白書 - IBM Power i における PCI DSS への準拠 序 近年、商取引を行う店は金銭的な不正情報アクセスの標的となっています。例えば、2005 年から 2008 年の間にクレジットカード取引処理システムから重要な財務情報を含むレコー ドが 2 億 3 千 4 百万件以上流出しました。(PCI DSS クイックガイド 4 頁) 殆どの商取引を行 う店において、クレジットカードの情報(番号、満了月、照合コード、個人情報)はオンライ ンになっていて、しかも多くのケースで簡単にアクセスでき、悪意ある目的に利用されか ねないのです。 弱点はいたるところにあります – POS 端末、Web アプリケーション、データ送信、PC、 等等。クレジットカード取引の中心となっている商業者はデータの盗難を防ぐためのセキ ュリティ対策を講じる必要があります。 クレジットカードに含まれる情報のタイプ (出典: PCI DSS クイックガイド 11 頁) CID (American Express) CAV2/CID/CVC2/CVV2 (Discover,JCB,Master Card, VISA) チップ PAN(カード 番号) IC 満了月 磁気ストライプ 情報の 情報の適正な 適正な管理: PCI DSS(Payment Card Industory Data Security Standard)は、クレ ジットカード(VISA, American Express, Master Card を含む)の取引に適用される共通の スタンダード( https://www.pcisecuritystandards.org )で、企業をクレジットカードの詐欺 から保護することを目的としています。カード所有者情報を保存・処理・送信するいかな る企業も PCI DSS に準拠することを求められます。この基準の一部にでも準拠しなかった 商業者は、PCI セキュリティ審議会から最高 50 万ドルにのぼる罰金を科せられる可能性が あります。つまるところ、商取引を行う企業はデータをどのように扱うかに責任を嫁せら れており、企業の規模にかかわらず定期的に基準への準拠状況を点検する必要があります。 クレジットカード情報 クレジットカード情報と 情報と Power I :IBM Power I (Power i/ AS/400)による PCI 準拠に関して は特有の挑戦があります。Power i 上には自社製の ERP アプリケーションやクレジットカ ード情報の受け入れや処理の Web アプリケーションといったクレジットカード情報処理ア プリケーションが存在しています。Power i は一般に強固なセキュリティを持っていると考 えられていますが、これは絶対的に正しいわけではありません。例えば公開されている「シ ステム出口点」はデータの漏洩を可能にするものなので、別途のセキュリティ対策を必要 とします。 PCI への準拠 は 6 つのカテゴリーに分かれた 12 の要求事項からなっており、セキュリティの ベスト・プラクティスを構成しています。以下は Power i のセキュリティに関連する要求事 項のまとめです。それぞれに要求事項に続いて、それを IBM Power i に実装するためのガ イドラインが述べられています。 PCI DSS 注意:この白書では、PCI の正式文書では扱われていてもセキュリティ・ソフトの選択には関 係ない多くの項目を検討から除いています。例えば、項目 9.3「クレジットカード情報が保 管されている部屋に入室するには認証を行うこと」といった項目については述べられてい ません。このため、各企業のセキュリティ対策を検討したり実装したりする際には PCI の 正式文書を注意深く検討することをお勧めします。 安全なネットワークの構築・維持 要件 1:ファイアウォールの導入 関連項目の要約 ・ (1.1) 無線ネットワークを含む、カード会員データへの全接続が識別されること ・ (1.2) 必要なプロトコルを除いて「信用できない」ホスト/ネットワークからの接続を拒 否すること。 ・ (1.3) インターネットからカード会員データが格納された環境への直接アクセスを禁止 すること。 ・ (1.4) 社内ネットワークに接続する全てのコンピュータにファイアウォールを導入する こと。 ガイドライン:ここでの目的は、犯罪者が支払いシステムのネットワークにアクセスしてカ ード会員データを盗み出すことを阻止することです。Power i へのリモートアクセスは、 FTP、リモートコマンド、SQL、ODBC その他のプロトコルで行うことができます。企業 のファイアウォールは、認可されてないユーザーが社内システムに侵入することを阻止す べく、Power i の 53 の通信プロトコル(FTP, ODBC, Telnet, SQL, etc.)