03-6416-1579

平日 10:00-18:00

• 資料ダウンロード
• お問い合わせ

ペイメントカード業界データセキュリティ基準（PCI DSS）は、加盟店・決済代行事業者が取り扱うカード会員のクレジットカード情報等を安全に守るために、JCB、American Express、Discover、MasterCard、VISAのカード・ブランド5社が共同で策定した、クレジット業界におけるセキュリティ基準です。クレジット・カード会社の決済システムを利用して、カード会員のデータを保管、処理、送信している全ての企業は、この基準の遵守が義務づけられています。

PCI DSSは、セキュリティ対策の「実装レベル」まで詳細に落とし込んだ管理方法として記述されているため、従来の ISMS等で代表される理想的な「ガイドライン」としての性格とは異なり、具体的な対策の方法が明確化された実効性の高いセキュリティ対策フレームワークとして位置づけることができます。今後、クレジット業界に限らず一般組織においても、この対策方法の実装は積極的に取り入れることが望ましいと思われます。このページでは、PCI DSSの「セキュリティホール対策」に関する部分のみフォーカスして、これに準拠した形で SIDfmの機能が有効に活用できることを説明します。

ペイメントカード業界データセキュリティ基準（PCI DSS）v1.2　 – 要件とセキュリティ評価手順

参考リンク：https://www.pcisecuritystandards.org/pdfs/pci_dss_japanese.pdf

PCI DSS要件は、6グループ12要件から構成されております。その中で、セキュリティホール対策に関連する要件は、「安全なネットワークの構築・維持」の中の「要件2 システムまたはソフトウェアの出荷時の初期設定値（セキュリティに関する設定値）をそのまま利用しないこと」並びに、「脆弱性を管理するプログラムの整備」グループ中の「要件6 安全性の高いシステムとアプリケーションを開発し、保守すること」に明記されております。

PCI DSS要件に準拠する SIDfmの機能

安全なネットワークの構築・維持

PCI DSS要件を満たすシステムコンポーネントの構成基準を作成するために、その一つの要素である「全ての既知のセキュリティ脆弱性」は、従来、どのように調査し、決定していたのでしょうか？　現実的には、ほとんどの組織において既知の脆弱性（セキュリティホール）を体系的かつルーチンワーク的に把握している組織は少ないのではないでしょうか？この作業には、一つひとつのコンポーネントに対して、関係するセキュリティホールの履歴を地道に調査し、その詳細、セキュリティパッチの存在等を捕捉しておく必要があります。単純に、日々の「セキュリティホール情報」の配信を受けてこれをため込んでおけば良いという類の作業では片付けられません。

SIDfm Solution

システムの構築時には、当該システムに導入するシステムコンポーネントとなるソフトウェアに関するセキュリティホールの調査を行います。SIDfmには、各ソフトウェアのバージョンを指定して調査する機能が備わっており、直ぐに脆弱性の状況を判断することができ、事前の詳細なパッチ対策計画が可能となります。この画面ではリスクの定量的把握、脅威に対する影響度も示すことができます。この機能を実行するには、SIDfmの「アプリケーション情報」メニューを選択します。

• システムコンポーネントとなるソフトウェア名（上図では、apache)で検索し、そのリリースの情報を表示します。最新のバージョンと日付やリリースの履歴、その関連するセキュリティホール情報が紐付けで表示されます。

• 調査しようとするソフトウェアを検索します。この例はapacheで検索し、そのバージョンを選択します。

• ソフトウェア（Apache 2.2）が有する脆弱性の詳細状況（リスク総括表）です。各バージョンの脆弱度の状況が CVSS指標に基づいて理解できます。また、各脅威によって高リスクのものも明示されます。表の中の項目をクリックすると、下に、そのホールに関する詳細な情報（下図）が表示されます。

