Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
PCI DSSを取る方法
Search
Sudachi-Kun
March 01, 2016
Technology
0
1.9k
PCI DSSを取る方法
cloudpackが実践した取得と更新から学ぶ
Sudachi-Kun
March 01, 2016
Tweet
Share
More Decks by Sudachi-Kun
See All by Sudachi-Kun
Slack-EMOJIをチーム間で共有する方法
sudachikawaii
0
130
SORACOMに乗せるぜマイナンバー
sudachikawaii
0
1.7k
外よりも中からの攻撃・ 事故がヤバイ、今やるべきクラウドセキュリティ対策
sudachikawaii
5
7.5k
Other Decks in Technology
See All in Technology
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
560
PHPerのための計算量入門/Complexity101 for PHPer
hanhan1978
5
210
.NET 9 のパフォーマンス改善
nenonaninu
0
1k
Google Cloud で始める Cloud Run 〜AWSとの比較と実例デモで解説〜
risatube
PRO
0
110
バクラクのドキュメント解析技術と実データにおける課題 / layerx-ccc-winter-2024
shimacos
2
1.1k
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
2
400
DevFest 2024 Incheon / Songdo - Compose UI 조합 심화
wisemuji
0
120
なぜCodeceptJSを選んだか
goataka
0
160
統計データで2024年の クラウド・インフラ動向を眺める
ysknsid25
2
850
How to be an AWS Community Builder | 君もAWS Community Builderになろう!〜2024 冬 CB募集直前対策編?!〜
