どーも、PCI DSS初心者の中山(順)です。 先日、社外の方(とあるQSA(認定審査機関)の中の方たち)とAWSのセキュリティ機能を勉強するクローズドな会を実施しました。 せっかくなので、その際の資料をこちらで共有したいと思います。 併せて、PCI DSSの概要についてもご紹介します。 これからPCI DSSの認証取得/準拠を考えている方、もしくは認証取得まではしないがそれに準じた対策を考えている方に読んで頂けると幸いです。 そもそもPCI DSSとは? PCI DSSとは、加盟店(店舗、ECサイトなど)やサービスプロバイダ(決済代行事業者など)において、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。 PCI DSSとは なぜ認証を取得するのか 昨今、様々な企業においてクレジットカード情報の漏洩事故が発生していることは皆さ
第8回 データ保護と暗号化はイコールではない? 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2010/1/27 要件として設定されている「保存されたカード会員データを保護すること」。この1文の意味をもう一度考えてみましょう(編集部) 先日、PCI DSSに派生するPA-DSS(ペイメントアプリケーションデータセキュリティ基準)に関連して、アメリカに出張する機会がありました。アメリカではカード会員データの漏えいをきっかけに企業が破たんすることも実際に起きており、依然、緊張感が高まっているとのことでした。それでもやはり、インシデントが発生してから、慌てて対策を行うという現状は変わらないそうです。 とはいえ、アメリカにおけるPCI DSS準拠率は日本に比べて高く、日本は数年遅れているといえるでしょう。よい意味でも悪い意味でも、この分野で先行して
第4回 Apacheセキュリティチェック、PCI DSSの場合 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/12/1 PCI DSSはペイメントカード業界だけではなく、セキュリティのチェックリストにも使える、というのがこの連載の趣旨でした。では、具体的にどのようにチェックを行っているのでしょうか。今回は身近な「Apache」を題材に、セキュリティ評価ベンダがなにをチェックしているのかを解説します(編集部) セキュリティ評価ベンダ(QSA)によるPCI DSSの訪問審査では、文書調査やインタビューのほかに、実際のOSやアプリケーションの設定を、画面上で目視確認することで、PCI DSSの要件に対応しているかどうかを調査します。今回は、QSAとして訪問審査を実施する際に確認するシステム上のポイントを、「QSAの視点」と称して、実際の
ITProの記事が契機となって、PCIDSS(PCIデータセキュリティ規準)およびパスワードに関する規定が話題となっている*1。 「パスワードは90日ごとの変更」が義務づけられる!? | 日経 xTECH(クロステック) それに対して,PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9 ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9「ユーザー・パスワードは少なくとも90日ごとに変更する」に関して疑問を持った。これはいわゆる「セキュリティの常識」という奴の一つではあるが、実際のところ、
製品によってはデフォルト設定(初期設定)で,管理者パスワードやアカウントが設定されていることがある。その情報は製品マニュアルやインターネットなど公開情報から取得できる。従って,悪用防止のため事前に変更しなければならない。 PCI DSSの要件2は,デフォルト設定の削除を求めている。また,その変更を行うまでは,セキュリティ侵害を受ける可能性があるので,製品をネットワークに接続することは禁じられている。 要件1ではファイアウオールの導入/設定方法が規定されていたが,それだけでは不十分である。多段防御の観点から,ネットワーク機器自体のセキュリティ対策も行う必要がある。機器ごとに初期状態からセキュリティを確立する作業は,「要塞化」あるいは「セキュリティ・ハードニング」と呼ばれている。 要件2.1では,デフォルト設定の変更の例として,SNMPコミュニティ文字列の変更が取り上げられている。 2.1 シ
