PCI DSSを取る方法

PCI DSSΛऔΔํ๏ cloudpack͕࣮ફͨ͠औಘͱߋ৽͔ΒֶͿ 2016/03/01

͸͡Ίʹ ँΒͳ͚Ε͹ͳΒͳ͍͜ͱ͕ ͋Γ·͢

͜ͷεϥΠυ 227εϥΠυ ͋Γ·͢

ࣗݾ঺հ

ᴡ౻ ጏਔ ΞΠϨοτגࣜձࣾ cloudpackࣄۀ෦ 2013೥8݄ೖࣾ ʲϒϩάʳ ϩʔυόϥϯεͩͪ͘͢Μ http://blog.animereview.jp/

ϒϩά ׂͱ͍Ζ͍Ζॻ͍ͯ·ͯ͠

ݸਓϒϩά͚ͩͲ34ສPV ̍೔ฏۉ1500PV

ͦͷલ͸HPC΍ͬͯ·ͨ͠ ʢϋΠɾύϑΥʔϚϯεɾίϯϐϡʔςΟϯάʣ

GPU͍ͬͺ͍ͷͤͯ

Ϋϥελ ૊ΜͩΓ ͢ΔΘ͚Ͱ͢

ͦͷલ͸2೥͘Β͍ χʔτͯ͠·ͨ͠ ʢ24/365ۈ຿ʣ ʢͣͬͱήʔϜͯͨ͠ʣ

ߋʹͦͷલ͸ υεύϥͷ ๏ਓ෦ୂʹ͍·ͨ͠

2009೥ʹ GMO͞Μͷ αʔόʔ࡞ͬͨ࣌ͷ هࣄ ʢITmedia͞Μʣ

͋Δ೔γϯδ͸ ໨֮ΊΔͷͰ͢

࣌୅͸Ϋϥ΢υ͡ΌͶʁ

ͦͯ͠ΞΠϨοτʹ ඈͼࠐΉ

·ͣ୲౰ͨ͠ͷ͸ ϓϩδΣΫτϚωʔδϟʔ

ͦͯࣗࣾ͠Webߋ৽

͔Βͷ٬ઌৗற

΋͸΍ԿͰ΋԰

ݱࡏͷݞॻ͖

৘ใηΩϡϦςΟ؅ཧ੹೚ऀ

ݸਓ৘ใ؅ཧ੹೚ऀ

PCI DSS؅ཧ੹೚ऀ

ܦྺͱηΩϡϦςΟͷ γϯΫϩ཰͕ઈ๬త

͖͔͚ͬ͸ ৽ͨͳ؂ࠪରԠͱ લ೚ͷୀ৬

CTOླ໦ ʮγϯδ܅ηΩϡϦςΟ΍ͬͯʔʯ

͍͍ͬ͢Αʔ

1͔Βݱ৔Ͱୟ͔Εͯ ࠓʹࢸΓ·͢

ͦͯ͠ޛͬͨ

ٕज़ྗʢITϦςϥγʔʣͱ ηΩϡϦςΟϦςϥγʔ͸ શ͘΋ͬͯൺྫ͠ͳ͍

ΞΠϨοτגࣜձࣾ cloudpackࣄۀ෦ ͝঺հ

ΞΠϨοτגࣜձࣾ ઃཱ ࢿຊۚ ୅දऀ ैۀһ਺ ࣄۀ಺༰ γεςϜ։ൃɾอक ϚωʔδυϗεςΟϯά 2003೥10݄15೔
7,000ສԁ ᜊ౻ কฏ 100໊ʢ2015೥9݄ݱࡏʣ

AWSΛ׆༻͠ͳ͕ΒϏδωεʹूதͰ͖Δ ίϯγΣϧδϡαʔϏε

4 ࣾ ࣾ ϓϩδΣΫ τ 500 800 5೥ 5
೥ؒAWSͷΈͰ

AWSϓϨϛΞίϯα ϧςΟϯά ύʔτφʔ ΞδΞ஍Ҭ5ࣾ ࠷্Ґύʔτφʔ 4೥࿈ଓ͸2ࣾͷΈ Premier > Advanced
> Standard > Registered શੈք2331ࣾத