• 個々のセキュリティホール毎に、CVSSスコアや脅威からの影響の度合い、修正パッチの登録日等のリスク一覧表が表示されます。Web上で、それぞれ項目で「並べ替え」等の処理により、対処の優先度を決定することも可能です。また、パッチ情報等を調べるために、各セキュリティホールの詳細説明ページへも直ぐに辿れるようになっています。図の右上に「CSVエキスポート」ボタンがあり、このボタンを押下するとこのリスク一覧表を excel等で処理できます。これを「記録表」として活用できます。

• CSVエクスポート機能で、当該ソフトウェアに関する個々のセキュリティホールのリスク・データ、パッチの登録日等を出力できます。個々のセキュリティホールを1行として、その中のカラムに報告書に必要となる対策実施日、実施内容、実施者、実施状況等のカラムを追加して、対策実施予定表を作成することができます。

脆弱性を管理するプログラムの整備

すべてのシステムコンポーネントとソフトウェアのセキュリティホールに対するパッチを1ヶ月以内に適用するためには、以下のフローが確立されていなければなりません。SIDfmは、以下の機能を全て満足します。

1. 当該ソフトウェア（例、Webサーバ、DBサーバ、DNS等）に関連した脆弱性を特定して認識できること
2. 当該セキュリティホール情報がタイムリーに入手でき、常に時系列で整理できていること
3. 当該セキュリティホール情報の日付特定のために、期間を定めて分類等の操作ができること
4. 個々のセキュリティホール情報は、定量的リスク判定、脅威からの影響度等のデータを有し、優先度判定ポリシーを確立できること
5. 当該セキュリティホール情報のリスク判定、分析が即座に可能であること
6. 当該セキュリティホール情報のリスク等の情報をエクスポートでき、記録簿等に転用できること
7. 個々のセキュリティホール情報は、当該最新パッチ情報（正式なパッチ・ファイル、存在場所等）を有すること

SIDfm Solution

PCI DSS要件に関係するシステムコンポーネント毎に、対象となるソフトウェア（日本最大級460項目以上）をフィルタアイテムとして登録しておきます。これによって、常時、登録されたソフトウェアに関連した個別セキュリティホール情報と詳細情報、リスク情報、また、様々な関連情報が整理されて My SIDfmページで適宜見ることができます。また、セキュリティホールが公表された時点で、タイムリーにアラート情報としてメールで受け取ることもできます。これら機能を実行するには、SIDfmの「設定」、「My SIDfm」メニューを選択します。

• 設定画面で「新規フィルタ」を開設します。PCI DSSのコンポーネントで使用されているソフトウェアを「アイテム」として登録し特定します。リスクレベルのしきい値やアラート・メールのタイミング等の設定を行います。ソフトウェアは、細かなバージョンまで指定して登録することもできます。組織のセキュリティポリシーに基づいて、CVSSスコアを設定することにより、定量的な脆弱性管理が可能となります。

• 「フィルタ」で登録されているソフトウェア・アイテムに関わるセキュリティホール情報や、その関連アドバイザリ、リスク値としてCVSSスコアの一覧表等を My SIDfm画面で確認することができます。また、上図のように、関係するセキュリティホールを時系列に一覧表示し、その検索等も可能です。

• システムコンポーネントやソフトウェアに関係したセキュリティホールがいつ出現し、これが1ヶ月以内のものであるのか、3ヶ月以内のものであるのか、時間軸を対象とした分析も必須となります。SIDfmの検索機能は、日付、期間によるセキュリティホールの検索絞り込みが可能です。

• フィルタ設定したソフトウェア・アイテムのCVSS基本値（深刻度）がリスク表示されます。また、任意の期間を指定して、再集計することも可能です。セキュリティポリシー上の判断材料として、この深刻度で「対策の必要性」の判断を行うことも一つの方法でしょう。個々のセキュリティホールは、リスク表の中で調べたい「リスクの種類」をクリックすることにより、その詳細な情報が表示されます。この中には、脆弱性が悪用された場合の影響の度合いも含めれるために、緊急性の高いリスクを簡単に分析できます。

