ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソフトウェア
  3. InfoCage
  4. InfoCage SiteShell
  5. WAFとは
  6. WAFをめぐる動向
ここから本文です。

InfoCage SiteShell

WAFをめぐる動向

PCI DSS対策ではWebサイトへのWAF導入を要件化

クレジットカード業界の国際セキュリティ基準ともいえる「PCI DSS( Payment Card Industry Data Security Standard )」では、Webアプリケーションに対する脅威に適切に対応し、カード会員情報を守るためのセキュリティ対策基準としてWAFの導入、もしくはソースコードレビューのどちらかの導入が要件として具体的に示されています。

インターネット上で決済サービスを提供する大手ショッピングサイトなどがPCI DSS完全準拠を果たすなど、PCI DSS対策が今後加速していくものと思われます。

WAF導入は「要件6」に明記

PCI DSSには、12の要件がありますが、その中にWAFに関する要件も明記されています。
この要件ではWebサイトのセキュリティを確保するために、アプリケーション改修をし続けるか、またはWAFの導入のどちらかを選択するとされています。
しかし現実には、アプリケーション改修を継続し続けることは、もはや困難である状況です。

12の要件

項番 要件 備考
要件1 データを保護するためにファイアウォールの導入をし、最適な設定を維持すること  
要件2 システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと  
要件3 保存されたデータを安全に保護すること  
要件4 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること  
要件5 アンチウイルスソフトを利用し、定期的にソフトを更新すること  
要件6 安全性の高いシステムとアプリケーションを開発し、保守すること アプリケーション改修か、WAFによる対策が必要
要件7 業務目的別にデータアクセスを制限すること  
要件8 コンピュータにアクセスする際、利用者毎に識別IDを割り当てること  
要件9 カード会員情報にアクセスする際、物理的なアクセスを制限すること  
要件10 ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること  
要件11 セキュリティシステムおよび有事の対応手順を定期的にテストすること  
要件12 情報セキュリティに関するポリシーを保持すること  

ページの先頭へ戻る