coosuke
PRO
2
2.8k
普通のエンジニアがLaravelコアチームメンバーになるまで
avosalmon
0
110
DUSt3R, MASt3R, MASt3R-SfM にみる3D基盤モデル
spatial_ai_network
2
190
Featured
See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
53
5k
Gamification - CAS2011
davidbonilla
80
5.1k
GitHub's CSS Performance
jonrohan
1030
460k
Why Our Code Smells
bkeepers
PRO
335
57k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Facilitating Awesome Meetings
lara
50
6.1k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
GraphQLとの向き合い方2022年版
quramy
44
13k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Unsuck your backbone
ammeep
669
57k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Transcript
PCI DSSΛऔΔํ๏ cloudpack͕࣮ફͨ͠औಘͱߋ৽͔ΒֶͿ 2016/03/01
͡Ίʹ ँΒͳ͚ΕͳΒͳ͍͜ͱ͕ ͋Γ·͢
͜ͷεϥΠυ 227εϥΠυ ͋Γ·͢
ࣗݾհ
ᴡ౻ ጏਔ ΞΠϨοτגࣜձࣾ cloudpackࣄۀ෦ 20138݄ೖࣾ ʲϒϩάʳ ϩʔυόϥϯεͩͪ͘͢Μ http://blog.animereview.jp/
ϒϩά ׂͱ͍Ζ͍Ζॻ͍ͯ·ͯ͠
ݸਓϒϩά͚ͩͲ34ສPV ̍ฏۉ1500PV
ͦͷલHPCͬͯ·ͨ͠ ʢϋΠɾύϑΥʔϚϯεɾίϯϐϡʔςΟϯάʣ
GPU͍ͬͺ͍ͷͤͯ
Ϋϥελ ΜͩΓ ͢ΔΘ͚Ͱ͢
ͦͷલ2͘Β͍ χʔτͯ͠·ͨ͠ ʢ24/365ۈʣ ʢͣͬͱήʔϜͯͨ͠ʣ
ߋʹͦͷલ υεύϥͷ ๏ਓ෦ୂʹ͍·ͨ͠
