サイト内の現在位置を表示しています。

InfoCage SiteShell

PCI DSSへの準拠

PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard)とはJCB・American Express・Discover・MasterCard・VISAのクレジットカード会社5社が共同で策定した、クレジットカード業界のグローバルセキュリティ基準です。

PCI DSS遵守により、企業価値(信用、ブランド)の向上はもちろんのこと、様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します。

WAF導入は「要件6」に明記

PCI DSSには12の要件が定義されています。
要件6では、WAF導入が要求されています。

12の要件

項番 要件 備考
要件1 ネットワークセキュリティコントロールの導入と維持  
要件2 すべてのシステムコンポーネントにセキュアな設定を適用する  
要件3 保存されたアカウントデータの保護  
要件4 オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する  
要件5 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する  
要件6 安全なシステムおよびソフトウェアの開発と維持 WAF導入が必要
要件7 システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する  
要件8 ユーザの識別とシステムコンポーネントへのアクセスの認証  
要件9 カード会員データへの物理アクセスを制限する  
要件10 システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視する  
要件11 システムおよびネットワークのセキュリティを定期的にテストする  
要件12 組織の方針とプログラムによって情報セキュリティをサポートする  

PCI DSS V4.0 は、PCI DSSのホームページよりダウンロードできます。
https://www.pcisecuritystandards.org/pci_security/

WAF導入によってPCI DSSに準拠

PCI DSS V4.0 の要件6.4.2では、WAF導入の必要性を定義しています。

PCI DSSの認証を取得する条件
実装要件
6.4.2
  • 一般公開されているウェブ アプリケーションについては、ウェブ ベースの攻撃を継続的に検知・防止する自動化された技術的ソリューションを導入しており、少なくとも以下の条件を備えている。
    ・一般公開されているウェブアプリケーションの前にインストールされ、ウェブベースの攻撃を検知・防止するように設定されている。
    ・アクティブに実行され、該当する場合は最新の状態に更新されていること。
    ・監査ログを生成していること。
    ・ウェブ ベースの攻撃をブロックするか、アラートを生成して直ちに調査するように設定されている。