|
PCI DSS要件
|
要件準拠のポイント
|
NRIセキュアが提供するサービス・製品 |
| 要件準拠のための対応例 |
区分 |
対応サービス・製品 |
|
1
|
ネットワークセキュリティコントロールの導入と維持 |
CDE(カード会員データ環境)を機密性の高い環境とみなし、それ以外の環境(インターネットや、企業間の専用接続、無線ネットワーク等)との厳格な通信制御による保護と、その維持管理が求められます。 |
カード会員データを取り扱うシステムを守るために、専門家のアドバイス受けながら、安全なNW設計や、セキュリティ対策の導入、運用体制の整備をしたい。
|
サービス |
Secure PROtecht
(構築/運用支援)
|
| 複雑化・肥大化した既存のNWを整理し、適切なセグメンテーションと通信制御を行いながら、PCI DSSの準拠範囲を極小化したい。 |
製品 |
マイクロセグメンテーションソリューション illumio
(マイクロセグメンテーション)
|
| 2 |
すべてのシステムコンポーネントに安全な設定を適用する |
CDE(カード会員データ環境)のシステムコンポーネント(NW機器やサーバ、端末、クラウドサービス上のリソース等)には、安全な設定を施し、堅牢化することが求められます。 |
クラウドサービス上におけるリソースの設定状況を業界標準のフレームワークを用いて評価し、問題点への対応を迅速に行いたい。 |
サービス |
クラウド設定評価サービス
(CSPM)
統合クラウドセキュリティマネージドサービス powered by Prisma Cloud from Palo Alto Networks
(CSPM)
|
| 3 |
保存されたアカウントデータの保護 |
保存されたカード会員データの保護(暗号化、鍵管理)が求められます。
|
クラウドやAPI等、あらゆるシステムで用いるデータの暗号化鍵を安全に一元管理したい。 |
製品 |
HashiCorp Vault
(鍵管理)
|
| データ暗号化に使用する鍵について、安全なライフサイクルに則ったシステムを専門家のアドバイス受けながら設計・構築・運用したい。 |
サービス |
暗号鍵の設計・運用に関する評価支援サービス
(鍵管理)
|
| 4 |
オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する |
インターネット経由でのカード会員データの伝送を行う際の暗号化が求められます。
|
取引先と、安全にカード会員データを授受するための環境を整備したい。 |
製品 |
クリプト便
(ファイル送信)
m-FILTER MailAdviser
(ファイル送信)
|
| 5 |
悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する |
CDE(カード会員データ環境)のシステムコンポーネントには、マルウェア対策が求められます。また組織が利用するメールの受信環境には、フィッシング対策の導入が求められます。
|
継続的な振る舞い分析が可能なマルウェア対策を導入したい。 |
サービス |
CrowdStrike(マネージドEDRサービス)
(EPP, EDR)
マネージドXDRサービス powered by Cortex XDR from Palo Alto Networks
(EPP, EDR)
|
| フィッシングメールの流入を抑え、すり抜けたメールには迅速に対処したい。 |
製品 |
Cofense
(メールセキュリティ)
proofpoint
(メールセキュリティ)
|
| 6 |
安全なシステムおよびソフトウェアの開発と維持 |
アプリケーションの開発現場には、脆弱性の作り込みを抑止するための開発手順の整備や、開発担当者へのトレーニング、潜在的な脆弱性や新たな脆弱性を特定・修正するためのプロセスの整備が求められます。
また、一般公開されているWebアプリケーションには、攻撃の継続的な検出と防御を自動的に行うためのソリューションの導入が求められます。
|
自組織や委託先向けに、設計・開発における基準を整備し、リリースするアプリケーションのセキュリティ水準を一定に保ちたい。 |
製品 |
セキュア設計・開発ガイドライン
(安全な開発プロセス)
|
| 設計やコードのレビューを専門家に依頼したい。 |
サービス |
セキュアアプリケーション設計レビュー
(安全な開発プロセス)
ソースコード診断
(SAST)
|
| 自組織に内製したアジャイル開発の現場に、セキュリティの専門家の知見を取り入れながら、安全な開発プロセスを整備したい。 |
サービス |