2009ʹ GMO͞Μͷ αʔόʔ࡞ͬͨ࣌ͷ هࣄ ʢITmedia͞Μʣ
͋Δγϯδ ֮ΊΔͷͰ͢
࣌Ϋϥυ͡ΌͶʁ
ͦͯ͠ΞΠϨοτʹ ඈͼࠐΉ
·ͣ୲ͨ͠ͷ ϓϩδΣΫτϚωʔδϟʔ
ͦͯࣗࣾ͠Webߋ৽
͔Βͷ٬ઌৗற
ԿͰ
ݱࡏͷݞॻ͖
ใηΩϡϦςΟཧऀ
ݸਓใཧऀ
PCI DSSཧऀ
ܦྺͱηΩϡϦςΟͷ γϯΫϩ͕ઈత
͖͔͚ͬ ৽ͨͳࠪରԠͱ લͷୀ৬
CTOླ ʮγϯδ܅ηΩϡϦςΟͬͯʔʯ
͍͍ͬ͢Αʔ
1͔ΒݱͰୟ͔Εͯ ࠓʹࢸΓ·͢
ͦͯ͠ޛͬͨ
ٕज़ྗʢITϦςϥγʔʣͱ ηΩϡϦςΟϦςϥγʔ શͬͯ͘ൺྫ͠ͳ͍
ΞΠϨοτגࣜձࣾ cloudpackࣄۀ෦ ͝հ
ΞΠϨοτגࣜձࣾ ઃཱ ࢿຊۚ දऀ ैۀһ ࣄۀ༰ γεςϜ։ൃɾอक ϚωʔδυϗεςΟϯά 200310݄15
7,000ສԁ ᜊ౻ কฏ 100໊ʢ20159݄ݱࡏʣ
AWSΛ׆༻͠ͳ͕ΒϏδωεʹूதͰ͖Δ ίϯγΣϧδϡαʔϏε
4 ࣾ ࣾ ϓϩδΣΫ τ 500 800 5 5
ؒAWSͷΈͰ
AWSϓϨϛΞίϯα ϧςΟϯά ύʔτφʔ ΞδΞҬ5ࣾ ࠷্Ґύʔτφʔ 4࿈ଓ2ࣾͷΈ Premier > Advanced
> Standard > Registered શੈք2331ࣾத
AWSίϯϐςϯγʔೝఆ AWSͷӡ༻อक ϏοάσʔλͷऔΓѻ͍
AWSύʔτφʔΞϫʔυ ࠷ߴӫ༪ͷ APN Partner of the Year ड
ཁ͢Δʹ ಛʹAWSͷߏஙӡ༻อक͕ ಘҙͳձࣾͰ͢
αʔόʔͰ͢
ͱ͍͏͜ͱ
ηΩϡϦςΟཁ݅తʹ ݫ͍͓͠٬༷ͷڥΛ ӡ༻͢Δ͜ͱ͋ΔΘ͚Ͱ͢
ͦ͜Ͱ
20138݄ PCI DSS Ϩϕϧ1 औಘ ͦͷޙɺຖߋ৽
ͳͷͰɺ αʔόʔΠϯϑϥͳݟํͰ ͓͠͠·͢
ࠓ͍Βͬ͠Ό͍ͬͯΔ օ༷Ͱ͋Ε Α͘͝ଘ͔͡ͱࢥ͍·͕͢
PCI DSSʹ ʮϨϕϧʯ ͕͋Γ·͢ΑͶ
Ϩϕϧ1͔ΒϨϕϧ4·Ͱ
γϯδ࠷ॳɺ Ϩϕϧ͕ߴ͍ํ͕ Ғ͍ͷͩͱࢥ͍ͬͯ·ͨ͠ RPGతͳҙຯͰ ʢͻͷ͖ͷ΅͏ɺΑΓమͷʣ
ͱ͜Ζ͕͍Ζ͍ΖௐΔͱ
ͪΐͬͱಟͮ͘Α͏Ͱ ڪॖͰ͋Γ·͕͢
Ϩϕϧ2ʙ4ͬͯ
ҙຯ͋Δͷʁ
֎෦ࠪແͬͯ͠ ҙຯ͋Δͷʁ
͔ͤͬ͘ΔͳΒ Ϩϕϧ1Γ·ͤΜ͔
ࣗݾஅେࣄͩͱ ࢥ͍·͕͢ PCI DSSΛऔ͍ͬͨͬͯ͏ PRతͳɺձࣾͱͯ͠υϠإ Ͱ͖Δͱ͍͏ҙຯͰ
