Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
PCI DSSを取る方法
Search
Sudachi-Kun
March 01, 2016
Technology
2k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
PCI DSSを取る方法
cloudpackが実践した取得と更新から学ぶ
Sudachi-Kun
March 01, 2016
More Decks by Sudachi-Kun
See All by Sudachi-Kun
Slack-EMOJIをチーム間で共有する方法
sudachikawaii
0
150
SORACOMに乗せるぜマイナンバー
sudachikawaii
0
1.7k
外よりも中からの攻撃・ 事故がヤバイ、今やるべきクラウドセキュリティ対策
sudachikawaii
5
8.1k
Other Decks in Technology
See All in Technology
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
15
110k
“それは自分の仕事じゃない"を越えて行け
yuukiyo
0
140
Claude Code 珍プレー好プレー
shinyasaita
0
330
kintone の AI コワーカーを、 Anthropic にエージェントを"ホストさせて"作った話 #devkinmeetup
sugimomoto
0
100
AIレビューはどこまで任せられるのか?自動化と人が背負うレビューの境界
sansantech
PRO
2
770
SREとQA 二人三脚で進めるSLO運用/sre-qa-slo
sugitak
0
480
公式ドキュメントの歩き方etc
coco_se
0
100
KiCAD講習会②
tutcreators
0
110
個人開発で育てる「大規模設計の苗床」 - AI時代の1人開発から始める業務への知識接続 / The Seedbed for Large-Scale Design - From AI-Era Solo Projects to Professional Knowledge
bitkey
PRO
0
170