AWSίϯϐςϯγʔೝఆ AWSͷӡ༻อक ϏοάσʔλͷऔΓѻ͍

AWSύʔτφʔΞϫʔυ ࠷ߴӫ༪ͷ APN Partner of the Year ड৆

ཁ͢Δʹ ಛʹAWSͷߏஙӡ༻อक͕ ಘҙͳձࣾͰ͢

αʔόʔ԰Ͱ͢

ͱ͍͏͜ͱ͸

ηΩϡϦςΟཁ݅తʹ΋ ݫ͍͓͠٬༷ͷ؀ڥΛ ӡ༻͢Δ͜ͱ΋͋ΔΘ͚Ͱ͢

ͦ͜Ͱ

2013೥8݄ PCI DSS Ϩϕϧ1 औಘ ͦͷޙɺຖ೥ߋ৽

ͳͷͰɺ αʔόʔΠϯϑϥͳݟํͰ ͓࿩͠͠·͢

ࠓ೔͍Βͬ͠Ό͍ͬͯΔ օ༷Ͱ͋Ε͹ Α͘͝ଘ͔͡ͱ͸ࢥ͍·͕͢

PCI DSSʹ͸ ʮϨϕϧʯ ͕͋Γ·͢ΑͶ

Ϩϕϧ1͔ΒϨϕϧ4·Ͱ

γϯδ͸࠷ॳɺ Ϩϕϧ͕ߴ͍ํ͕ Ғ͍΋ͷͩͱࢥ͍ͬͯ·ͨ͠ RPGతͳҙຯͰ ʢͻͷ͖ͷ΅͏ɺΑΓమͷ݋ʣ

ͱ͜Ζ͕͍Ζ͍Ζௐ΂Δͱ

ͪΐͬͱಟͮ͘Α͏Ͱ ڪॖͰ͸͋Γ·͕͢

Ϩϕϧ2ʙ4ͬͯ

ҙຯ͋Δͷʁ

֎෦؂ࠪແͬͯ͠ ҙຯ͋Δͷʁ

͔ͤͬ͘΍ΔͳΒ Ϩϕϧ1΍Γ·ͤΜ͔

ࣗݾ਍அ΋େࣄͩͱ͸ ࢥ͍·͕͢ PCI DSSΛऔ͍ͬͨͬͯ͏ PRతͳɺձࣾͱͯ͠΋υϠإ Ͱ͖Δͱ͍͏ҙຯͰ΋

΍͸Γ໨ࢦ͢͸ PCI DSS ࠷৽όʔδϣϯͷ Ϩϕϧ1

ͱ͍͏͜ͱͰ

Ͳ͏͢Ε͹PCI DSSͷ ֎෦؂͕ࠪ ΫϦΞͰ͖Δͷ͔Λ ͓఻͍͑ͨ͠ͱࢥ͍·͢

PCI DSSऔಘͷ ϝϦοτɾσϝϦοτ

ηΩϡϦςΟʹ͸ ʮҰఆͷج४ʯ ͕ඞཁͰ͢

ͦͷج४Λɺ ͔ͳΓ۩ମతʹ ౿ΈࠐΜͰ ఏڙͯ͘͠ΕΔͷ͕ PCI DSSͷ୉ޣຯͰ͢

Α͘ฉ͘࿩͕

ΫϨδοτΧʔυͷ༷ͳ ৘ใΛऔΓѻΘͳ͍͚Ͳɺ PCI DSSͬͯ औΔҙຯ͋Δͷʁ

ͱ͍͏࿩Ͱ͢ɻ͜Ε͸ɺ

