カード会員データに対するアクセスを制限する方法はありますか?(PCI DSS要件7)

サイバーセキュリティに関するご質問にタレス eセキュリティがお答えします。

カード会員データに対するアクセスを制限する方法はありますか?(PCI DSS要件7)

PCI DSSは、その大部分がアクセス制御メカニズムについて規定しています。アクセス制御メカニズムは、カード会員データに必要な保護を実現するための、強力で包括的な機能を備えている必要があります。

PSS DSS要件7には、「データアクセスを制限する必要がある」と明確に記載されています。承認された担当者だけが重要なデータにアクセスできるようにし、ビジネスニーズと職責に基づいてアクセスを制限する適切なシステムとプロセスを設ける必要があります。また、アクセスが不要になった場合には、ただちにアクセス権限を削除することも求められています。

定義された役割と責任に従ってアクセスのニーズを特定して文書化し、データにアクセスする必要があるユーザーの数を最小限に抑えるようにします。

アクセスポリシーを管理する

PCI DSSでは、組織内の誰がシステムコンポーネントにアクセスできるか、そしてそのアクセスがカード会員データ環境のセキュリティにどのような影響を及ぼすのかという点について、慎重に検討することが求められています。このタスクは、オフィスやデータセンターが複数ある場合や、クラウドベースのサービスプロバイダーを使用してデータの一部をホストしている場合などは特に複雑になります。

アクセス制御ポリシーは、きめ細かく管理する必要があります。組織内のさまざまなユーザーロール(ユーザー、管理者など)を慎重に定義し、システムのどの部分のどのデータにアクセスできるのかを指定します。

実際には、実用的で効果的なアクセス制御ポリシーを作成するには、高度な管理機能が必要とされるため、十分な時間を費やして、ニーズを満たす最適なメカニズムを考案する必要があります。

「必要最小限」のアクセス権限を割り当てる

PCI DSSでは、すべてのユーザーアカウントに対して「必要最小限」のアクセス権限を付与することが求められています。また、アクセス権限を要求する際は、文書化して承認を得る必要があります。「必要最小限」とは、各ユーザーが職務を遂行するうえで必要なシステムやデータに対してのみ、アクセス権限を付与するというものです。たとえば管理者は、他のユーザーがカード会員データを表示する際のアクセスポリシーを定義することはできますが、自分自身で直接データを読み取ることはできません。

環境によっては、ネットワークレベル、ホストレベル、アプリケーションレベルで使用権限や管理権限を指定するために、多様なシステムタイプ、多様なアクセス権限レベルに対処することが求められます。たとえば、データベースに対するアクセスに関して、ユーザータイプに応じて異なるアクセス権限を付与する必要がある場合、このタスクは非常に複雑になる可能性があります。

最適な方法として、データに対するアクセス権限をデフォルトで無効にしたうえで、必要なアクセス権限を有効にすることをおすすめします。この方法により、アクセス権限付与に関するミスを簡単に防ぐことができます。アクセス権限を誤って付与すると、最悪の場合、データ漏洩につながるおそれがあります。

データアクセス権限を取り消す

組織内でのユーザーのロールが変わった場合は、その変更を文書化し、必要に応じてそのユーザーの権限を変更します。同様に、ユーザーが退職したときは、変更を文書化し、組織のポリシーと手順に従ってそのユーザーアカウントを無効にするか削除する必要があります。

一貫したプロセスを確立することで、強力な権限管理を実現することができます。また、アカウントアクティビティを検証するため、ユーザーアカウントに対して定期的にクエリを実行することをおすすめします。たとえば、スケジュール設定に基づいて四半期ごとにスクリプトを実行します。

注:この資料は、「 誰でもわかるPCIコンプライアンスとデータ保護、タレス eセキュリティリミテッドエディション」(Ian Hermon/Peter Spier著)から抜粋したものです。

関連記事