人を動かすのは時間ではなく、納得感 〜新任EMが入社3ヶ月、組織を2回変えた話〜
kakehashi
PRO
3
220
タスクの複雑さでモデルを選ぶ ── Thompson Samplingで動かす“トークン/コスト最適化
satohy0323
0
340
cccccc
moznion
0
1.9k
Featured
See All Featured
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
Fashionably flexible responsive web design (full day workshop)
malarkey
408
67k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.5k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
290
A designer walks into a library…
pauljervisheath
211
24k
Six Lessons from altMBA
skipperchong
29
4.3k
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.9k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
800
Building AI with AI
inesmontani
PRO
1
1.1k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.7k
The agentic SEO stack - context over prompts
schlessera
0
840
Transcript
PCI DSSΛऔΔํ๏ cloudpack͕࣮ફͨ͠औಘͱߋ৽͔ΒֶͿ 2016/03/01
͡Ίʹ ँΒͳ͚ΕͳΒͳ͍͜ͱ͕ ͋Γ·͢
͜ͷεϥΠυ 227εϥΠυ ͋Γ·͢
ࣗݾհ
ᴡ౻ ጏਔ ΞΠϨοτגࣜձࣾ cloudpackࣄۀ෦ 20138݄ೖࣾ ʲϒϩάʳ ϩʔυόϥϯεͩͪ͘͢Μ http://blog.animereview.jp/
ϒϩά ׂͱ͍Ζ͍Ζॻ͍ͯ·ͯ͠
ݸਓϒϩά͚ͩͲ34ສPV ̍ฏۉ1500PV