΢νͷηΩϡϦςΟ͸ɺ ΫϨδοτΧʔυͷ༷ͳ ηϯγςΟϒͳ৘ใ͑͞΋ औΓѻ͑Δ͚ͩͷ ମ੍͕͋Δ͜ͱͷ ূ໌ͳΜͰ͢Α

ͱ͍͏͜ͱʹͳΓ·͢ɻ ͳͷͰɺे෼ͳޮՌ͕ ظ଴ग़དྷ·͢ɻ ʢݫີʹ͸ΠίʔϧͰ͸ ͋Γ·ͤΜ͕ɺ ฏͨ͘ॻ͘ͱ͜Μͳײ͡Ͱ͢ʣ

PCI DSSΛऔಘ͢Δ σϝϦοτ΋͋Γ·͢ɻ ͦΕ͸ɺ

ͳΜͱͳ͘؂ࠪ೔͕ۙͮ͘ͱ ͦΘͦΘ͢Δʢ͔΋͠Εͳ͍ʣ

؂ࠪһͷ͓ห౰ͱ͔ ༻ҙͨ͠ํ͕͍͍ͷ͔ͳͱ͔ ೰Ήʢผʹ͍Βͳ͍ʣ

؂ࠪ೔લ೔͋ͨΓ͔Β ͳΜ͔ϐϦϐϦ࢝͠ΊΔ ʢͱ͍͏ਓ΋͍Δ͔΋ʣ

ͦ͏ɺσϝϦοτͳΜͧ ͍͟͝·ͤΜΑɻ ͍͍͜ͱͩΒ͚Ͱ͢ɻ

ձࣾ΋୲౰ऀ΋ େมษڧʹͳΓ·͢͠ɺ ྫ֎Λআ͖·͕͢ɺ ؂ࠪһͷํ͸खऔΓ଍औΓ ڭ͍͑ͯͩ͘͞·͢ɻ

ίεύ࠷ߴ ʢݸਓͷײ૝Ͱ͢ʣ

PCI DSS؂ࠪͷಛ௃తͳ఺

؂ࠪʹ΋͍Ζ͍Ζ͋Δͱ ࢥ͍·͕͢ PCI DSS؂ࠪʹ͸ ಛ௃͕͋Γ·͢

ࢦఠ͞ΕͨΒ ͦͷ৔Ͱ଎߈௚ͤ͹௨ͤΔ

࣮ྫΛ͝঺հ͠·͢

؂ࠪһʮ͜ͷϨϏϡʔه࿥ɺ ݟͤͯ௖͚·͔͢ʁʯ

ʢͳ͍ͳ͍ʣ

୲౰ऀʮ͋ʔ͑ʔɺ 2͍࣌ؒͩ͘͞ ʢͭ͘Ζ͏ɻɻɻʣʯ

͜ΕͰ͍͚·͢ɻ

؂ࠪһʮ͋Βɺ͜͜ͷ NTPઃఆ͕ ؒҧ͑ͯ·͢Ͷ͐ʯ

ʢͦ΋ͦ΋ઃఆͯ͠ͳ͍ʣ

୲౰ऀʮ͋ɺ΄Μͱͩɻ ͡Ό͍͋·௚͠·͢Ͷʯ

͜ΕͰ͍͚·͢ɻ

؂ࠪһʮͰ͸ࠓ೔͸͜ΕͰ ऴྃʹ͠·͠ΐ͏ɺ ࢒՝୊͸2݅Ͱͨ͠Ͷʯ

ʢνϟϯεʂʣ

୲౰ऀʮ2݅Ͱ͢Ͷɺ ࠓ೔தʹϝʔϧͰ ه࿥ૹΓ·͢ʯ ʢϝʔϧૹͬͯ׬ྃͰ͖Δʣ

͜ΕͰ͍͚ΔΜͰ͢ɻ

PCI DSSͷ؂ࠪͰ͸ɺ ʮແ͍΋ͷ͸ແ͍ɺ ग़དྷ͍ͯͳ͍΋ͷ͸ ग़དྷ͍ͯͳ͍ɺ ͦΕ͸࢓ํͷແ͍ࣄɺ ͡Ό͋͜Ε͔ΒͲ͏͢Δ͔ ܾΊͪΌ͓͏ɺ Ұॹʹߟ͑·͠ΐ͏ʯ ͱ͍͏఺ʹ͋Γ·͢ɻ