Γࢦ͢ PCI DSS ࠷৽όʔδϣϯͷ Ϩϕϧ1
ͱ͍͏͜ͱͰ
Ͳ͏͢ΕPCI DSSͷ ֎෦͕ࠪ ΫϦΞͰ͖Δͷ͔Λ ͓͍͑ͨ͠ͱࢥ͍·͢
PCI DSSऔಘͷ ϝϦοτɾσϝϦοτ
ηΩϡϦςΟʹ ʮҰఆͷج४ʯ ͕ඞཁͰ͢
ͦͷج४Λɺ ͔ͳΓ۩ମతʹ ౿ΈࠐΜͰ ఏڙͯ͘͠ΕΔͷ͕ PCI DSSͷޣຯͰ͢
Α͘ฉ͕͘
ΫϨδοτΧʔυͷ༷ͳ ใΛऔΓѻΘͳ͍͚Ͳɺ PCI DSSͬͯ औΔҙຯ͋Δͷʁ
ͱ͍͏Ͱ͢ɻ͜Εɺ
νͷηΩϡϦςΟɺ ΫϨδοτΧʔυͷ༷ͳ ηϯγςΟϒͳใ͑͞ औΓѻ͑Δ͚ͩͷ ମ੍͕͋Δ͜ͱͷ ূ໌ͳΜͰ͢Α
ͱ͍͏͜ͱʹͳΓ·͢ɻ ͳͷͰɺेͳޮՌ͕ ظग़དྷ·͢ɻ ʢݫີʹΠίʔϧͰ ͋Γ·ͤΜ͕ɺ ฏͨ͘ॻ͘ͱ͜Μͳײ͡Ͱ͢ʣ
PCI DSSΛऔಘ͢Δ σϝϦοτ͋Γ·͢ɻ ͦΕɺ
ͳΜͱͳ͕ࠪۙͮ͘͘ͱ ͦΘͦΘ͢Δʢ͔͠Εͳ͍ʣ
ࠪһͷ͓หͱ͔ ༻ҙͨ͠ํ͕͍͍ͷ͔ͳͱ͔ Ήʢผʹ͍Βͳ͍ʣ
ࠪલ͋ͨΓ͔Β ͳΜ͔ϐϦϐϦ࢝͠ΊΔ ʢͱ͍͏ਓ͍Δ͔ʣ
ͦ͏ɺσϝϦοτͳΜͧ ͍͟͝·ͤΜΑɻ ͍͍͜ͱͩΒ͚Ͱ͢ɻ
ձࣾ୲ऀ େมษڧʹͳΓ·͢͠ɺ ྫ֎Λআ͖·͕͢ɺ ࠪһͷํखऔΓऔΓ ڭ͍͑ͯͩ͘͞·͢ɻ
ίεύ࠷ߴ ʢݸਓͷײͰ͢ʣ
PCI DSSࠪͷಛతͳ
ࠪʹ͍Ζ͍Ζ͋Δͱ ࢥ͍·͕͢ PCI DSSࠪʹ ಛ͕͋Γ·͢
ࢦఠ͞ΕͨΒ ͦͷͰ߈ͤ௨ͤΔ
࣮ྫΛ͝հ͠·͢
ࠪһʮ͜ͷϨϏϡʔهɺ ݟ͚ͤͯ·͔͢ʁʯ
ʢͳ͍ͳ͍ʣ
୲ऀʮ͋ʔ͑ʔɺ 2͍࣌ؒͩ͘͞ ʢͭ͘Ζ͏ɻɻɻʣʯ
͜ΕͰ͍͚·͢ɻ
ࠪһʮ͋Βɺ͜͜ͷ NTPઃఆ͕ ؒҧ͑ͯ·͢Ͷ͐ʯ
ʢͦͦઃఆͯ͠ͳ͍ʣ
୲ऀʮ͋ɺ΄Μͱͩɻ ͡Ό͍͋·͠·͢Ͷʯ
͜ΕͰ͍͚·͢ɻ
ࠪһʮͰࠓ͜ΕͰ ऴྃʹ͠·͠ΐ͏ɺ ՝2݅Ͱͨ͠Ͷʯ
ʢνϟϯεʂʣ
୲ऀʮ2݅Ͱ͢Ͷɺ ࠓதʹϝʔϧͰ هૹΓ·͢ʯ ʢϝʔϧૹͬͯྃͰ͖Δʣ
͜ΕͰ͍͚ΔΜͰ͢ɻ
PCI DSSͷࠪͰɺ ʮແ͍ͷແ͍ɺ ग़དྷ͍ͯͳ͍ͷ ग़དྷ͍ͯͳ͍ɺ ͦΕํͷແ͍ࣄɺ ͡Ό͋͜Ε͔ΒͲ͏͢Δ͔ ܾΊͪΌ͓͏ɺ Ұॹʹߟ͑·͠ΐ͏ʯ ͱ͍͏ʹ͋Γ·͢ɻ
Ͱ͔͢Βɺ ͜Ε͔Βࠪʹ νϟϨϯδ͞ΕΔํɺ
Ͳ͏ͤνͷ ηΩϡϦςΟ͡Ό ࠪ௨Βͳ͍Αͳ͊