ͦͷલHPCͬͯ·ͨ͠ ʢϋΠɾύϑΥʔϚϯεɾίϯϐϡʔςΟϯάʣ
GPU͍ͬͺ͍ͷͤͯ
Ϋϥελ ΜͩΓ ͢ΔΘ͚Ͱ͢
ͦͷલ2͘Β͍ χʔτͯ͠·ͨ͠ ʢ24/365ۈʣ ʢͣͬͱήʔϜͯͨ͠ʣ
ߋʹͦͷલ υεύϥͷ ๏ਓ෦ୂʹ͍·ͨ͠
2009ʹ GMO͞Μͷ αʔόʔ࡞ͬͨ࣌ͷ هࣄ ʢITmedia͞Μʣ
͋Δγϯδ ֮ΊΔͷͰ͢
࣌Ϋϥυ͡ΌͶʁ
ͦͯ͠ΞΠϨοτʹ ඈͼࠐΉ
·ͣ୲ͨ͠ͷ ϓϩδΣΫτϚωʔδϟʔ
ͦͯࣗࣾ͠Webߋ৽
͔Βͷ٬ઌৗற
ԿͰ
ݱࡏͷݞॻ͖
ใηΩϡϦςΟཧऀ
ݸਓใཧऀ
PCI DSSཧऀ
ܦྺͱηΩϡϦςΟͷ γϯΫϩ͕ઈత
͖͔͚ͬ ৽ͨͳࠪରԠͱ લͷୀ৬
CTOླ ʮγϯδ܅ηΩϡϦςΟͬͯʔʯ
͍͍ͬ͢Αʔ
1͔ΒݱͰୟ͔Εͯ ࠓʹࢸΓ·͢
ͦͯ͠ޛͬͨ
ٕज़ྗʢITϦςϥγʔʣͱ ηΩϡϦςΟϦςϥγʔ શͬͯ͘ൺྫ͠ͳ͍
ΞΠϨοτגࣜձࣾ cloudpackࣄۀ෦ ͝հ
ΞΠϨοτגࣜձࣾ ઃཱ ࢿຊۚ දऀ ैۀһ ࣄۀ༰ γεςϜ։ൃɾอक ϚωʔδυϗεςΟϯά 200310݄15
7,000ສԁ ᜊ౻ কฏ 100໊ʢ20159݄ݱࡏʣ
AWSΛ׆༻͠ͳ͕ΒϏδωεʹूதͰ͖Δ ίϯγΣϧδϡαʔϏε
4 ࣾ ࣾ ϓϩδΣΫ τ 500 800 5 5
ؒAWSͷΈͰ
AWSϓϨϛΞίϯα ϧςΟϯά ύʔτφʔ ΞδΞҬ5ࣾ ࠷্Ґύʔτφʔ 4࿈ଓ2ࣾͷΈ Premier > Advanced
> Standard > Registered શੈք2331ࣾத
AWSίϯϐςϯγʔೝఆ AWSͷӡ༻อक ϏοάσʔλͷऔΓѻ͍
AWSύʔτφʔΞϫʔυ ࠷ߴӫ༪ͷ APN Partner of the Year ड
ཁ͢Δʹ ಛʹAWSͷߏஙӡ༻อक͕ ಘҙͳձࣾͰ͢
αʔόʔͰ͢
ͱ͍͏͜ͱ
ηΩϡϦςΟཁ݅తʹ ݫ͍͓͠٬༷ͷڥΛ ӡ༻͢Δ͜ͱ͋ΔΘ͚Ͱ͢
ͦ͜Ͱ
20138݄ PCI DSS Ϩϕϧ1 औಘ ͦͷޙɺຖߋ৽
ͳͷͰɺ αʔόʔΠϯϑϥͳݟํͰ ͓͠͠·͢
ࠓ͍Βͬ͠Ό͍ͬͯΔ օ༷Ͱ͋Ε Α͘͝ଘ͔͡ͱࢥ͍·͕͢
PCI DSSʹ ʮϨϕϧʯ ͕͋Γ·͢ΑͶ
Ϩϕϧ1͔ΒϨϕϧ4·Ͱ
γϯδ࠷ॳɺ Ϩϕϧ͕ߴ͍ํ͕ Ғ͍ͷͩͱࢥ͍ͬͯ·ͨ͠ RPGతͳҙຯͰ ʢͻͷ͖ͷ΅͏ɺΑΓమͷʣ
ͱ͜Ζ͕͍Ζ͍ΖௐΔͱ
ͪΐͬͱಟͮ͘Α͏Ͱ ڪॖͰ͋Γ·͕͢