Ͱ͔͢Βɺ ͜Ε͔Β؂ࠪʹ νϟϨϯδ͞ΕΔํ͸ɺ

Ͳ͏ͤ΢νͷ ηΩϡϦςΟ͡Ό ؂ࠪ௨Βͳ͍Αͳ͊

ͳΜͯࢥ͏͔΋͠Ε·ͤΜ

͸͍ɺ·ͣ௨Γ·ͤΜ

͕͔ͩ͠͠ʂ

ࠃࡍج४Ͱ͋ΔPCI DSSʹ ৐͔ͬΓ͍ͨҙࢥ͕͋Δͷ͔ Ͳ͏͔ʂඞཁͳͷ͸ͦ͜Ͱ͢ɻ

৐͔ͬͬͪΌ͑͹΋͏ ޙઌߟ͑ͣʹ΍Δ͔͠ͳ͍ పఈతʹౖΒΕͨͱͯ͠΋ શ෦௚ͤ͹؂ࠪ͸௨Δʂ

͓ۚ͸͍͘Β͔͔Δͷ͔

݁࿦͔Βݴ͏ͱ

͔͔ͦͦ͜͜Γ·͢ ͕

ن໛ͱൣғͰ ͔ͳΓมΘΓ·͢

؂ࠪҎ֎ʹ΋ɺ Πϯϑϥ੔උʹ͔͔Δ ίετ΋ ͋Δ͔΋͠Ε·ͤΜ

શ͘ະ஌͔Βͷ νϟϨϯδͷ৔߹ɺ ଟ͘͸ίϯαϧΛ ೖΕ·͔͢Βɺ ͜ͷඅ༻΋͔͞Έ·͢ɻ

਺ेສͰऴΘΔέʔε͸ɺ Մೳੑ͸ผͱͯ͠ɺ ΄ͱΜͲແ͍Ͱ͠ΐ͏ɻ

·ͣ͸ඦສ୯Ґͱ ߟ͑ͯΑ͍ͱࢥ͍·͢ɻ

ηΩϡϦςΟʹ͸ ͓͕͔͔ۚΔͷͰ͢

Ͱ͕͢ɺ ໌֬ͳج४΁ͷ౤ࢿͱͯ͠͸ɺ අ༻ରޮՌ΋໌֬ͳ ౤ࢿͱࢥ͍·͢

؂ࠪΛ͢Δ্Ͱ ༗རͳέʔεͱෆརͳέʔε

༏ྼΛ෇͚Δҝʹ ༗རෆརͱॻ͖·͕ͨ͠ɺ ࣮ࡍෆརͳέʔε͸ ͋Γ·ͤΜɻ

ͱ͍͏ͷ͸ɺ ༗རͳέʔεΛݟΔ͜ͱͰ ཧղग़དྷ·͢

ΫϨδοτΧʔυ൪߸Λ औΓѻΘͳ͍৔߹

ձࣾͷதͰ΋ಛఆͷ৔ॴ΍ ػࡐʹߜͬͯ؂ࠪΛ͢Δ৔߹

ωοτϫʔΫػث͕ اۀ༻੡඼Ͱ ౷Ұ͞Ε͍ͯΔ৔߹

͜Εͷٯύλʔϯ͕ɺ ෆརͳέʔεɺͱ͍͏ΑΓɺ ୯७ʹ֬ೝࣄ߲͕ଟͯ͘ େมͩͱ͍͏࿩Ͱ͢ɻ

ΫϨδοτΧʔυ൪߸Λ ׬શʹऔΓѻ͍ͬͯΔ৔߹

؂ࠪൣғΛશࣾ಺ʹ ద༻͍ͤͨ͞ͱ ߟ͍͑ͯΔ৔߹

ωοτϫʔΫػث͕ Ոఉ༻ͩͬͨ৔߹

ΫϨδοτΧʔυ൪߸Λ औΓѻ͏ͱݴ͏͜ͱ͸ɺ WebΞϓϦέʔγϣϯ΍ σʔλϕʔεΛอ༗͍ͯ͠Δ ͱ͍͏͜ͱʹͳΓ·͔͢Βɺ ͜ΕΒͷঢ়ଶ΍੬ऑੑɺ ৵ೖςετͷ݁ՌͳͲΛ పఈతʹٻΊΒΕ·͢ɻ

؂ࠪൣғΛશࣾʹ޿͛ͨ৔߹ɺ ୯७ʹ෺ཧΞΫηεͰͷ ωοτϫʔΫΞΫηεܦ࿏͕ ૿͑·͔͢Βɺ ؂ࠪ΋େมͩͱ͍͏͜ͱͰ͢ɻ ಛʹແઢLANɺ ͜ΕNGͳΜͰ͢

ωοτϫʔΫػث͸ɺ ػثͷϝʔΧʔ΍ػछ͸ ԿͰ΋͍͍ͷͰ͕͢ɺ IPͱϙʔτ୯ҐͰΞΫηεͷ੍ޚ͕ Ͱ͖Δ͔Ͳ͏͔ɺϧʔϧηοτ͕ ॻ͚Δ͔Ͳ͏͔ɺίϯϑΟά͕ όοΫΞοϓͰ͖ͯ੾Γ໭͠ Ͱ͖Δ͔Ͳ͏͔ͳͲ͕໰ΘΕ·͔͢Βɺ Ոఉ༻ͩͱ͠ΜͲ͍Մೳੑ͕͋Γ·͢ɻ