割賦販売法の改正が議論されている。割賦販売法とは「割賦販売(代金を分割払いにして商品を販売する取引)等の制度の健全な発達を図るために必要な規制等を行うことにより、購入者等(消費者)の利益を保護するための法律」(経済産業省)。今国会で可決されれば,2009年上期にも施行される見通しだ。 法改正の主眼は,一人暮らしのお年寄りなどを狙った悪徳業者の不正行為を取り締まることである。一人ひとりへの融資総額が事実上制限されるかもしれないなど経営へのインパクトが大きく,信販会社などでは議論が巻き起こっている。 だが,今回の法改正は,IT業界にもインパクトを与えるかもしれない。改正案には,クレジットカード情報の漏えい防止に関する内容が盛り込まれている。クレジットカード決済をするEC(電子商取引)サイトやデータセンター,決済事業者のシステム構築・運用は,見直しを迫られるかもしれない。 割賦販売法の改正案は,
個人情報保護,内部統制,グリーンIT…。米国でブームになったことが2年くらい遅れて日本でブームになるというのはいつものことだが,もしかすると次のブームになるかもしれないのが,「PCIDSS(PCIデータセキュリティ規準)」である。 PCIDSSとは,有力なカード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準(関連記事)。情報システムからのカード情報の漏洩を防ぐためのものである。「カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること」「システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと」など12項目の要件で構成されており,各項目はさらに具体的な中項目,小項目に分けられている。 PCIDSSは,クレジットカード会社のためだけの基準ではなく,幅広い事業者が対象になる。PCIDSSを推進する立場にある
ネットワークを経由した遠隔地との通信を,暗号化などによって安全に実行する---。このためのミドルウエアの1つが,フィンランドSSH Communications Securityが開発した“SSH(Secure Shell)”である。その前身はUNIX系OSの遠隔コマンドであるrlogin/rsh/rcpのセキュア版として歴史があるが,その後に企業向けの汎用通信ミドルウエアになった。 現在では,ファイル転送プロトコルFTP(File Transfer Protocol)のセキュア版であるSFTPが旬となっており,国内でも外資系企業を中心にFTPをSFTPに切り替える動きが活発になってきている。この背景には,セキュリティに対する意識の高まりがある。SSHコミュニケーションズ・セキュリティの所河勝博氏に,ファイル転送を取り巻くセキュリティ需要の動向を聞いた。 SSHの顧客を通じて見えてきた,昨
NTTデータ・セキュリティ株式会社(東京都港区 代表取締役社長 服部武司)は、今月よりPCIデータセキュリティスタンダード(以下、PCIDSS※1)に完全準拠したことを認める認定証の発行を開始します。 PCIDSSの認定証は、「オンサイトレビュー※2」(訪問調査)を実施した組織やシステムが全て遵守できていることを、国際ペイメントカードブランドが設立した推進協議団体、PCI Security Standards Council LLC (PCISSC)の認定セキュリティ評価ベンダー(以下、QSA)が認めるものです。認定証は3年間有効で、PCIDSSを遵守する企業に認定ロゴの使用も認めます。企業は、該当組織・システムのPRを目的に、会社案内やホームページなどで認定ロゴを活用することが可能になります。 PCIDSS完全準拠の認定証とロゴの発行は、PCIDSSの求める高いセキュリティレベルを満たし
JCBブランドの約束 「おもてなしの心」 「きめ細やかな心づかい」を大切に、 あなたのかけがえのない想いに応えます
楽天は1月10日、インターネットショッピングモール「楽天市場」の決済プロセスが、クレジットカード業界における情報セキュリティ基準「PCIDSS」に完全準拠したと発表した。 PCIDSSは、クレジットカードのアカウント情報や取引情報を保護するため、クレジットカードの国際ブランドであるVISA、MasterCard、JCB、American Express、Discoverの5社が共通して採用する情報セキュリティ基準。 楽天では、PCIDSS準拠の認定を受けるにあたり、ビザ・インターナショナルの診断プログラム「アカウント情報セキュリティ(AIS)」に基づく手順により、外部認定機関であるBSIマネジメントシステム ジャパンの監査を受けた。その結果、同社から、楽天市場の決済プロセスがPCIDSSに完全準拠しているとの確認を得たという。 楽天が受けた監査内容は、AISの中で最も厳しい大型加盟店を対象
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