Ϩϕϧ2ʙ4ͬͯ
ҙຯ͋Δͷʁ
֎෦ࠪແͬͯ͠ ҙຯ͋Δͷʁ
͔ͤͬ͘ΔͳΒ Ϩϕϧ1Γ·ͤΜ͔
ࣗݾஅେࣄͩͱ ࢥ͍·͕͢ PCI DSSΛऔ͍ͬͨͬͯ͏ PRతͳɺձࣾͱͯ͠υϠإ Ͱ͖Δͱ͍͏ҙຯͰ
Γࢦ͢ PCI DSS ࠷৽όʔδϣϯͷ Ϩϕϧ1
ͱ͍͏͜ͱͰ
Ͳ͏͢ΕPCI DSSͷ ֎෦͕ࠪ ΫϦΞͰ͖Δͷ͔Λ ͓͍͑ͨ͠ͱࢥ͍·͢
PCI DSSऔಘͷ ϝϦοτɾσϝϦοτ
ηΩϡϦςΟʹ ʮҰఆͷج४ʯ ͕ඞཁͰ͢
ͦͷج४Λɺ ͔ͳΓ۩ମతʹ ౿ΈࠐΜͰ ఏڙͯ͘͠ΕΔͷ͕ PCI DSSͷޣຯͰ͢
Α͘ฉ͕͘
ΫϨδοτΧʔυͷ༷ͳ ใΛऔΓѻΘͳ͍͚Ͳɺ PCI DSSͬͯ औΔҙຯ͋Δͷʁ
ͱ͍͏Ͱ͢ɻ͜Εɺ
νͷηΩϡϦςΟɺ ΫϨδοτΧʔυͷ༷ͳ ηϯγςΟϒͳใ͑͞ औΓѻ͑Δ͚ͩͷ ମ੍͕͋Δ͜ͱͷ ূ໌ͳΜͰ͢Α
ͱ͍͏͜ͱʹͳΓ·͢ɻ ͳͷͰɺेͳޮՌ͕ ظग़དྷ·͢ɻ ʢݫີʹΠίʔϧͰ ͋Γ·ͤΜ͕ɺ ฏͨ͘ॻ͘ͱ͜Μͳײ͡Ͱ͢ʣ
PCI DSSΛऔಘ͢Δ σϝϦοτ͋Γ·͢ɻ ͦΕɺ
ͳΜͱͳ͕ࠪۙͮ͘͘ͱ ͦΘͦΘ͢Δʢ͔͠Εͳ͍ʣ
ࠪһͷ͓หͱ͔ ༻ҙͨ͠ํ͕͍͍ͷ͔ͳͱ͔ Ήʢผʹ͍Βͳ͍ʣ
ࠪલ͋ͨΓ͔Β ͳΜ͔ϐϦϐϦ࢝͠ΊΔ ʢͱ͍͏ਓ͍Δ͔ʣ
ͦ͏ɺσϝϦοτͳΜͧ ͍͟͝·ͤΜΑɻ ͍͍͜ͱͩΒ͚Ͱ͢ɻ
ձࣾ୲ऀ େมษڧʹͳΓ·͢͠ɺ ྫ֎Λআ͖·͕͢ɺ ࠪһͷํखऔΓऔΓ ڭ͍͑ͯͩ͘͞·͢ɻ
ίεύ࠷ߴ ʢݸਓͷײͰ͢ʣ
PCI DSSࠪͷಛతͳ
ࠪʹ͍Ζ͍Ζ͋Δͱ ࢥ͍·͕͢ PCI DSSࠪʹ ಛ͕͋Γ·͢
ࢦఠ͞ΕͨΒ ͦͷͰ߈ͤ௨ͤΔ
࣮ྫΛ͝հ͠·͢
ࠪһʮ͜ͷϨϏϡʔهɺ ݟ͚ͤͯ·͔͢ʁʯ
ʢͳ͍ͳ͍ʣ
୲ऀʮ͋ʔ͑ʔɺ 2͍࣌ؒͩ͘͞ ʢͭ͘Ζ͏ɻɻɻʣʯ
͜ΕͰ͍͚·͢ɻ
ࠪһʮ͋Βɺ͜͜ͷ NTPઃఆ͕ ؒҧ͑ͯ·͢Ͷ͐ʯ
ʢͦͦઃఆͯ͠ͳ͍ʣ
୲ऀʮ͋ɺ΄Μͱͩɻ ͡Ό͍͋·͠·͢Ͷʯ
͜ΕͰ͍͚·͢ɻ
ࠪһʮͰࠓ͜ΕͰ ऴྃʹ͠·͠ΐ͏ɺ ՝2݅Ͱͨ͠Ͷʯ
ʢνϟϯεʂʣ
୲ऀʮ2݅Ͱ͢Ͷɺ ࠓதʹϝʔϧͰ هૹΓ·͢ʯ ʢϝʔϧૹͬͯྃͰ͖Δʣ
͜ΕͰ͍͚ΔΜͰ͢ɻ
PCI DSSͷࠪͰɺ ʮແ͍ͷແ͍ɺ ग़དྷ͍ͯͳ͍ͷ ग़དྷ͍ͯͳ͍ɺ ͦΕํͷແ͍ࣄɺ ͡Ό͋͜Ε͔ΒͲ͏͢Δ͔ ܾΊͪΌ͓͏ɺ Ұॹʹߟ͑·͠ΐ͏ʯ ͱ͍͏ʹ͋Γ·͢ɻ