SEC Team Services
(安全な開発プロセス)
DevSecOps実行支援サービス
(安全な開発プロセス)
|
| 新たなアーキテクチャを採用することにより、巨大化し複雑化する開発現場におけるリスクを把握し、アプリケーションの安全なライフサイクルを確立するために必要な対応を整理したい。 |
サービス |
ソフトウェアサプライチェーンセキュリティ(SSCS)評価サービス
(安全な開発プロセス)
|
| 開発者担当者向けのトレーニングを開催したい。 |
サービス |
セキュアEggs
(セキュリティ教育)
|
| 一般公開しているアプリケーションに、WAFを導入し、運用体制を整備したい。 |
サービス |
WAF管理サービス
(WAF)
クラウド型WAF管理サービス for Cloudflare WAF
(WAF)
|
| 7 |
システムコンポーネントおよびカード会員データへのアクセスを、知る必要のある業務によって制限する |
CDE(カード会員データ環境)にアクセスできるアカウントは、承認手続きの下、職務分類と機能に基づき、最小限の権限を付与することが求められます。
|
多岐にわたるシステムコンポーネントに対し、一元的にアカウント管理や認証/認可を管理できる基盤を整備したい。 |
製品 |
SecureCube Access Check
(SaaS版:Cloud Auditor by Access Check)
(IDaaS)
Okta
(IDaaS)
|
| 8 |
ユーザの識別とシステムコンポーネント
へのアクセスの認証 |
CDE(カード会員データ環境)へアクセスするユーザ及び管理者を一意で識別できるようにすることや、CDEへのアクセスを保護するために強力な認証(MFA等)を確立し、管理することが求められます。
|
| 9 |
カード会員データへの物理アクセスを制限する |
カード会員データを取り扱う施設に対するセキュリティ対策をはじめ、カード会員データを含むメディアの安全な保管や、決済端末の保護等が求められます。
|
(物理レイヤでの対応) |
ー |
ー |
| 10 |
システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること |
カード会員データのセキュリティに影響を与えるシステムコンポーネントのアクセスログや操作ログの保管をはじめ、ログの分析環境の整備や、セキュリティイベントの日次レビュー等が求められます。
|
各種ログの監視態勢を整備したい。 |
サービス |
セキュリティログ監視サービス
(SOC)
SIEM監視サービス
(SOC)
|
各種ログの監視態勢を具備したい。
(監視態勢を自社で持ちたい) |
サービス |
組織内CSIRT総合支援
(CSIRT構築)
|
| 11 |
システムおよびネットワークのセキュリティを定期的にテストする |
内部/外部脆弱性診断やペネトレーションテスト、セグメンテーション評価、無線LANの管理、の実施が求められます。また、DMZと内部ネットワーク間における侵入防御や、重要なファイルへの不正な変更を検出するためのメカニズムの導入が求められます。
|
PCI DSS要件で求められる定期的なセキュリティテストを経験豊富なコンサルタントにまとめて依頼したい。 |
サービス |
PCI DSS準拠支援サービス
(内部スキャン, 外部(ASV), スキャン, ペネトレーションテスト, セグメンテーション診断, 無線LAN診断)
|
| 外部公開したシステムにIPS/IDSを導入し、運用体制を整備したい。 |
サービス |
Palo Alto PAシリーズ管理サービス
(侵入防御(IPS/IDS))
|
| 12 |
組織の方針とプログラムによって情報セキュリティをサポートする |
組織として情報セキュリティ方針を定め、情報資産を保護するために必要な管理を組織内のすべての関係者に認識させ、徹底することが求められます。
また、カード会員データを取り扱うシステムや業務への侵害に備え、インシデント対応計画の整備をはじめ、セキュリティインシデント対応態勢の整備、定期的な訓練の実施等が求められます。
|
委託先の管理プロセスを整備したい。 |
サービス |
サードパーティ・サイバーセキュリティ・デューデリジェンスサービス
(委託先管理)
|
| 本格的なインシデント対応訓練を実施したい。 |
サービス |
サイバー攻撃対応机上演習サービス
(インシデント対応)
|
| 現状の体制や業務プロセスを見直し、組織のインシデント対応力と回復力を向上させたい。 |
サービス |
サイバーレジリエンス能力向上サービス
(インシデント対応)
|