ͳΜͯࢥ͏͔͠Ε·ͤΜ
͍ɺ·ͣ௨Γ·ͤΜ
͕͔ͩ͠͠ʂ
ࠃࡍج४Ͱ͋ΔPCI DSSʹ ͔ͬΓ͍ͨҙࢥ͕͋Δͷ͔ Ͳ͏͔ʂඞཁͳͷͦ͜Ͱ͢ɻ
͔ͬͬͪΌ͑͏ ޙઌߟ͑ͣʹΔ͔͠ͳ͍ పఈతʹౖΒΕͨͱͯ͠ શ෦ͤࠪ௨Δʂ
͓͍ۚ͘Β͔͔Δͷ͔
͔݁Βݴ͏ͱ
͔͔ͦͦ͜͜Γ·͢ ͕
نͱൣғͰ ͔ͳΓมΘΓ·͢
ࠪҎ֎ʹɺ Πϯϑϥඋʹ͔͔Δ ίετ ͋Δ͔͠Ε·ͤΜ
શ͘ະ͔Βͷ νϟϨϯδͷ߹ɺ ଟ͘ίϯαϧΛ ೖΕ·͔͢Βɺ ͜ͷඅ༻͔͞Έ·͢ɻ
ेສͰऴΘΔέʔεɺ Մೳੑผͱͯ͠ɺ ΄ͱΜͲແ͍Ͱ͠ΐ͏ɻ
·ͣඦສ୯Ґͱ ߟ͑ͯΑ͍ͱࢥ͍·͢ɻ
ηΩϡϦςΟʹ ͓͕͔͔ۚΔͷͰ͢
Ͱ͕͢ɺ ໌֬ͳج४ͷࢿͱͯ͠ɺ අ༻ରޮՌ໌֬ͳ ࢿͱࢥ͍·͢
ࠪΛ͢Δ্Ͱ ༗རͳέʔεͱෆརͳέʔε
༏ྼΛ͚Δҝʹ ༗རෆརͱॻ͖·͕ͨ͠ɺ ࣮ࡍෆརͳέʔε ͋Γ·ͤΜɻ
ͱ͍͏ͷɺ ༗རͳέʔεΛݟΔ͜ͱͰ ཧղग़དྷ·͢
ΫϨδοτΧʔυ൪߸Λ औΓѻΘͳ͍߹
ձࣾͷதͰಛఆͷॴ ػࡐʹߜͬͯࠪΛ͢Δ߹
ωοτϫʔΫػث͕ اۀ༻Ͱ ౷Ұ͞Ε͍ͯΔ߹
͜Εͷٯύλʔϯ͕ɺ ෆརͳέʔεɺͱ͍͏ΑΓɺ ୯७ʹ֬ೝࣄ߲͕ଟͯ͘ େมͩͱ͍͏Ͱ͢ɻ
ΫϨδοτΧʔυ൪߸Λ શʹऔΓѻ͍ͬͯΔ߹
ࠪൣғΛશࣾʹ ద༻͍ͤͨ͞ͱ ߟ͍͑ͯΔ߹
ωοτϫʔΫػث͕ Ոఉ༻ͩͬͨ߹
ΫϨδοτΧʔυ൪߸Λ औΓѻ͏ͱݴ͏͜ͱɺ WebΞϓϦέʔγϣϯ σʔλϕʔεΛอ༗͍ͯ͠Δ ͱ͍͏͜ͱʹͳΓ·͔͢Βɺ ͜ΕΒͷঢ়ଶ੬ऑੑɺ ৵ೖςετͷ݁ՌͳͲΛ పఈతʹٻΊΒΕ·͢ɻ
ࠪൣғΛશࣾʹ͛ͨ߹ɺ ୯७ʹཧΞΫηεͰͷ ωοτϫʔΫΞΫηεܦ࿏͕ ૿͑·͔͢Βɺ ࠪେมͩͱ͍͏͜ͱͰ͢ɻ ಛʹແઢLANɺ ͜ΕNGͳΜͰ͢
ωοτϫʔΫػثɺ ػثͷϝʔΧʔػछ ԿͰ͍͍ͷͰ͕͢ɺ IPͱϙʔτ୯ҐͰΞΫηεͷ੍ޚ͕ Ͱ͖Δ͔Ͳ͏͔ɺϧʔϧηοτ͕ ॻ͚Δ͔Ͳ͏͔ɺίϯϑΟά͕ όοΫΞοϓͰ͖ͯΓ͠ Ͱ͖Δ͔Ͳ͏͔ͳͲ͕ΘΕ·͔͢Βɺ Ոఉ༻ͩͱ͠ΜͲ͍Մೳੑ͕͋Γ·͢ɻ
߲ࠪ12ͷཁ͔݅ΒͳΔ 400߲Ҏ্
·ͣͲΜͳ߲͕ ͋Δ͔ͱ͍͏ͱɺ ࣮WebͰ શͯެ։͞Ε͍ͯ·͢
ߋʹPCI DSSʹ όʔδϣϯ͕͋ͬͯ
ݱࡏͷόʔδϣϯ v3.2Ͱ͢