Ͱ͔͢Βɺ ͜Ε͔Βࠪʹ νϟϨϯδ͞ΕΔํɺ
Ͳ͏ͤνͷ ηΩϡϦςΟ͡Ό ࠪ௨Βͳ͍Αͳ͊
ͳΜͯࢥ͏͔͠Ε·ͤΜ
͍ɺ·ͣ௨Γ·ͤΜ
͕͔ͩ͠͠ʂ
ࠃࡍج४Ͱ͋ΔPCI DSSʹ ͔ͬΓ͍ͨҙࢥ͕͋Δͷ͔ Ͳ͏͔ʂඞཁͳͷͦ͜Ͱ͢ɻ
͔ͬͬͪΌ͑͏ ޙઌߟ͑ͣʹΔ͔͠ͳ͍ పఈతʹౖΒΕͨͱͯ͠ શ෦ͤࠪ௨Δʂ
͓͍ۚ͘Β͔͔Δͷ͔
͔݁Βݴ͏ͱ
͔͔ͦͦ͜͜Γ·͢ ͕
نͱൣғͰ ͔ͳΓมΘΓ·͢
ࠪҎ֎ʹɺ Πϯϑϥඋʹ͔͔Δ ίετ ͋Δ͔͠Ε·ͤΜ
શ͘ະ͔Βͷ νϟϨϯδͷ߹ɺ ଟ͘ίϯαϧΛ ೖΕ·͔͢Βɺ ͜ͷඅ༻͔͞Έ·͢ɻ
ेສͰऴΘΔέʔεɺ Մೳੑผͱͯ͠ɺ ΄ͱΜͲແ͍Ͱ͠ΐ͏ɻ
·ͣඦສ୯Ґͱ ߟ͑ͯΑ͍ͱࢥ͍·͢ɻ
ηΩϡϦςΟʹ ͓͕͔͔ۚΔͷͰ͢
Ͱ͕͢ɺ ໌֬ͳج४ͷࢿͱͯ͠ɺ අ༻ରޮՌ໌֬ͳ ࢿͱࢥ͍·͢
ࠪΛ͢Δ্Ͱ ༗རͳέʔεͱෆརͳέʔε
༏ྼΛ͚Δҝʹ ༗རෆརͱॻ͖·͕ͨ͠ɺ ࣮ࡍෆརͳέʔε ͋Γ·ͤΜɻ
ͱ͍͏ͷɺ ༗རͳέʔεΛݟΔ͜ͱͰ ཧղग़དྷ·͢
ΫϨδοτΧʔυ൪߸Λ औΓѻΘͳ͍߹
ձࣾͷதͰಛఆͷॴ ػࡐʹߜͬͯࠪΛ͢Δ߹
ωοτϫʔΫػث͕ اۀ༻Ͱ ౷Ұ͞Ε͍ͯΔ߹
͜Εͷٯύλʔϯ͕ɺ ෆརͳέʔεɺͱ͍͏ΑΓɺ ୯७ʹ֬ೝࣄ߲͕ଟͯ͘ େมͩͱ͍͏Ͱ͢ɻ
ΫϨδοτΧʔυ൪߸Λ શʹऔΓѻ͍ͬͯΔ߹
ࠪൣғΛશࣾʹ ద༻͍ͤͨ͞ͱ ߟ͍͑ͯΔ߹
ωοτϫʔΫػث͕ Ոఉ༻ͩͬͨ߹
ΫϨδοτΧʔυ൪߸Λ औΓѻ͏ͱݴ͏͜ͱɺ WebΞϓϦέʔγϣϯ σʔλϕʔεΛอ༗͍ͯ͠Δ ͱ͍͏͜ͱʹͳΓ·͔͢Βɺ ͜ΕΒͷঢ়ଶ੬ऑੑɺ ৵ೖςετͷ݁ՌͳͲΛ పఈతʹٻΊΒΕ·͢ɻ
ࠪൣғΛશࣾʹ͛ͨ߹ɺ ୯७ʹཧΞΫηεͰͷ ωοτϫʔΫΞΫηεܦ࿏͕ ૿͑·͔͢Βɺ ࠪେมͩͱ͍͏͜ͱͰ͢ɻ ಛʹແઢLANɺ ͜ΕNGͳΜͰ͢
ωοτϫʔΫػثɺ ػثͷϝʔΧʔػछ ԿͰ͍͍ͷͰ͕͢ɺ IPͱϙʔτ୯ҐͰΞΫηεͷ੍ޚ͕ Ͱ͖Δ͔Ͳ͏͔ɺϧʔϧηοτ͕ ॻ͚Δ͔Ͳ͏͔ɺίϯϑΟά͕ όοΫΞοϓͰ͖ͯΓ͠ Ͱ͖Δ͔Ͳ͏͔ͳͲ͕ΘΕ·͔͢Βɺ Ոఉ༻ͩͱ͠ΜͲ͍Մೳੑ͕͋Γ·͢ɻ
߲ࠪ12ͷཁ͔݅ΒͳΔ 400߲Ҏ্
·ͣͲΜͳ߲͕ ͋Δ͔ͱ͍͏ͱɺ ࣮WebͰ શͯެ։͞Ε͍ͯ·͢