• 「リスク分析」のリスク表示上で、セキュリティポリシーに応じたCVSS基本値（深刻度）の値でしきい値を設定し、対策を行うべき脆弱性を絞り込みます。また、脆弱性が悪用された場合の影響のレベルで並べ替えを行うことにより、対策の緊急性を判断することもできます。セキュリティパッチのインストールに関するポリシーを世界標準の CVSSベースで定めることにより、重要な新規セキュリティパッチを1ヶ月以内にインストールするための判断が即座に可能となります。

• 「リスク分析」機能の CSVエクスポートで、当該ソフトウェアに関する個々のセキュリティホールのリスク・データを出力できます。個々のセキュリティホールを1行として、その中のカラムに報告書に必要となる対策実施日、実施内容、実施者、実施状況等のカラムを追加して、対策実施報告書を作成することができます。

• 上図は、個々のセキュリティホールの詳細情報の一例を示したものです。情報タブの中の「対処方法」を選択すると、セキュリティホールを解決するための対策ファイル（パッチ等）の所在や、対策のための諸情報が表示されます。SIDfmでは、こうした対策用の情報が整理されておりますので、信頼できる情報を入手するためにインターネットを検索するような手間は必要なくなります。

PCI DSS 要件6.2 を満たす上での具体的な手続き（テスト手順）は、以下のようになります。この中で、「新たなセキュリティ脆弱性を特定するためのプロセスが実装」が一連のルーチンワークの核となる部分ですが、これは、SIDfm の機能を利用すると全て対応できるものとなっております。

1. 6.2.a　責任者にインタビューして、新たなセキュリティ脆弱性を特定するためのプロセスが実装されていることを確認する。
2. 6.2.b　新たなセキュリティ脆弱性を特定するためのプロセスに、セキュリティ脆弱性情報に外部ソースを使用すること、および新たな脆弱性の問題が見つかったときに要件2.2でレビューしたシステム構成基準を更新すること、が含まれていることを確認する。

SIDfm Solution

「新たなセキュリティ脆弱性を特定するためのプロセスに、セキュリティ脆弱性情報に外部ソースを使用すること」に対しては、SIDfmのサービスを PCI DSSセキュリティ対策の実装の中に取り込むことで、今まで散在していたセキュリティホール情報、パッチ情報が一元的に集約化ができるようになります。

また、各セキュリティの脆弱性に対しては、共通脆弱性評価システム CVSS 2.0の情報を元にそのリスク分析を確実に行えるのは、業界で SIDfmサービスのみ（2009年4月現在、当社調べ）となっております。各セキュリティホールに、定量的なリスクの度合い、各脅威に対する影響が実装されていると言うことは、従来不可能であった、パッチ対策の優先順位を適用することができることになり、1ヶ月以内にパッチの適用を行わなければならない対象を絞り込むこともできます。

セキュリティホール対策に費やす本当のコストは？

「システムコンポーネントのソフトウェア」毎に、ソフトウェアの脆弱性の管理、パッチの適用管理を定型的に行う場合、その処理フローが一連の流れとして対処できないため、個々のエンジニアにとっても、それ相当の作業オーバーヘッドが見込まれます。こうした作業は、すべて人件（作業）費に変わり、また、作業の効率も大きく低下しているのが現状でしょう。ここで、そのコストは如何ほどかと考えた場合、単純に見込まれる作業量の人件費相当として見ればよいでしょう。一般的に言っても、複数のエンジニアが同様な作業を行っているとした場合、一年間に数百万円相当のコストが費やされているに等しいと思われます。

SIDfmサービスを活用すれば、これが、安価にこうした作業のほとんどを半自動化することが可能です。SIDfmのライセンスには、組織の複数のエンジニアや管理者が利用し、情報を共有できる SIDfm Group/Biz等のライセンスもあるため、例えば、クレジットカード関係の企業組織へのシステム保守を主に行っている会社においては、このグループ・ライセンスをご利用いただいております。