ߋʹɺ߲ࠪͷதʹɺ ʮઈରͬͯ͘Εʯ ͱ͍͏߲ͱ ʮͬͨํ͕ྑͦ͞͏ʯ ͱ͍͏߲ͷ 2ͭʹ͔Ε·͢
جຊతʹ ʮͬͨํ͕Αͦ͞͏ʯ ͳཁ݅ εΩοϓग़དྷ·͕͢ɺ όʔδϣϯ্͕͕ͬͨࡍʹͦ ͷ߲͕ ʮઈରͬͯ͘Εʯ ʹ্֨͛͞ΕΔ͜ͱ͕ଟ͍Ͱ͢
ࠪखॱͱεέδϡʔϧ
جຊతʹ ίϯαϧʹ ͓ͤ͠·͠ΐ͏͆͆͆
ͱ͍͏ͷ
ίϯαϧ͕༧Ί ݱঢ়Λ֬ೝͯ͠ɺ ࠪఔͷௐ͓Αͼɺ ͲΜͳࠪʹͳΓͦ͏͔ͷ ௐΛࠪஂମͱࣄલʹ ͋Ε͜Εͯ͘͠ΕΔ ߹͕͋Γ·͢ɻ
طʹࣾʹਫ਼௨ͨ͠ਓ͕ ͍Δ߹ɺૣʑʹࠪґཔ Λ͔͚ͯ͋Γ·ͤΜ͕ɺ ͦΕͰγϯδίϯαϧʹ ґཔ͢Δ͜ͱΛ Φεεϝ͠·͢
ͳͥͳΒ
ࠪΛड͚ΔձࣾͷࣄΛ ͑ͯ͘ΕΔʢ͔͠Εͳ͍ʣ
༧Ίίϯαϧ͕ ٖࠪͨ͠༰Ͱ ຊ൪ௐͯ͘͠ΕΔ ʢ͔͠Εͳ͍ʣ
͖ࠪఴͬͯɺ ϑΥϩʔͯ͘͠ΕΔ ʢ͔͠Εͳ͍ʣ
ࠪһͱίϯαϧ ࣄલͷίωΫγϣϯ͕͋Δ ߹͕͋Γ·͔͢Βɺ ͜ΕΛ׆༻͢ΔΘ͚Ͱ͢ɻ
ͦͯ͠ɺ Ͳ͏͍ͬͯࠪͯ͘͠ͷ͔ ͱ͍͏ͱɺ
ཁ݅1.1͔Βॱʹ 400Ҏ্ʹٴͿશͯͷ߲Λ ͻͱͭͻͱͭࠪһ͕ղઆΛ ަ͑ͯɺॻྨͷ֬ೝΛͨ͠Γ ࣮ػͷ֬ೝΛͨ͠Γ ͍͖ͯ͠·͢ɻ
͜ͷࠪதɺ શͯͷ୲ऀʢΠϯϑϥͱ͔ ωοτϫʔΫͱ͔υΩϡϝϯ τ࡞ऀͱ͔ʣ͕ͦͷʹ ͍Δඞཁ͋Γ·ͤΜ
·ͨɺ ෆ໌ͳ෦ޙճ͠ʹ Ͱ͖·͢
ߋʹඞࡴٕ͑·͢
ʮର֎ʯ
͜Εɺ ʮ͜ͷཁ݅ɺ͜Ε͜Ε ͜͏͍͏ཧ༝͔ͩΒɺ ର֎Ͱ͢Ͷʯͱ ࠪһ͕அ͢Ε ྑ͍Θ͚Ͱ͢
͜͜Ͱࣄલͷίϯαϧ͕ ॏཁʹͳΓ·͢
ͱ͍͏ͷɺ ͜Ε͜Ε͜͏͍͏ཧ༝͔ͩΒɺ ͜ͷลΓର֎ʹͳΔͱ ࢥ͍·͢ɺͱ͍͏ͷΛࣄલʹ ͓͍ͬͯͯ͘ΕΔ ߹͕͋Γ·͢
͜Ε͕͋Δͱɺࠪͷޮ͕ άοͱߴ·Γ·͢͠ɺ ਖ਼֬ੑ͕૿͠·͢ɻ
࣮ඞࡴٕ ͏1ͭ͋Γ·͢
ʮସίϯτϩʔϧʯ
͜ΕԿ͔ͱ͍͏ͱɺ
ۀͷ߹Ͱ९क͕ݫ͍͠ɺ ͔ͩΒͦͷ··ʹ͍ͨ͠ͷͰɺ ͦͷ߲Λิ͏ܗͰ γεςϜਓһɺ ϧʔϧͷඋΛ͢Δ͜ͱͰ OKʹͯ͠Β͑·ͤΜ͔ʁ ͱ͍͏͜ͱͰ͢ɻ
͜Ε݁ߏ͑·͢ ͱ͍͏͔ ͔ͳΓ͍·͢
ࠪΛ௨͢͜ͱ͕ తͰແͯ͘ɺ ηΩϡϦςΟΛߴΊΔ͜ͱ͕ తͰ͢ΑͶ
ձࣾʹΑͬͯ ۀӡ༻߹্ Ͳ͏ʹͳΒͳ͍͜ͱͩͬͯ ͋ΔΘ͚Ͱ͢
ۀޮ͕ ஶ͘͠མͪͯ͠·͏ͱ͔
ۀͦͷͷʹӨڹ͕ Ͱͯ͠·͏ͱ͔
ͦ͜·Ͱͯ͠ ࠪΛଓ͚Δͷ ຊసͳײ͢͡ΔͷͰ
