Skip to content ↓ | Skip to navigation ↓

News. Trends. Insights.

PCI DSSは、通常なら3年ごとにアップデートが行われます。しかし、今年の初めそのライフサイクルから外れて高い緊急性をもって発表されたのがPCI 3.1アップデートです。でもこれはデータセキュリティの世界ではそんなに珍しいことでしょうか?

セキュリティへの脅威は極めて躍動的で、常にアップデートやモニタリングが求められる昨今、PCIも同じように対応して当然ではないでしょうか? PCI 3.1は、昨年のセキュア・ソケット・レイヤー (SSL) とトランスポート・レイヤー・セキュリティ (TLS) プロトコルの一部実施にあたって発見された脆弱性へ直接対応したものになります。中でも特に、HeartbleedとPOODLEという二つの脆弱性が大きく取りざたされたことが、今回の変更へとつながりました。どちらも、SSL/TLS実施に影響し、データを危険にさらす可能性があります。

セキュリティが依然として課題

今回の変更要請は、2015年10月に実施される米国のEMV (Europay, Mastercard, Visa) 改正にも密接に関連しています。POSシステムのアップデートに伴って、同時にTLSの最新版を実装し始める企業が多くなることが予想されます。

SSLと比べて、TLSプロトコルはより強力な暗号アルゴリズムを用い、様々なポートで動作することができます。1996年に開発されたTLSは、SSLの後を引き継ぎ、サーバとクライアントの間に何の情報漏えいもないよう保護するものです。EMVが適切に導入された後、もし暗号がアップグレードされなければ、犯罪者は取引が発生した時点でデータを盗み取ることが可能となる恐れがあります。そのデータを使って偽のEMVカードを作ることはできなくても、実物のカードが必要ないEコマースを狙って犯罪を犯すことは可能になるのです。

覚えておかなければならないのは、TLSは送信中のデータを保護する1枚の層にすぎないということです。支払いデータはPOSメモリに保存され、スクレーパーによって盗み取られる可能性があります。

期限は現実的か?

PCI DSS 3.1は、4月に発表されると直ちに実施されました。安全性の低い暗号法 (SSL) は2016年6月までに削除して、新規展開されるものは全てTLSに置き換えることが必要になります。その移行期間は14カ月です。

リスク要因を考えると、かなり余裕のある期限です。セキュリティを最優先するというのが基本です。これまでにPCI 3.1へ移行した顧客の経験によれば、TLS導入は技術的にそれほど難しいことではなく、時間のかかる移行を効率よく行う方法はあるとのことです。

PCI 3.1への最適な移行方法

PCI導入プロジェクトに関しての当社の経験から以下のような点を考慮すると良いでしょう。

  • 規模を推定する。あなたの周囲に、どれくらいのSSLが導入されているか? Tripwire Enterprise、Tripwire IP360、Tripwire Configuration Managementなどのツールを使ってSSLを使う端末を調べることができます。
  • SSLをTLSに置き換える。他のソフトウェアやインフラへも影響を与える場合、これが大きな違いを生む可能性もあるので、調節が必要なこともあります。
  • Tripwireはサービス・デスク・システムと連携できるので、TLS構築においてプロセス管理を助けることができます。Tripwireはさらに、進捗状況を報告し、継続的な導入記録システムとしての役割も果たすことができます。
  • 移行に際して優先順位を決めると良いでしょう。どのように優先順位を決めるかは、システムがある場所、取引データの量などを考慮すると良いです。
  • まず初めに、より露出面の多い外部に面したシステムから始めると良いでしょう。次に、カードに直接触れる内部システム (現場支店、遠隔店舗システムなど)、そしてスコープ内のシステムと続けると良いでしょう。スコープ内のシステムの一部は外部業者など第三者のシステムにつながっており、業者側での変更や適合といった協力が必要となってきます。
  • 全体としては、技術的にそれほど難しい手順ではありませんが、時間はかかります。Tripwireによって、特定を短時間に行い、管理変更やサービスシステムを統合し、進捗状況をモニター/報告して効率化を図ることはできるでしょう。

PCI導入手順に関するさらに詳しい情報はこちら。あなたのPCI 3.1導入状況はいかがでしょうか?

元の記事はこちらからご覧いただけます。

 

Endpoint Detection and Response For Dummies