ߋʹPCI DSSʹ όʔδϣϯ͕͋ͬͯ
ݱࡏͷόʔδϣϯ v3.2Ͱ͢
ߋʹɺ߲ࠪͷதʹɺ ʮઈରͬͯ͘Εʯ ͱ͍͏߲ͱ ʮͬͨํ͕ྑͦ͞͏ʯ ͱ͍͏߲ͷ 2ͭʹ͔Ε·͢
جຊతʹ ʮͬͨํ͕Αͦ͞͏ʯ ͳཁ݅ εΩοϓग़དྷ·͕͢ɺ όʔδϣϯ্͕͕ͬͨࡍʹͦ ͷ߲͕ ʮઈରͬͯ͘Εʯ ʹ্֨͛͞ΕΔ͜ͱ͕ଟ͍Ͱ͢
ࠪखॱͱεέδϡʔϧ
جຊతʹ ίϯαϧʹ ͓ͤ͠·͠ΐ͏͆͆͆
ͱ͍͏ͷ
ίϯαϧ͕༧Ί ݱঢ়Λ֬ೝͯ͠ɺ ࠪఔͷௐ͓Αͼɺ ͲΜͳࠪʹͳΓͦ͏͔ͷ ௐΛࠪஂମͱࣄલʹ ͋Ε͜Εͯ͘͠ΕΔ ߹͕͋Γ·͢ɻ
طʹࣾʹਫ਼௨ͨ͠ਓ͕ ͍Δ߹ɺૣʑʹࠪґཔ Λ͔͚ͯ͋Γ·ͤΜ͕ɺ ͦΕͰγϯδίϯαϧʹ ґཔ͢Δ͜ͱΛ Φεεϝ͠·͢
ͳͥͳΒ
ࠪΛड͚ΔձࣾͷࣄΛ ͑ͯ͘ΕΔʢ͔͠Εͳ͍ʣ
༧Ίίϯαϧ͕ ٖࠪͨ͠༰Ͱ ຊ൪ௐͯ͘͠ΕΔ ʢ͔͠Εͳ͍ʣ
͖ࠪఴͬͯɺ ϑΥϩʔͯ͘͠ΕΔ ʢ͔͠Εͳ͍ʣ
ࠪһͱίϯαϧ ࣄલͷίωΫγϣϯ͕͋Δ ߹͕͋Γ·͔͢Βɺ ͜ΕΛ׆༻͢ΔΘ͚Ͱ͢ɻ
ͦͯ͠ɺ Ͳ͏͍ͬͯࠪͯ͘͠ͷ͔ ͱ͍͏ͱɺ
ཁ݅1.1͔Βॱʹ 400Ҏ্ʹٴͿશͯͷ߲Λ ͻͱͭͻͱͭࠪһ͕ղઆΛ ަ͑ͯɺॻྨͷ֬ೝΛͨ͠Γ ࣮ػͷ֬ೝΛͨ͠Γ ͍͖ͯ͠·͢ɻ
͜ͷࠪதɺ શͯͷ୲ऀʢΠϯϑϥͱ͔ ωοτϫʔΫͱ͔υΩϡϝϯ τ࡞ऀͱ͔ʣ͕ͦͷʹ ͍Δඞཁ͋Γ·ͤΜ
·ͨɺ ෆ໌ͳ෦ޙճ͠ʹ Ͱ͖·͢
ߋʹඞࡴٕ͑·͢
ʮର֎ʯ
͜Εɺ ʮ͜ͷཁ݅ɺ͜Ε͜Ε ͜͏͍͏ཧ༝͔ͩΒɺ ର֎Ͱ͢Ͷʯͱ ࠪһ͕அ͢Ε ྑ͍Θ͚Ͱ͢
͜͜Ͱࣄલͷίϯαϧ͕ ॏཁʹͳΓ·͢
ͱ͍͏ͷɺ ͜Ε͜Ε͜͏͍͏ཧ༝͔ͩΒɺ ͜ͷลΓର֎ʹͳΔͱ ࢥ͍·͢ɺͱ͍͏ͷΛࣄલʹ ͓͍ͬͯͯ͘ΕΔ ߹͕͋Γ·͢
͜Ε͕͋Δͱɺࠪͷޮ͕ άοͱߴ·Γ·͢͠ɺ ਖ਼֬ੑ͕૿͠·͢ɻ
࣮ඞࡴٕ ͏1ͭ͋Γ·͢
ʮସίϯτϩʔϧʯ
͜ΕԿ͔ͱ͍͏ͱɺ
ۀͷ߹Ͱ९क͕ݫ͍͠ɺ ͔ͩΒͦͷ··ʹ͍ͨ͠ͷͰɺ ͦͷ߲Λิ͏ܗͰ γεςϜਓһɺ ϧʔϧͷඋΛ͢Δ͜ͱͰ OKʹͯ͠Β͑·ͤΜ͔ʁ ͱ͍͏͜ͱͰ͢ɻ
͜Ε݁ߏ͑·͢ ͱ͍͏͔ ͔ͳΓ͍·͢
ࠪΛ௨͢͜ͱ͕ తͰແͯ͘ɺ ηΩϡϦςΟΛߴΊΔ͜ͱ͕ తͰ͢ΑͶ
ձࣾʹΑͬͯ ۀӡ༻߹্ Ͳ͏ʹͳΒͳ͍͜ͱͩͬͯ ͋ΔΘ͚Ͱ͢
ۀޮ͕ ஶ͘͠མͪͯ͠·͏ͱ͔