ଟ͘ͷࠪཁ݅ʹ͓͍ͯ ͜ͷ ʮସίϯτϩʔϧʯ͕ ద༻Մೳͱͳ͍ͬͯ·͢ ͜ΕΒΛ༗ޮ׆༻͠·͠ΐ͏
ࠪલʹ४උ͓ͯ͘͜͠ͱ
1͚ͭͩͰ͢
߲ࠪΛূ໌͢Δ४උ
͜ΕʹݶΓ·͢
՝ཧπʔϧͳͲΛ ར༻ͯ͠ɺཁ݅Λ՝ͱͯ͠ ୲ऀΛܾΊ·͠ΐ͏ɻ ୲ऀͱ͍͏ҙຯ߹͍Ͱ ݴ͑ඞཁͳͷɺ
PCI DSSγεςϜӡ༻୲ऀ
PCI DSSཧऀ
͜ͷ2໊࠷ͰඞཁͰ͢
৫తʹɺ ӡ༻୲ऀ͕ γεςϜมߋґཔΛग़ͯ͠ɺ ཧऀ͕ঝೝ͢Δͱ͍͏ ྲྀΕΛΈ·͢
ͦͯ͠ಋೖࡁΈͷ ηΩϡϦςΟΞϓϥΠΞϯεɺ ιϑτΣΞͳͲͳͲ
IPS/IDS, WAF, ΞϯνΟϧε, ϩάཧٴͼࢹ
PCI DSSͷͱ͋Δཁ݅Λ ΫϦΞ͢ΔͨΊʹ։ൃ͞Εͨ ༗ঈιϑτΣΞ͕ଟ͘ ଘࡏ͍ͯ͠·͕͢ɺ ͦͷଟ͘ߪೖ͢Δඞཁແ͘ OSSͷΈͰࠪΛ௨ͤ·͢
cloudpackͷ߹ɺ IPS/IDSΛOSSͰ ༻ҙग़དྷͳ͔ͬͨҝɺ τϨϯυϚΠΫϩࣾͷ Deep SecurityΛ ಋೖ͍ͯ͠·͢
·͊ͬͱ ͿͬͪΌ͚·͢ͱͰ͢Ͷ
cloudpackͰIPS/IDS͕ ଘࡏ͠ͳ͍ঢ়ଶͰ ࠪΛड͚ͯɺ વͦΕ͕ࢦఠ͞Εͯɺ ͦͷͰηοτΞοϓ͢Δͱ ͍͏ܦҢ͋ͬͨ͘Β͍Ͱ͢
ྑ͘ݴ͑ͦΕ͘Β͍ ॊೈͳࠪΛड͚Δ͜ͱ͕ ग़དྷ·͢
͜ΕҎ্ແ͍͘Β͍ ेͳ४උͱ ྟઓଶͰΉඞཁ ͋Γ·ͤΜ
߲ࠪͰ ͔Βͳ͍ͱ͜Ζ͕͋Εɺ ࠪதʹฉ͍ͯΈ·͠ΐ͏ɻ ͦΕͰྑ͍ͷͰ͢
ࠪதʹඞཁͳࣄ
શͯͷ୲ऀ͕ ࠪఔͷؒ ग़ࣾ͢ΔΑ͏ʹ͠·͠ΐ͏
ࠪఔنʹΑͬͯ 2ʙ3ͰऴΘΔ͜ͱ ͋Δ͔͠Ε·ͤΜ͕ɺ 2िؒͱ͔ݴΘΕΔՄೳੑ ͋Δ͔͠Ε·ͤΜ
ͲͪΒʹͯ͠ɺ ؔऀશһձࣾʹ ͍ΔΑ͏ʹ͍ͯͩ͘͠͞
શһ͕ࠪʹ ग़੮͠ଓ͚Δඞཁ ͋Γ·ͤΜ
ඞཁʹԠͯ͡ ότϯλον͠ͳ͕Βɺ ·ͨɺࢦఠ͞Ε߲ͨΛ मਖ਼͠ͳ͕ΒରԠ͠·͢
ࠪυΩϡϝϯτҎ֎ʹ ࣮ࡍͷػثΛݟʹདྷ·͢
࣮ػࠪͷࡍʹɺ ࣄલʹ४උ͍ͯͨ͠ ؔऀҎ֎ͷࣾһʹ ΠϯλϏϡʔ͞ΕΔ͜ͱ͕ ͋Γ·͢ɻ
ྫ͑PCI DSSͷཧղ Ͳ͏Ͱ͠ΐ͏͔ͩͱ͔
ΩϟϏωοτͷ伴 Ͳ͏ཧ͞Ε͍ͯΔͷͰ͔͢ ͱ͔
༧ఆ֎ͷࣄʹͳΔͷͰɺ ͪΐͬͱϏοΫϦͯ͠͠·͏ ͔͠Ε·ͤΜɻ ·͊ɺͦΜͳΜͳͷͰɺ ͋·Γؾʹͤͣී௨ʹ͑ͯ ͚Εྑ͍ͱࢥ͍·͢
