカウントに「最小」のアクセス権を割り当てる必要がある場合もあります。すべての関係者が、それぞれ自己の職務を行うのに必要な最低限のアクセスのみを許可するように徹底することが大切です。
全体を通して標準化された文書化を行う必要があります。ユーザーの職務が変更になったら、変更を文書化し、必要に応じてアクセス権を調整します。
4. 安全なアプリケーションとシステムの開発と維持
安全なアプリケーションとシステムの開発の重要性は外すことができません。
悪意ある攻撃者は絶えずセキュリティの抜け穴を探しまわり、その技術も高度化しているので、すべての仮想環境、マネージド・ファイル・トランスファー環境で、セキュリティは継続的なイニシアチブである必要があります。
PCI DSS もこの要件を重視し、極めて機密性の高いカード所有者環境を保護するために、指定された期間内に適切なセキュリティパッチを展開する必要性を強調しています。
この規制は、社内で開発したシステムや外部委託したシステムだけでなく、環境内のすべてのアプリケーション/モジュールに適用されることに注意してください。
MOVEit を使って統合的に PCI コンプライアンスを確保
PCI DSS コンプライアンスを満たすのは、医療や金融など、非常に機密性が高いデータを扱う業種の場合は特に、かなり大変なように思われます。厳しい12の要件があり、様々なレベルの人々に様々なアクセス権限を与えるよう調整したり、カード会員データを安全に保護(保存中と転送中の両方で)したりする必要があります。
そんなときに有用なのが、強力で拡張性の高い MOVEit マネージド・ファイル・トランスファー・ソリューションです。保存中のカード会員データの保護?大丈夫です。安全なネットワークの構築と維持?大丈夫です。アクセスコントロール?大丈夫です。MOVEit は、PCI DSS コンプライアンス確保のための煩わしさ、ややこしさを取り除き、プロセス全体を非常にシンプルなものにします。
MOVEit は、セキュア FTP、SSL/TLS、および HTTPS を活用して、転送中のカード会員データをコアで保護します。保存中には、MOVEit Crypto 暗号化ソフトウェアを使用してデータを安全に保存します。MOVEit では、プロトコルアクセス許可、フォルダー許可の割り当て、IPアドレス制限、その他の制限された特権の割り当ても可能です。誰がいつどのカード会員データにアクセスしたのかについても、ボタンをクリックするだけでわかります。機密データを内部システムから外部に移動できる安全な接続も確立できます。
クレジットカードを扱っている企業は PCI DSS コンプライアンスを満たす必要がありますが、自信を持って達成できていると言えますか?もし、不安がある場合は、是非プログレスの MOVEit を使って PCI コンプライアンスを確保してください。
David Perez
David Perez has been in the tech industry for over 20 years, working for some of the top semiconductor, data center hardware, and enterprise software companies in Silicon Valley and beyond. David is currently the marketing manager for Progress's Managed File Transfer product, MOVEit. Progress is the leading provider of products to develop, deploy, and manage high-impact business applications.