ۀͦͷͷʹӨڹ͕ Ͱͯ͠·͏ͱ͔
ͦ͜·Ͱͯ͠ ࠪΛଓ͚Δͷ ຊసͳײ͢͡ΔͷͰ
ଟ͘ͷࠪཁ݅ʹ͓͍ͯ ͜ͷ ʮସίϯτϩʔϧʯ͕ ద༻Մೳͱͳ͍ͬͯ·͢ ͜ΕΒΛ༗ޮ׆༻͠·͠ΐ͏
ࠪલʹ४උ͓ͯ͘͜͠ͱ
1͚ͭͩͰ͢
߲ࠪΛূ໌͢Δ४උ
͜ΕʹݶΓ·͢
՝ཧπʔϧͳͲΛ ར༻ͯ͠ɺཁ݅Λ՝ͱͯ͠ ୲ऀΛܾΊ·͠ΐ͏ɻ ୲ऀͱ͍͏ҙຯ߹͍Ͱ ݴ͑ඞཁͳͷɺ
PCI DSSγεςϜӡ༻୲ऀ
PCI DSSཧऀ
͜ͷ2໊࠷ͰඞཁͰ͢
৫తʹɺ ӡ༻୲ऀ͕ γεςϜมߋґཔΛग़ͯ͠ɺ ཧऀ͕ঝೝ͢Δͱ͍͏ ྲྀΕΛΈ·͢
ͦͯ͠ಋೖࡁΈͷ ηΩϡϦςΟΞϓϥΠΞϯεɺ ιϑτΣΞͳͲͳͲ
IPS/IDS, WAF, ΞϯνΟϧε, ϩάཧٴͼࢹ
PCI DSSͷͱ͋Δཁ݅Λ ΫϦΞ͢ΔͨΊʹ։ൃ͞Εͨ ༗ঈιϑτΣΞ͕ଟ͘ ଘࡏ͍ͯ͠·͕͢ɺ ͦͷଟ͘ߪೖ͢Δඞཁແ͘ OSSͷΈͰࠪΛ௨ͤ·͢
cloudpackͷ߹ɺ IPS/IDSΛOSSͰ ༻ҙग़དྷͳ͔ͬͨҝɺ τϨϯυϚΠΫϩࣾͷ Deep SecurityΛ ಋೖ͍ͯ͠·͢
·͊ͬͱ ͿͬͪΌ͚·͢ͱͰ͢Ͷ
cloudpackͰIPS/IDS͕ ଘࡏ͠ͳ͍ঢ়ଶͰ ࠪΛड͚ͯɺ વͦΕ͕ࢦఠ͞Εͯɺ ͦͷͰηοτΞοϓ͢Δͱ ͍͏ܦҢ͋ͬͨ͘Β͍Ͱ͢
ྑ͘ݴ͑ͦΕ͘Β͍ ॊೈͳࠪΛड͚Δ͜ͱ͕ ग़དྷ·͢
͜ΕҎ্ແ͍͘Β͍ ेͳ४උͱ ྟઓଶͰΉඞཁ ͋Γ·ͤΜ
߲ࠪͰ ͔Βͳ͍ͱ͜Ζ͕͋Εɺ ࠪதʹฉ͍ͯΈ·͠ΐ͏ɻ ͦΕͰྑ͍ͷͰ͢
ࠪதʹඞཁͳࣄ
શͯͷ୲ऀ͕ ࠪఔͷؒ ग़ࣾ͢ΔΑ͏ʹ͠·͠ΐ͏
ࠪఔنʹΑͬͯ 2ʙ3ͰऴΘΔ͜ͱ ͋Δ͔͠Ε·ͤΜ͕ɺ 2िؒͱ͔ݴΘΕΔՄೳੑ ͋Δ͔͠Ε·ͤΜ
ͲͪΒʹͯ͠ɺ ؔऀશһձࣾʹ ͍ΔΑ͏ʹ͍ͯͩ͘͠͞
શһ͕ࠪʹ ग़੮͠ଓ͚Δඞཁ ͋Γ·ͤΜ
ඞཁʹԠͯ͡ ότϯλον͠ͳ͕Βɺ ·ͨɺࢦఠ͞Ε߲ͨΛ मਖ਼͠ͳ͕ΒରԠ͠·͢
ࠪυΩϡϝϯτҎ֎ʹ ࣮ࡍͷػثΛݟʹདྷ·͢
࣮ػࠪͷࡍʹɺ ࣄલʹ४උ͍ͯͨ͠ ؔऀҎ֎ͷࣾһʹ ΠϯλϏϡʔ͞ΕΔ͜ͱ͕ ͋Γ·͢ɻ
ྫ͑PCI DSSͷཧղ Ͳ͏Ͱ͠ΐ͏͔ͩͱ͔
ΩϟϏωοτͷ伴 Ͳ͏ཧ͞Ε͍ͯΔͷͰ͔͢ ͱ͔
༧ఆ֎ͷࣄʹͳΔͷͰɺ ͪΐͬͱϏοΫϦͯ͠͠·͏ ͔͠Ε·ͤΜɻ ·͊ɺͦΜͳΜͳͷͰɺ ͋·Γؾʹͤͣී௨ʹ͑ͯ ͚Εྑ͍ͱࢥ͍·͢
