Japan
サイト内の現在位置を表示しています。
InfoCage SiteShell
PCI DSSへの準拠
PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)とはJCB・American Express・Discover・MasterCard・VISAのクレジットカード会社5社が共同で策定した、クレジットカード業界のグローバルセキュリティ基準です。
PCI DSS遵守により、企業価値(信用、ブランド)の向上はもちろんのこと、様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します。
WAF導入は「要件6」に明記
PCI DSSには12の要件が定義されています。要件6には、必要に応じてアプリケーション改修を行う、またはWAF導入をすることが要求されています。
しかし、現実的にはアプリケーション改修の継続は困難であり、WAF導入による対応は有効と言えます。
12の要件
| 項番 | 要件 | 備考 |
|---|---|---|
| 要件1 | カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること | |
| 要件2 | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないこと | |
| 要件3 | 保存されたカード会員データを保護すること | |
| 要件4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること | |
| 要件5 | アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新すること | |
| 要件6 | 安全性の高いシステムとアプリケーションを開発し、保守すること | アプリケーション改修か、WAFによる対策が必要 |
| 要件7 | カード会員データへのアクセスを、業務上必要な範囲内に制限すること | |
| 要件8 | コンピュータにアクセスできる各ユーザに一意の ID を割り当てる | |
| 要件9 | カード会員データへの物理アクセスを制限する | |
| 要件10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する | |
| 要件11 | セキュリティシステムおよびプロセスを定期的にテストする | |
| 要件12 | 従業員および派遣社員向けの情報セキュリティポリシーを整備する |
PCI DSSのホームページ(英語サイト)よりダウンロードできます。
https://www.pcisecuritystandards.org/pci_security/
WAF導入によってPCI DSSに準拠
PCI DSS要件6.6では、WAF導入の必要性を定義しています。
| PCI DSSの認証を取得する条件 | |
|---|---|
| 項 | 実装要件 |
| 6.6 | 6.6 一般公開されているWebアプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法によって、既知の攻撃から保護されていることを確実にする。
|