Aegis Wall

特権IDの個人認証/アクセス管理を低コストで実現

PCI DSS準拠 要件対応機能一覧

PCI DSS準拠をサポートする、Aegis Wallの機能についてご紹介します。

PCI DSSとは、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界の国際セキュリティ基準です。

PCI DSS準拠の要件は1から12まであります。そのうちAegis Wallでサポート可能な要件は、下表に記載した7, 8, 10 の一部となっています。

なお、PCI DSSを完全に準拠するには、その他ツールやセキュリティ手順が必要となります。

Aegis Wallの機能についての詳細は、各機能ページ製品資料をご確認いただくか、 フォームよりお問い合わせ下さい。

 

 

強力なアクセス制御手法の導入

要件 7:カード会員データへのアクセスを、業務上必要な範囲内に制限する

 

PCI DSS要件 対応機能
7.1.1 各役割のアクセスニーズを定義する
・各役割が職務上アクセスする必要のあるシステムコンポーネントとデータリソース
・リソースへのアクセスに必要な特権レベル

アクセス制御ポリシー
特定のユーザーに対して特定のシステムへのアクセスを許可、もしくは禁止する

権限制御ポリシー
各ユーザーの業務範囲に応じて、特定のコマンド操作の許可、もしくは禁止する

データマスキングオブジェクト
重要情報を閲覧する必要のないユーザーに対して、 カラム単位や文字列のパターンマッチングによるマスキングを行う。 権限制御ポリシーの条件として設定

ワークフロー制御ポリシー
対象のサーバーのアクセス権を制限し、ワークフローで申請と承認の手続きを踏まないとアクセスできないよう制御

7.1.2 特権IDに与えるアクセス権を職務の実行に必要な最小限の特権に制限する
7.1.3 個人の職種と職務に基づくアクセス権を割り当てる
7.1.4 適切な権限を持つ関係者による文書化された変更承認を必要とする

ワークフロー制御ポリシー
対象のサーバーのアクセス権を制限し、ワークフローで申請と承認の手続きを踏まないとアクセスできないよう制御

 

 

要件 8:システムコンポーネントへのアクセスを識別・認証する

 

PCI DSS要件 対応機能
8.1.1 システムコンポーネントまたはカード会員データへのアクセスを許可する前に、 すべてのユーザに一意のIDを割り当てる

追加認証
Aegis Wallで登録したIDとパスワードを用いて認証を行い、 監視対象のサーバーやデータベースで特権IDを共有していたとしても、個人を特定できる

8.1.6 6回以下の試行でユーザーIDをロックアウトすることによって、アクセス試行の繰り返しを制限する

パスワード設定
複雑性(文字数、文字の種類、過去のパスワードとの重複)、
有効期間、使用禁止とする単語、
アクセス試行の繰り返しを制限する連続失敗回数、
使用されていないIDをロックするまでの期間、
といったパスワードの設定条件を指定

8.1.7 最低30分間、または管理者がユーザIDを有効にするまでのロックアウト期間を設定する
8.2.3 パスワードに7文字以上の数字と英文字の両方を含む
8.2.4 パスワード/パスフレーズは少なくとも1回は90日ごとに変更する
8.2.5 これまでに使用した最後の4つのパスワード/パスフレーズと同じ新しいパスワード/パスフレーズを許可しない
8.3.1 CDEへの管理者のアクセス権を持つ担当者によるすべての非コンソールアクセスに多要素認証を組み込む 二段階認証(二要素認証)
ワンタイムパスワードを用いた認証機能。
クライアントでの追加認証時、もしくはサーバーやDBにアクセスする際に設定することが可能
8.3.2 事業体のネットワーク外からのすべてのリモートネットワークアクセスに多要素認証を組み込む
8.7 カード会員データを含むデータベースへのすべてのアクセスが以下のように制限されている
・データベースへのユーザアクセス、ユーザクエリ、ユーザアクションはすべて、プログラムによる方法によってのみ行われる
・データベースへの直接アクセスまたはクエリはDBAのみに制限される
・データベースアプリケーション用のIDを使用できるのはそのアプリケーションのみである
アラート
ポリシーに違反するアクセスや操作があった場合、管理者にアラートが送信される機能。
特定ユーザーのメールやポップアップメニューに送信することが可能

 

 

ネットワークの定期的な監視およびテスト

要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

 

PCI DSS要件 対応機能
10.2.1 カード会員データへの全ての個人アクセスをログに記録する ログ取得
リモートアクセスを含むDBへの全アクセス経路のログを網羅的に取得し、
システム毎に点在したり、形式の異なるログを共通の軸で閲覧できるように一元管理する
10.2.2 ルート権限または管理者権限を持つ個人によって行われたすべてのアクションを記録する
10.2.3 すべての監査証跡へのアクセスをログ記録する ログの保護
DB/OSへのアクセスログが正当であること、改ざんされていないことを証明するために、 ログを閲覧・編集できる権限を持つセキュリティ管理者の操作ログを記録
10.2.4 無効な論理アクセス試行をログ記録する ログ取得
リモートアクセスを含むDBへの全アクセス経路のログを網羅的に取得し、
システム毎に点在したり、形式の異なるログを共通の軸で閲覧できるように一元管理する
10.2.5 識別と認証メカニズムの使用および変更、ルートまたは管理者権限を持つアカウントの変更、追加、削除のすべて ログの保護
DB/OSへのアクセスログが正当であること、改ざんされていないことを証明するために、 ログを閲覧・編集できる権限を持つセキュリティ管理者の操作ログを記録
10.2.6 監査ログの初期化、停止、一時停止を記録する
10.3 イベントごとに、すべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録する
10.3.1 ユーザー識別
10.3.2 イベントの種類
10.3.3 日付と時刻
10.3.4 成功/失敗を示す情報
10.3.5 イベントの発生元
10.3.6 影響を受けるデータ、システムコンポーネント、またはリソースのIDまたは名前
ログ検索
あらゆるアクセスログが、専門家でなくても分かり易いよう、
いつ誰がどこで何をしたのかの共通の項目別に分けて解読・整理した上で保存。効率的に検索が可能
10.5 変更できないよう監査証跡をセキュリティで保護する ログの保護
DB/OSへのアクセスログが正当であること、改ざんされていないことを証明するために、 ログを閲覧・編集できる権限を持つセキュリティ管理者の操作ログを記録
PAGE
TOP