ঢ়گ͕ͻͲ͚Εɺ ࢦఠ͕ೖͬͯमਖ਼͢Ε͍͍ ͚ͩͷͰ͔͢Βɻ ͦΕ͕ݪҼͰ μϝʔ͏͋ʔ͛ͳʔ͍ ͱͳΓ·ͤΜɻ
ࠪޙʹඞཁͳࣄ
ࠪఔΛશͯྃͯ͠ɺ ʮݕग़ࣄ߲͋Γ·ͤΜʯ ͱ͞ΕΕɺ͋ͱࠪһ͕ ࡞ΔࠪใࠂॻʢROCʣɺ ४ڌূ໌ॻʢAOCʣ͕ ૹΒΕͯ͘ΔͷΛ ͪ·͠ΐ͏
AOCʹࣾ͘͠ ͦΕ૬ԠͷਓؒͷαΠϯ͕ ඞཁͰɺ͜ΕΛฦૹ ͠ͳ͚ΕͳΓ·ͤΜ
ݕग़ࣄ߲͕͋Δ߹ɺ ઌ1ϲ݄Ҏʹͦͷ՝Λ ղܾ͢Δඞཁ͕͋Γ·͢
͕ɺ૬ͳཧ༝͕ແ͍ݶΓ ࠶࣮ࠪʹͳΓ·ͤΜ
جຊతʹ ΤϏσϯεͷఏग़Λ ϝʔϧͰߦ͑OKͰ͢
Γͷݕग़ࣄ߲ͷ ΤϏσϯε͕डཧ͞ΕΕɺ ͦͷλΠϛϯά͔Βઌํ͕ ROCͱAOCͷ࡞Λ ։࢝͠·͢
PCI DSSʹ४ڌͨ͠ͱ ൃදग़དྷΔλΠϛϯά
PRతʹؾʹͳΔͱ͜Ζ Ͱ͢ΑͶ
͜Εɺ ࠪһͱࣾͷαΠϯ͕ ೖͬͨॻྨ͕ἧͬͨ λΠϛϯά͕ɺ ൃදग़དྷΔλΠϛϯάʹ ͳΓ·͢ɻ
࠷ॏཁͳ͜ͱ ʮܧଓࠪΛड͚Δ͜ͱʯ
ͯ͞ɺΑ͏͘ PCI DSSऔಘ͠·ͨ͠ ͱԾఆͯ͠ ࣍ͷ͍ࠪͭʹͳΔ͔
1ޙͷಉ࣌͡ظ
େ͖ͳγεςϜมߋͳͲ͕ ͋ͬͨ߹
ࠪ࠷ຖඞཁͰ͢
ͲͪΒʹͯ͠ ʮಧ͚ग़ʯ͕ඞཁͰ͢
ͦͯ͠ɺ ܧଓ͔ࠪͩΒͱ͍ͬͯɺ طʹࠪࡁΈͷ߲Λ εΩοϓ͢Δ͜ͱ Ұ͋Γ·ͤΜ
·ͨ1͔Βશͯͷ߲Λ ࠪ͠·͢
ͦͯ͠PCI DSSج४ ͲΜͲΜόʔδϣϯΞοϓ ͍͖ͯ͠·͢ɻ ैͬͯɺ
લճࠪ࣌ʹܾΊͨӡ༻͕ɺ PDCAαΠΫϧͰճͬͯΔ͔ ධՁ͞Ε·͢
ܧଓࠪͷํ͕ ѹతʹେมͰ͢
ຖϩάϨϏϡʔ ͠·ͩ͢ͱ͔
4ظʹ1ճ ੬ऑੑςετ͠·ͩ͢ͱ͔
1ʹ1ճ৵ೖݕςετ ͠·ͩ͢ͱ͔
ӡ༻ग़དྷ͍ͯΔ͔ͷ ΤϏσϯε͕ٻΊΒΕ·͢
ܦݧ্
PCI DSSͷҡ࣋Ͱ ࠷େมͳͷ ӡ༻ͱܧଓࠪͰ͢
͖ͬΓݴ͍·͢
ͱΓ͋͑ͣऔΔ͚ͩͳΒ ୭ͰऔΕΔؾ͕͠·͢
1Ҏ্ܧଓ͍ͯ͠Δ͔͕ɺ ຊͷҙຯͰ PCI DSSΛ ӡ༻ग़དྷ͍ͯΔ͔͕ ΘΕ·͢
ͳͷͰγϯδతʹ
PCI DSSऔͬͨձࣾ Πίʔϧ ҆શͩͶ Ͱͳͯ͘
1Ҏ্ʢ1ճҎ্ͷߋ৽͕ʣ ग़དྷ͍ͯΔձ͔ࣾͲ͏͔Λ ݟΔΑ͏ʹ͍ͯ͠·͢
ͱ͍͏Θ͚Ͱ
͜Ε͔ΒPCI DSSΓ͍ͨ
ӡ༻ࠔͬͯΔ Ͳ͏ͨ͠Β͍͍͔Θ͔Βͳ͍
ͲΜͲΜใڞ༗͠·͠ΐ͏ʂ
֤ࣾ͞ΜҰؙͱͳͬͯ ITࣄۀͷηΩϡϦςΟϨϕϧΛ ߴΊ͍͚ͯΔͱ͍͍Ͱ͢Ͷ