؂߲ࠪ໨͸12ͷཁ͔݅ΒͳΔ 400߲໨Ҏ্

·ͣͲΜͳ߲໨͕ ͋Δ͔ͱ͍͏ͱɺ ࣮͸WebͰ શͯެ։͞Ε͍ͯ·͢

ߋʹPCI DSSʹ͸ όʔδϣϯ͕͋ͬͯ

ݱࡏͷόʔδϣϯ͸ v3.2Ͱ͢

ߋʹɺ؂߲ࠪ໨ͷதʹ͸ɺ ʮઈର΍ͬͯ͘Εʯ ͱ͍͏߲໨ͱ ʮ΍ͬͨํ͕ྑͦ͞͏ʯ ͱ͍͏߲໨ͷ 2ͭʹ෼͔Ε·͢

جຊతʹ ʮ΍ͬͨํ͕Αͦ͞͏ʯ ͳཁ݅͸ εΩοϓग़དྷ·͕͢ɺ όʔδϣϯ্͕͕ͬͨࡍʹ͸ͦ ͷ߲໨͕ ʮઈର΍ͬͯ͘Εʯ ʹ্֨͛͞ΕΔ͜ͱ͕ଟ͍Ͱ͢

؂ࠪखॱͱεέδϡʔϧ

جຊతʹ͸ ίϯαϧʹ ͓೚ͤ͠·͠ΐ͏͆͆͆

ͱ͍͏ͷ΋

ίϯαϧ͕༧Ί ݱঢ়Λ֬ೝͯ͠ɺ ؂ࠪ೔ఔͷௐ੔͓Αͼɺ ͲΜͳ؂ࠪʹͳΓͦ͏͔ͷ ௐ੔Λ؂ࠪஂମͱࣄલʹ ͋Ε͜Εͯ͘͠ΕΔ ৔߹͕͋Γ·͢ɻ

طʹࣾ಺ʹਫ਼௨ͨ͠ਓ͕ ͍Δ৔߹͸ɺૣʑʹ؂ࠪґཔ Λ͔͚ͯ΋໰୊͋Γ·ͤΜ͕ɺ ͦΕͰ΋γϯδ͸ίϯαϧʹ ґཔ͢Δ͜ͱΛ Φεεϝ͠·͢

ͳͥͳΒ͹

؂ࠪΛड͚Δձࣾͷࣄ৘Λ ఻͑ͯ͘ΕΔʢ͔΋͠Εͳ͍ʣ

༧Ίίϯαϧ͕ ໛ٖ؂ࠪͨ͠಺༰Ͱ ຊ൪΋ௐ੔ͯ͘͠ΕΔ ʢ͔΋͠Εͳ͍ʣ

؂ࠪ౰೔΋෇͖ఴͬͯɺ ϑΥϩʔͯ͘͠ΕΔ ʢ͔΋͠Εͳ͍ʣ

؂ࠪһͱίϯαϧ͸ ࣄલͷίωΫγϣϯ͕͋Δ ৔߹͕͋Γ·͔͢Βɺ ͜ΕΛ׆༻͢ΔΘ͚Ͱ͢ɻ

ͦͯ͠ɺ Ͳ͏΍ͬͯ؂͍ࠪͯ͘͠ͷ͔ ͱ͍͏ͱɺ

ཁ݅1.1͔Βॱʹ 400Ҏ্ʹٴͿશͯͷ߲໨Λ ͻͱͭͻͱͭ؂ࠪһ͕ղઆΛ ަ͑ͯɺॻྨͷ֬ೝΛͨ͠Γ ࣮ػͷ֬ೝΛͨ͠Γ ͍͖ͯ͠·͢ɻ

͜ͷ؂ࠪதɺ શͯͷ୲౰ऀʢΠϯϑϥͱ͔ ωοτϫʔΫͱ͔υΩϡϝϯ τ࡞੒ऀͱ͔ʣ͕ͦͷ৔ʹ ͍Δඞཁ͸͋Γ·ͤΜ

·ͨɺ ෆ໌ͳ෦෼͸ޙճ͠ʹ΋ Ͱ͖·͢

ߋʹඞࡴٕ΋࢖͑·͢

ʮର৅֎ʯ

͜Ε͸ɺ ʮ͜ͷཁ݅͸ɺ͜Ε͜Ε ͜͏͍͏ཧ༝͔ͩΒɺ ର৅֎Ͱ͢Ͷʯͱ ؂ࠪһ͕൑அ͢Ε͹ ྑ͍Θ͚Ͱ͢

͜͜Ͱࣄલͷίϯαϧ͕ ॏཁʹͳΓ·͢

ͱ͍͏ͷ΋ɺ ͜Ε͜Ε͜͏͍͏ཧ༝͔ͩΒɺ ͜ͷลΓ͸ର৅֎ʹͳΔͱ ࢥ͍·͢ɺͱ͍͏ͷΛࣄલʹ ΍͓͍ͬͯͯ͘ΕΔ ৔߹͕͋Γ·͢

͜Ε͕͋Δͱɺ؂ࠪͷޮ཰͕ άοͱߴ·Γ·͢͠ɺ ਖ਼֬ੑ͕૿͠·͢ɻ

࣮͸ඞࡴٕ͸ ΋͏1ͭ͋Γ·͢

ʮ୅ସίϯτϩʔϧʯ

͜Ε͸Կ͔ͱ͍͏ͱɺ

ۀ຿ͷ౎߹Ͱ९क͕ݫ͍͠ɺ ͔ͩΒͦͷ··ʹ͍ͨ͠ͷͰɺ ͦͷ߲໨Λิ͏ܗͰ γεςϜ΍ਓһɺ ϧʔϧͷ੔උΛ͢Δ͜ͱͰ OKʹͯ͠΋Β͑·ͤΜ͔ʁ ͱ͍͏͜ͱͰ͢ɻ