をカバーしなければ なりません。おのおののアクセスポイントはログを残し、不正はすぐに報告されるように しなければなりません。 要件 2: デフォルトのパスワードとパラメータ 関連項目の要約 ・ (2.1) ベンダーから提供されたデフォルトや簡単に推測できるようなパスワードや設定 を使用しないこと。 ・ (2.3) Web ベースの管理ツールなどの非コンソール管理アクセスは全て暗号化する。 ガイドライン: 内部及び外部からの攻撃はしばしばデフォルトまたは簡単に推測できる管 理者パスワードから引き起こされます。特に、Power i では”Q”で始まるデフォルトのプロ ファイル(例:QSECOFR, QSYS)は注意深く監視しなければなりません。企業は独自に定め られたパスワード規則を強制できるような全面的なパスワード管理機能を持つツールを採 用しなければなりません。また、ツールは不正なパスワードのレポートを毎日出力できる ようになっているべきです。 カード会員データの保護 要件 3: 保存されたデータの保護 関連項目の要約 ・ (3.3) PAN(カード番号)全体を表示させないこと。 ・ (3.4) PAN(カード番号)は暗号化して保存すること。 ・ (3.5) 暗号鍵を適切に保護すること。 ガイドライン: ここの目標は単純です。即ち、保管されたカード情報を不正な使用から保護 すること。データの暗号化は、たとえ侵入者が情報の盗み出しに成功したとしても、その 使用を防ぐ効果的な手段です。当然のことながら、暗号鍵は十分強力で安全に管理されな ければなりません。さらに、理想的なセキュリティシステムでは、認可されてないユーザ ーが特定のデータベースレコードおよびフィールドにアクセスするのを制限することによ って、機密データの画面表示が管理されているべきです。 要件 4: 送信の暗号化 関連項目の要約 ・ (4.1) 公衆ネットワーク(インターネット、無線、GSM、GPRS、その他)を通してデー タを伝送する場合、暗号化と共に SSL/IPSEC などの強力なセキュリティプロトコルを 使用すること。 ガイドライン: 公衆回線または無線を通じて機密性の高いカード会員情報を Power i と他の プラットフォームの間で伝送する場合は暗号化が必要です。 脆弱性を管理するプログラムの管理 要件 5: アンチウィルス・ソフトウェア 関連項目の要約 ・ (5.1) 悪意あるソフトウェアによる影響を受けやすい全てのシステムには、アンチウィ ルス・ソフトウェアを導入する。 ・ (5.2) 全てのアンチウィルスメカニズムが最新で、正常に稼動しおり、監査ログが生成 できること。 ガイドライン: Power i のハードウェア及びソフトウェアのアーキテクチャーでは全ての保 管されるオブジェクト(プログラム及びデータ)は LIC(Licensed Internal Codes)の認証機能 により強制的に検査されます。そのため、現在知られている限り Power i を攻撃するウイル スはありません。しかしながら、Power i はホストとして IFS に PC ベースのウイルスを保 管し、別の PC に配信して、ファイルやネットワークドライブを感染させる可能性がありま す。企業は、Power i のサーバーから使用されたり保管されたりする Windows 互換のウイ ルスからの保護ができるアンチウィルス・ソフトウェアを採用しなければなりません。ア ンチウィルス・ツールは定期的にスキャンをスケジュールできるようになっているべきで す。 要件 6:安全性の高いシステムとアプリケーション 関連項目の要約 ・ (6.2) 悪意あるソフトウェアによる影響を受けやすい全てのシステムには、アンチウィ ルス・ソフトウェアを導入する。 ガイドライン: セキュリティメカニズムはユーザーの活動をリアルタイムに監査してセキ ュリティ事象に対して自動的に応答する(メッセージや警告を様々な宛先に送ったり、外部 プログラムを起動したりする等)ように定義されているべきです。同様に、ビジネス上重要 なデータの変更は常に監視されているべきであり、予め定義された限界値を超えた場合は 関係者に通知されるようになっているべきです。 強固なアクセス制御の導入 要件 7:アクセスの制限 関連項目の要約 ・ (7.1) アクセスの権限は業務上必要な要員に限定して与えなければならない。 ・ (7.2) アクセスは個別に許可されない限り、「すべてを拒否」に設定しなければならない。 ガイドライン: ユーザーの権限はそれぞれの職責に応じて厳密に定義されなければなりま せん。本番システムのライブラリにアクセスできる要員はできるだけ制限して、常に監視 できるようにしておかなければなりません。