迫る新規要件の必須化
PCI DSS v4.0で抑えたいWebとネットワークの項目
PCI DSS v4.0対応とAkamaiのセキュリティソリューション
2022年に公開されたPCI DSS v4.0は、現在ベストプラクティス扱いの多くの新規要件が2025年3月には必須扱いへ移行します。既に残り10ヶ月となりますが対応状況は万全でしょうか?
Akamaiでは特にWebセキュリティ、ネットワークセキュリティの領域でPCI DSS v4.0対応に役立つ4つのソリューションをご提供しております。その中には、 「Webスキミング対策」や「サードパーティソフトウェアコンポーネントのインベントリ管理」など、PCI DSS v4.0の新規要件に対応するソリューションも含まれています。
本稿では、それらのソリューションを簡潔にご紹介します。来年3月に向けて検証や監査を行う機会が増えるかと存じますが、これを機に抜け漏れがないかぜひご確認ください。
Akamaiの提供するソリューションとPCI DSS対応への貢献領域
セグメンテーション
Akamai Guardicore Segmentation=ソフトウェアエージェント型のセグメンテーションによってネットワークセグメントやアプリケーション毎の可視化とアクセス制御をシステム横断的に実現。
WebアプリとAPIの保護
API Security=API通信記録用データレイクに一定期間蓄積されたデータに基づき、AIがAPI特有の脆弱性の検出と、自動プロファイルされたAPIごとの特性から外れたアノーマリーなアクセスの監視を行う。シャドーAPI検出、API脆弱性発見とレポート、BOLA対策などを提供。
App & API Protector=Webベースの攻撃を継続的に検出するWAF、Bot管理、DDoS対策の包括的なWebアプリケーション攻撃対策。高度に自動化された操作を実現。
Webスキミング対策
- Client-side Protection and Compliance=ブラウザ上で実行されるスクリプトのインベントリ作成とふるまい検知を通してWebスキミングによる攻撃からクライアントを保護。
図:AkamaiのPCI DSS v4.0対応ポイント概要
各種要件とAkamaiのソリューションの対応
上図で記載したAkamaiのソリューションが PCI DSS v4.0のどの要件に当てはまるかを簡易的な表で記載します。
略称の対応は以下の通りです
AGS = Akamai Guardicore Segmentation
API = API Security または App & API Protector
CPC = Client-side Protection and Compliance
PCI DSS 4.0要件 |
AGS |
API |
CPC |
|---|---|---|---|
安全なネットワークとシステムの構築と維持 ー要件1:ネットワークセキュリティコントロールの導入と維持 ー要件2: すべてのシステムコンポーネントに セキュア な設定を適用する |
✅ |
||
アカウントデータの保護 ー要件 3: 保存されたアカウントデータの保護 ー要件 4: オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する |
|||
脆弱性管理プログラムの維持 ー要件 5: 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する ー要件 6: 安全なシステムおよびソフトウェアの開発と維持 |
✅ |
✅ |
✅ |
強固なアクセス制御の実施 ー要件 7: システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する ー要件 8: ユーザの識別とシステムコンポーネントへのアクセスの認証 ー要件 9: カード会員データへの物理アクセスを制限する |
✅ |
||
ネットワークの定期的な監視とテスト ー要件 10 : システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること ー要件 11 : システムおよびネットワークのセキュリティを定期的にテストする |
✅ |
✅ |
✅ |
情報セキュリティポリシーの維持 ー要件 12: 組織の方針とプログラムによって情報セキュリティをサポートする |
✅ |
v4.0新要件への対応
上述したソリューションの中でPCI DSS v4.0からの新規要件対応については、特に注目すべきポイントとして以下に記載します。
サードパーティコンポーネントのインベントリ維持と脆弱性対策
新要件 6.3.2 特注ソフトウェアおよびカスタムソフトウェア、並びに特注ソフトウェアおよびカスタムソフトウェアに組み込まれたサードパーティソフトウェアコンポーネントのインベントリを維持し、脆弱性およびパッチ管理を容易にする。 |
対応ソリューション:API Security
外注による開発やリポジトリからの引用などによって利用の広がるサードパーティソフトウェアコンポーネントは、挙動を完全に把握することが困難なためソフトウェア開発における脆弱性になりがちです。API Securityはデータレイクを利用したAPIの挙動記録と自動分析を常時提供します。これによって、シャドーAPIを発見してインベントリの維持に貢献します。また、脆弱性、認可の不備(BOLA)の検知は、脆弱性およびパッチ管理を容易にします。なお、API Securityは既存要件である6.2.4で言及されるビジネスロジックに対する攻撃を検知する際にも非常に有効なソリューションです。
Webベースの攻撃を継続的に検出・防止する
新要件 6.4.2 公開用Webアプリケーションに対して、Webベースの攻撃を継続的に検出・防止する自動化された技術的ソリューションを展開する。 |
対応ソリューション:App & API Protector
WAF、Bot管理、DDoS(レイヤー 7 DDoS 防御など)向けの統合ソリューションです。Webアプリケーションの脆弱性を迅速に特定し、Web資産やAPI アーキテクチャ全体の脅威を緩和します。自動セキュリティ更新機能を備え、トラフィックと攻撃を総合的に可視化します。
決済ページスクリプトの管理
新要件 6.4.3 消費者のブラウザに読み込まれ、実行されるすべての決済ページスクリプトを管理する。 |
対応ソリューション:Client-side Protection and Compliance
昨今問題視されているスクリプトの改ざんによる決済情報流出に対策します。クライアントブラウザ上でJavaScriptのふるまい分析を実行し、自社開発だけでなく広告やアクセス解析など機能を追加するためにサードパーティから読み込まれたスクリプトの侵害によるスキミングであっても検知、遮断できます。クライアントで実行されるJavaScriptにおける既知の脆弱性(CVE)の有無、危険なサイトとの通信 などからも利用者を保護することのできるソリューションです。
まとめ
ここまでお読みいただきありがとうございました。以上がAkamaiのPCI DSS v4.0における対応領域です。より深く知りたい方は、以下の各種リンク先のコンテンツや弊社へのお問い合わせをご利用下さい。
各種リンク
PCI DSSとは?
Akamai Guardicore Segmentation : PCI コンプライアンスの迅速化と継続的な検証の実現(英語)
PCI DSS v4 のスクリプトセキュリティ要件を迅速に満たす | Akamai