͜Ε͸݁ߏ࢖͑·͢ ͱ͍͏͔ ͔ͳΓ࢖͍·͢

؂ࠪΛ௨͢͜ͱ͕ ໨తͰ͸ແͯ͘ɺ ηΩϡϦςΟΛߴΊΔ͜ͱ͕ ໨తͰ͢ΑͶ

ձࣾʹΑͬͯ͸ ۀ຿ӡ༻౎߹্ Ͳ͏ʹ΋ͳΒͳ͍͜ͱͩͬͯ ͋ΔΘ͚Ͱ͢

ۀ຿ޮ཰͕ ஶ͘͠མͪͯ͠·͏ͱ͔

ۀ຿ͦͷ΋ͷʹӨڹ͕ Ͱͯ͠·͏ͱ͔

ͦ͜·Ͱͯ͠ ؂ࠪΛଓ͚Δͷ͸ ຊ຤స౗ͳײ͡΋͢ΔͷͰ

ଟ͘ͷ؂ࠪཁ݅ʹ͓͍ͯ ͜ͷ ʮ୅ସίϯτϩʔϧʯ͕ ద༻Մೳͱͳ͍ͬͯ·͢ ͜ΕΒΛ༗ޮ׆༻͠·͠ΐ͏

؂ࠪલʹ४උ͓ͯ͘͜͠ͱ

1͚ͭͩͰ͢

؂߲ࠪ໨Λূ໌͢Δ४උ

͜ΕʹݶΓ·͢

՝୊؅ཧπʔϧͳͲΛ ར༻ͯ͠ɺཁ݅Λ՝୊ͱͯ͠ ୲౰ऀΛܾΊ·͠ΐ͏ɻ ୲౰ऀͱ͍͏ҙຯ߹͍Ͱ ݴ͑͹ඞཁͳͷ͸ɺ

PCI DSSγεςϜӡ༻୲౰ऀ

PCI DSS؅ཧ੹೚ऀ

͜ͷ2໊͸࠷௿Ͱ΋ඞཁͰ͢

૊৫తʹ͸ɺ ӡ༻୲౰ऀ͕ γεςϜมߋґཔΛग़ͯ͠ɺ ؅ཧ੹೚ऀ͕ঝೝ͢Δͱ͍͏ ྲྀΕΛ૊Έ·͢

ͦͯ͠ಋೖࡁΈͷ ηΩϡϦςΟΞϓϥΠΞϯεɺ ιϑτ΢ΣΞͳͲͳͲ

IPS/IDS, WAF, Ξϯν΢Οϧε, ϩά؅ཧٴͼ؂ࢹ

PCI DSSͷͱ͋Δཁ݅Λ ΫϦΞ͢ΔͨΊʹ։ൃ͞Εͨ ༗ঈιϑτ΢ΣΞ͕਺ଟ͘ ଘࡏ͍ͯ͠·͕͢ɺ ͦͷଟ͘͸ߪೖ͢Δඞཁແ͘ OSSͷΈͰ΋؂ࠪΛ௨ͤ·͢

cloudpackͷ৔߹ɺ IPS/IDSΛOSSͰ ༻ҙग़དྷͳ͔ͬͨҝɺ τϨϯυϚΠΫϩࣾͷ Deep SecurityΛ ಋೖ͍ͯ͠·͢

·͊΋ͬͱ ͿͬͪΌ͚·͢ͱͰ͢Ͷ

cloudpackͰ͸IPS/IDS͕ ଘࡏ͠ͳ͍ঢ়ଶͰ ؂ࠪΛड͚ͯɺ ౰વͦΕ͕ࢦఠ͞Εͯɺ ͦͷ৔ͰηοτΞοϓ͢Δͱ ͍͏ܦҢ΋͋ͬͨ͘Β͍Ͱ͢