セキュリティシステムは日時や IP アドレスを 予め指定することによってアクセス権を(動的に)追加できるようになっているべきです。指 定より高いアクセス権が付与されたときは、システムは活動を記録し、監査ログを残し、 リアルタイムの警告を発するべきです。 要件 8: 個別の ID の割り当て 関連項目の要約 ・ (8.1) すべてのユーザーに対して一意な ID を割り当て、特定のユーザーの操作を追跡可 能にする。 ・ (8.2) 従業員、アドミニストレータに対して適切なユーザー認証とパスワード管理を行 う。 ・ (8.3) リモートアクセスに二要素認証を導入する。 ・ (8.4) 伝送と保管の処理において、パスワードを暗号化する。 ガイドライン: 機密性の高いカード会員情報の操作は認可されたユーザーのみによって行 われるようにするというのが、ここでの目標です。このためには、独自に定義されたパス ワードポリシー(例えばパスワードの有効期間)の強制を含む、全面的なパスワード管理の機 能を実装していることが必要です。さらに全てのユーザーアクティビティはシステムによ って監視されていなければなりません。(要件 10:「アクセスの監視」参照) 要件 9:物理アクセスの制限 関連項目の要約 ・ (9.1) カード会員データ環境内のシステムへの物理アクセスを制限する。 ガイドライン: 完全なネットワークセキュリティとサーバー管理を実現しようとする企業 は、端末が操作員不在時に自動的に保護されるように考慮すべきです。 定期的なネットワークの監視及びテスト アクセスの監視 関連項目の要約 ・ (10.2) 全てのシステムコンポーネントに対して、以下のイベントを追跡するための自動 監査証跡機能を導入する; カード会員データに対するアクセス、監査証跡に対するアク セス、アドミニストレータ権限を持つユーザーによるアクセス、無効なアクセス試行、 その他。 ・ (10.3) 全ての操作情報: ユーザーID、イベントのタイプ、日付と時刻、成功又は失敗の 表示、イベントの起点、影響を受けたデータ/リソース。 ・ (10.5) 監査証跡は改竄されないように保護する。 ・ (10.7) 監査証跡は少なくとも一年は保管する。 ガイドライン: 効果的に機密データを管理し保護するには、ユーザーの活動を追跡しログを 残すことが重要です。なにか問題が発生したとき、このログを分析することで原因と責任 者を特定に役立てます。オペレーティングシステムの活動を監視し、関連する情報を記録 し、様々な様式による詳細なレポートを印刷することのできるシステムを採用すべきです。 潜在的な脅威およびセキュリティ違反に対してはリアルタイムで対処できるようにすべき です。 要件 11: セキュリティシステムのテスト 関連項目の要約 ・ (11.2) 内部/外部のネットワーク脆弱性スキャンを定期的に、更にネットワークの変更 があるたびに実施する。 ・ (11.4) 侵入検知/防止システムを使用して、カード会員データ環境内のトラフィックを 監視する。 ・ (11.5) ファイル完全性監視ソフトウェアを導入して、重要なファイルに権限のない修正 があった場合に警告させる。 ガイドライン: ここでの目標は、頻繁にシステムコンポーネント/プロセス/ソフトウェアを テストすることにより、長期的におよび新しいソフトウェアの導入やシステム構成の変更 にあたって、セキュリティが保たれることを保証することにあります。ここではセキュリ ティシステムの簡潔な分析結果(セキュリティの強みと弱みを明らかにし、システムのあら ゆるセキュリティの側面をチェックし、業界および企業のポリシーに準拠しているかどう かを評価する)を提供するシステムが有効でしょう。 情報セキュリティポリシーの整備 要件 12:ポリシーの整備 関連項目の要約 ・ (12) すべての従業員にカード会員情報の機密性とそれを保護する責務を認識させる。 ガイドライン: 企業は全ての従業員にセキュリティの教育を施して強固なセキュリティ手 順を確立する必要が有ります。 要約 セキュリティ事故を最小化し顧客の情報を保護することを目指して、企業の Power i 環境に 最適のセキュリティ・ソリューションを選ぶことは重要かつ挑戦的な仕事です。現在のセキ ュリティの状態を精査するには最初にあらゆるセキュリティ情報を集めなければなりませ ん。ポリシー、変更管理、ネットワーク図、カード会員情報フロー、情報の保管場所、等々。 従って、強くお勧めするのは、最初にプロジェクトマネージャーを任命し、IT、セキュリ ティ、人事、法務などの部門からキーとなる人々に集まってもらって、セキュリティに関 する全ての側面が考慮されるようにすることです。
© Copyright 2026 Paperzz
