システムコンポーネントに対するアクセスを認証する方法はありますか?(PCI DSS要件8)

サイバーセキュリティに関するご質問にタレス eセキュリティがお答えします。

システムコンポーネントに対するアクセスを認証する方法はありますか?(PCI DSS要件8)

システムとデータを不正アクセスから保護するには、強力なセキュリティが不可欠です。PCI DSS要件8では、スタッフメンバーと第三者の両方を対象とするアクセス制御とパスワードポリシーにおいて、対処する必要のあるさまざまな要素が示されています。

個人の説明責任を確保する

システムへのアクセスを必要とするすべてのユーザー(内部と外部)がそれぞれ一意のIDを持つようにし、特定のタスクを実行したユーザーを後で特定できるようにすることが重要です(たとえば、否認防止への対応方法については、PCI DSS要件8.1を参照してください)。厳密に各ユーザーに対して一意のIDを適用すると、グループベースのIDや共有IDは使用できなくなります(PCI DSS要件8.1.5および8.5を参照)。

また、新しいユーザーが追加された場合や、既存のクレデンシャルが変更された場合、アクセスが不要になったユーザーアカウントの削除や無効化が行われた場合に、常に完全な説明責任を確保する必要があります。この説明責任には、社員が退職したときなど、利用停止ユーザーのアクセス権限をただちに取り消す措置なども含まれます(PCI DSS要件7.1.4および8.1.2を参照)。

アクセス管理を柔軟にする

PCI DSSに準拠したユーザーアクセスポリシーを策定することは、PCI DSSに準拠するための必要条件ではありますが、十分条件ではありません。以下のように、さまざまなタスクを詳細に規定するアクセス管理システムを併用して、ユーザーアクセスポリシーを補強する必要があります。

  • 第三者(サービスへのリモートアクセスを必要とするベンダーや、システムをサポートするベンダーなど)によるデータアクセスを制限します。第三者が必要とするときだけアクセス権限を付与し、第三者がシステムをどのように使用しているか監視します。24時間365日無制限のアクセス権限を付与しないでください。
  • 一定期間に複数回ログインを失敗したユーザーをロックアウトします(自動パスワード攻撃を制限することができます)。
  • 一定期間操作のなかったユーザーはシステムを使用できないようにし、続行するにはログインし直すよう求めます(なりすましのリスクを最小限に抑えることができます)。
  • カード会員データ環境のシステムコンポーネントに対して、コンソール外からの管理者アクセスやリモートアクセスを実行しようとするユーザーには、多要素認証を適用します(通常はトークンやスマートカードを使用)。このようにセキュリティアプローチを強化することで、攻撃者に対する防御を強化することができます。

認証を強化する

PCI DSSでは、あらゆるタイプのアクセスを対象に、強力な認証システムを設けることが求められています。また、認証システムの実装や管理についても詳細に示されています。たとえば、パスワードに関しては、PCI DSS要件8.2で次のように規定されています。

  • さまざまなシステムコンポーネント上で、パスワードやパスフレーズなどの認証クレデンシャルの伝送や保存を行う際は、強力な暗号化を使用して、必ずクレデンシャルを判読不能にします。これにより、内部ユーザーによる攻撃に対して最も脆弱なデータの価値が下がることになります。
  • パスワードに厳格な条件を設定します。基本的な要件として、パスワードはすべて、最長でも90日ごとに変更する必要があります。また、パスワードには7文字以上の英数字を使用する必要があります。以前のパスワードの再利用は禁止します。
  • 新規ユーザーごとに初期パスワードを提供し、そのユーザーが最初にシステムにアクセスしたときに初期パスワードを変更するよう求めます。
  • グループ共有パスワードを禁止します。

認証ポリシーを確立したら、それをすべてのユーザーに提示し、すべてのユーザーが要件を理解して準拠するように促します。

注:この資料は、「 誰でもわかるPCIコンプライアンスとデータ保護、タレス eセキュリティリミテッドエディション」(Ian Hermon/Peter Spier著)から抜粋したものです。

関連記事