ྑ͘ݴ͑͹ͦΕ͘Β͍ ॊೈͳ؂ࠪΛड͚Δ͜ͱ͕ ग़དྷ·͢

͜ΕҎ্ແ͍͘Β͍ े෼ͳ४උͱ ྟઓଶ੎Ͱ๬Ήඞཁ͸ ͋Γ·ͤΜ

؂߲ࠪ໨Ͱ ෼͔Βͳ͍ͱ͜Ζ͕͋Ε͹ɺ ؂ࠪதʹฉ͍ͯΈ·͠ΐ͏ɻ ͦΕͰྑ͍ͷͰ͢

؂ࠪதʹඞཁͳࣄ

શͯͷ୲౰ऀ͕ ؂ࠪ೔ఔͷؒ͸ ग़ࣾ͢ΔΑ͏ʹ͠·͠ΐ͏

؂ࠪ೔ఔ͸ن໛ʹΑͬͯ͸ 2೔ʙ3೔ͰऴΘΔ͜ͱ΋ ͋Δ͔΋͠Ε·ͤΜ͕ɺ 2िؒͱ͔ݴΘΕΔՄೳੑ΋ ͋Δ͔΋͠Ε·ͤΜ

ͲͪΒʹͯ͠΋ɺ ؔ܎ऀ͸શһձࣾʹ ͍ΔΑ͏ʹ͍ͯͩ͘͠͞

શһ͕؂ࠪʹ ग़੮͠ଓ͚Δඞཁ͸ ͋Γ·ͤΜ

ඞཁʹԠͯ͡ ότϯλον͠ͳ͕Βɺ ·ͨɺࢦఠ͞Ε߲ͨ໨Λ मਖ਼͠ͳ͕ΒରԠ͠·͢

؂ࠪ͸υΩϡϝϯτҎ֎ʹ΋ ࣮ࡍͷػثΛݟʹདྷ·͢

࣮ػ؂ࠪͷࡍʹɺ ࣄલʹ४උ͍ͯͨ͠ ؔ܎ऀҎ֎ͷࣾһʹ ΠϯλϏϡʔ͞ΕΔ͜ͱ͕ ͋Γ·͢ɻ

ྫ͑͹PCI DSS΁ͷཧղ౓͸ Ͳ͏Ͱ͠ΐ͏͔ͩͱ͔

ΩϟϏωοτͷ伴͸ Ͳ͏؅ཧ͞Ε͍ͯΔͷͰ͔͢ ͱ͔

༧ఆ֎ͷࣄʹͳΔͷͰɺ ͪΐͬͱϏοΫϦͯ͠͠·͏ ͔΋͠Ε·ͤΜɻ ·͊ɺͦΜͳ΋ΜͳͷͰɺ ͋·Γؾʹͤͣී௨ʹ౴͑ͯ ௖͚Ε͹ྑ͍ͱࢥ͍·͢

ঢ়گ͕ͻͲ͚Ε͹ɺ ࢦఠ͕ೖͬͯमਖ਼͢Ε͹͍͍ ͚ͩͷ࿩Ͱ͔͢Βɻ ͦΕ͕ݪҼͰ μϝʔ΋͏͋ʔ͛ͳʔ͍ ͱ͸ͳΓ·ͤΜɻ

؂ࠪޙʹඞཁͳࣄ

؂ࠪ೔ఔΛશͯ׬ྃͯ͠ɺ ʮݕग़ࣄ߲͸͋Γ·ͤΜʯ ͱ͞ΕΕ͹ɺ͋ͱ͸؂ࠪһ͕ ࡞Δ؂ࠪใࠂॻʢROCʣɺ ४ڌূ໌ॻʢAOCʣ͕ ૹΒΕͯ͘ΔͷΛ ଴ͪ·͠ΐ͏