ঢ়گ͕ͻͲ͚Εɺ ࢦఠ͕ೖͬͯमਖ਼͢Ε͍͍ ͚ͩͷͰ͔͢Βɻ ͦΕ͕ݪҼͰ μϝʔ͏͋ʔ͛ͳʔ͍ ͱͳΓ·ͤΜɻ
ࠪޙʹඞཁͳࣄ
ࠪఔΛશͯྃͯ͠ɺ ʮݕग़ࣄ߲͋Γ·ͤΜʯ ͱ͞ΕΕɺ͋ͱࠪһ͕ ࡞ΔࠪใࠂॻʢROCʣɺ ४ڌূ໌ॻʢAOCʣ͕ ૹΒΕͯ͘ΔͷΛ ͪ·͠ΐ͏
AOCʹࣾ͘͠ ͦΕ૬ԠͷਓؒͷαΠϯ͕ ඞཁͰɺ͜ΕΛฦૹ ͠ͳ͚ΕͳΓ·ͤΜ
ݕग़ࣄ߲͕͋Δ߹ɺ ઌ1ϲ݄Ҏʹͦͷ՝Λ ղܾ͢Δඞཁ͕͋Γ·͢
͕ɺ૬ͳཧ༝͕ແ͍ݶΓ ࠶࣮ࠪʹͳΓ·ͤΜ
جຊతʹ ΤϏσϯεͷఏग़Λ ϝʔϧͰߦ͑OKͰ͢
Γͷݕग़ࣄ߲ͷ ΤϏσϯε͕डཧ͞ΕΕɺ ͦͷλΠϛϯά͔Βઌํ͕ ROCͱAOCͷ࡞Λ ։࢝͠·͢
PCI DSSʹ४ڌͨ͠ͱ ൃදग़དྷΔλΠϛϯά
PRతʹؾʹͳΔͱ͜Ζ Ͱ͢ΑͶ
͜Εɺ ࠪһͱࣾͷαΠϯ͕ ೖͬͨॻྨ͕ἧͬͨ λΠϛϯά͕ɺ ൃදग़དྷΔλΠϛϯάʹ ͳΓ·͢ɻ
࠷ॏཁͳ͜ͱ ʮܧଓࠪΛड͚Δ͜ͱʯ
ͯ͞ɺΑ͏͘ PCI DSSऔಘ͠·ͨ͠ ͱԾఆͯ͠ ࣍ͷ͍ࠪͭʹͳΔ͔
1ޙͷಉ࣌͡ظ
େ͖ͳγεςϜมߋͳͲ͕ ͋ͬͨ߹
ࠪ࠷ຖඞཁͰ͢
ͲͪΒʹͯ͠ ʮಧ͚ग़ʯ͕ඞཁͰ͢
ͦͯ͠ɺ ܧଓ͔ࠪͩΒͱ͍ͬͯɺ طʹࠪࡁΈͷ߲Λ εΩοϓ͢Δ͜ͱ Ұ͋Γ·ͤΜ
·ͨ1͔Βશͯͷ߲Λ ࠪ͠·͢
ͦͯ͠PCI DSSج४ ͲΜͲΜόʔδϣϯΞοϓ ͍͖ͯ͠·͢ɻ ैͬͯɺ
લճࠪ࣌ʹܾΊͨӡ༻͕ɺ PDCAαΠΫϧͰճͬͯΔ͔ ධՁ͞Ε·͢
ܧଓࠪͷํ͕ ѹతʹେมͰ͢
ຖϩάϨϏϡʔ ͠·ͩ͢ͱ͔
4ظʹ1ճ ੬ऑੑςετ͠·ͩ͢ͱ͔
1ʹ1ճ৵ೖݕςετ ͠·ͩ͢ͱ͔
ӡ༻ग़དྷ͍ͯΔ͔ͷ ΤϏσϯε͕ٻΊΒΕ·͢
ܦݧ্
PCI DSSͷҡ࣋Ͱ ࠷େมͳͷ ӡ༻ͱܧଓࠪͰ͢
͖ͬΓݴ͍·͢
ͱΓ͋͑ͣऔΔ͚ͩͳΒ ୭ͰऔΕΔؾ͕͠·͢
1Ҏ্ܧଓ͍ͯ͠Δ͔͕ɺ ຊͷҙຯͰ PCI DSSΛ ӡ༻ग़དྷ͍ͯΔ͔͕ ΘΕ·͢
ͳͷͰγϯδతʹ
PCI DSSऔͬͨձࣾ Πίʔϧ ҆શͩͶ Ͱͳͯ͘
1Ҏ্ʢ1ճҎ্ͷߋ৽͕ʣ ग़དྷ͍ͯΔձ͔ࣾͲ͏͔Λ ݟΔΑ͏ʹ͍ͯ͠·͢
ͱ͍͏Θ͚Ͱ
͜Ε͔ΒPCI DSSΓ͍ͨ
ӡ༻ࠔͬͯΔ Ͳ͏ͨ͠Β͍͍͔Θ͔Βͳ͍
ͲΜͲΜใڞ༗͠·͠ΐ͏ʂ
֤ࣾ͞ΜҰؙͱͳͬͯ ITࣄۀͷηΩϡϦςΟϨϕϧΛ ߴΊ͍͚ͯΔͱ͍͍Ͱ͢Ͷ