Japan
サイト内の現在位置を表示しています。
InfoCage SiteShell
WAFをめぐる動向
PCI DSS対策ではWebサイトへのWAF導入を要件化
クレジットカード業界の国際セキュリティ基準ともいえる「PCI DSS( Payment Card Industry Data Security Standard )」では、Webアプリケーションに対する脅威に適切に対応し、カード会員情報を守るためのセキュリティ対策基準としてWAFの導入、もしくはソースコードレビューのどちらかの導入が要件として具体的に示されています。
インターネット上で決済サービスを提供する大手ショッピングサイトなどがPCI DSS完全準拠を果たすなど、PCI DSS対策が今後加速していくものと思われます。
WAF導入は「要件6」に明記
PCI DSSには、12の要件がありますが、その中にWAFに関する要件も明記されています。
この要件ではWebサイトのセキュリティを確保するために、アプリケーション改修をし続けるか、またはWAFの導入のどちらかを選択するとされています。
しかし現実には、アプリケーション改修を継続し続けることは、もはや困難である状況です。
12の要件
| 項番 | 要件 | 備考 |
|---|---|---|
| 要件1 | データを保護するためにファイアウォールの導入をし、最適な設定を維持すること | |
| 要件2 | システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと | |
| 要件3 | 保存されたデータを安全に保護すること | |
| 要件4 | 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること | |
| 要件5 | アンチウイルスソフトを利用し、定期的にソフトを更新すること | |
| 要件6 | 安全性の高いシステムとアプリケーションを開発し、保守すること | アプリケーション改修か、WAFによる対策が必要 |
| 要件7 | 業務目的別にデータアクセスを制限すること | |
| 要件8 | コンピュータにアクセスする際、利用者毎に識別IDを割り当てること | |
| 要件9 | カード会員情報にアクセスする際、物理的なアクセスを制限すること | |
| 要件10 | ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること | |
| 要件11 | セキュリティシステムおよび有事の対応手順を定期的にテストすること | |
| 要件12 | 情報セキュリティに関するポリシーを保持すること |