AOCʹ͸ࣾ௕΋͘͠͸ ͦΕ૬ԠͷਓؒͷαΠϯ͕ ඞཁͰɺ͜ΕΛฦૹ ͠ͳ͚Ε͹ͳΓ·ͤΜ

ݕग़ࣄ߲͕͋Δ৔߹ɺ ઌ1ϲ݄Ҏ಺ʹͦͷ՝୊Λ ղܾ͢Δඞཁ͕͋Γ·͢

͕ɺ૬౰ͳཧ༝͕ແ͍ݶΓ͸ ࠶౓࣮஍؂ࠪʹ͸ͳΓ·ͤΜ

جຊతʹ͸ ΤϏσϯεͷఏग़Λ ϝʔϧͰߦ͑͹OKͰ͢

࢒Γͷݕग़ࣄ߲ͷ ΤϏσϯε͕डཧ͞ΕΕ͹ɺ ͦͷλΠϛϯά͔Βઌํ͕ ROCͱAOCͷ࡞੒Λ ։࢝͠·͢

PCI DSSʹ४ڌͨ͠ͱ ൃදग़དྷΔλΠϛϯά

PRతʹ͸ؾʹͳΔͱ͜Ζ Ͱ͢ΑͶ

͜Ε͸ɺ ؂ࠪһͱࣾ௕ͷαΠϯ͕ ೖͬͨॻྨ͕ἧͬͨ λΠϛϯά͕ɺ ൃදग़དྷΔλΠϛϯάʹ ͳΓ·͢ɻ

࠷΋ॏཁͳ͜ͱ ʮܧଓ؂ࠪΛड͚Δ͜ͱʯ

ͯ͞ɺΑ͏΍͘ PCI DSSऔಘ͠·ͨ͠ ͱԾఆͯ͠ ࣍ͷ؂ࠪ͸͍ͭʹͳΔ͔

1೥ޙͷಉ࣌͡ظ

େ͖ͳγεςϜมߋͳͲ͕ ͋ͬͨ৔߹

؂ࠪ͸࠷௿ຖ೥ඞཁͰ͢

ͲͪΒʹͯ͠΋ ʮಧ͚ग़ʯ͕ඞཁͰ͢

ͦͯ͠ɺ ܧଓ؂͔ࠪͩΒͱ͍ͬͯɺ طʹ؂ࠪࡁΈͷ߲໨Λ εΩοϓ͢Δ͜ͱ͸ Ұ੾͋Γ·ͤΜ

·ͨ1͔Βશͯͷ߲໨Λ ؂ࠪ͠·͢

ͦͯ͠PCI DSSج४΋ ͲΜͲΜόʔδϣϯΞοϓ ͍͖ͯ͠·͢ɻ ैͬͯɺ

લճ؂ࠪ࣌ʹܾΊͨӡ༻͕ɺ PDCAαΠΫϧͰճͬͯΔ͔ ධՁ͞Ε·͢

ܧଓ؂ࠪͷํ͕ ѹ౗తʹେมͰ͢

ຖ೔ϩάϨϏϡʔ ͠·ͩ͢ͱ͔

4൒ظʹ1ճ ੬ऑੑςετ͠·ͩ͢ͱ͔

1೥ʹ1ճ৵ೖݕ஌ςετ ͠·ͩ͢ͱ͔

ӡ༻ग़དྷ͍ͯΔ͔ͷ ΤϏσϯε͕ٻΊΒΕ·͢

ܦݧ্

PCI DSSͷҡ࣋Ͱ ࠷΋େมͳͷ͸ ӡ༻ͱܧଓ؂ࠪͰ͢

͸͖ͬΓݴ͍·͢

ͱΓ͋͑ͣऔΔ͚ͩͳΒ ୭Ͱ΋औΕΔؾ͕͠·͢

1೥Ҏ্ܧଓ͍ͯ͠Δ͔͕ɺ ຊ౰ͷҙຯͰ PCI DSSΛ ӡ༻ग़དྷ͍ͯΔ͔͕ ໰ΘΕ·͢

ͳͷͰγϯδతʹ͸

PCI DSSऔͬͨձࣾ Πίʔϧ ҆શͩͶ Ͱ͸ͳͯ͘

1೥Ҏ্ʢ1ճҎ্ͷߋ৽͕ʣ ग़དྷ͍ͯΔձ͔ࣾͲ͏͔Λ ݟΔΑ͏ʹ͍ͯ͠·͢

ͱ͍͏Θ͚Ͱ

͜Ε͔ΒPCI DSS΍Γ͍ͨ

ӡ༻ࠔͬͯΔ Ͳ͏ͨ͠Β͍͍͔Θ͔Βͳ͍

ͲΜͲΜ৘ใڞ༗͠·͠ΐ͏ʂ

֤ࣾ͞ΜҰؙͱͳͬͯ ITࣄۀͷηΩϡϦςΟϨϕϧΛ ߴΊ͍͚ͯΔͱ͍͍Ͱ͢Ͷ

PCI DSSを取る方法

PCI DSSを取る方法

More Decks by Sudachi-Kun

Other Decks in Technology

Featured

Transcript