PCI DSSとは?

PCI DSS (Payment Card Industry Data Security Standard)は、クレジット カード データを保存、処理、または送受信する組織のカード所有者のデータ セキュリティを強化するために作成された情報セキュリティ標準です。その主な目的は、カード所有者のデータを保存、処理、または送受信する場所の管理を強化することで、カード所有者の情報の脆弱性を低減し、クレジット カード詐欺を防止することです。カード所有者の環境データを保持する組織には、小売業者、あらゆる業界のあらゆる事業の小売支店、オンライン支払サービス、クレジット カードを発行する銀行、支払処理のためにオンライン クラウド サービスを提供するサービス プロバイダが含まれます。

PCI DSSへの準拠は、最小限の一連の要件を満たすことで達成されます。以下の表に示すように、PCI DSS 3.0には約300の要件があり、12のカテゴリに分類されています。

PCI DSSには、カード所有者データの保存、処理、送受信に関わるすべての組織が順守を義務付けられています。コンプライアンスを達成するために、組織はカード所有者の環境とやり取りを行うネットワークのすべての部分を監査する評価にパスしなければなりません。一部の分野では、PCI SSC (Security Standards Council)が、導入の必要がある技術や製品の種類や導入方法について、非常に詳しく規範を示しています。それ以外の分野では、準拠システムの実装のためのアプローチや構造についての規定は特にありません。

ネットワーク セグメンテーション

PCIに準拠した情報セキュリティを開発および実装するための手法の中でも、ネットワーク セグメンテーションは、PCIへの準拠のためのコストと複雑性の低減に大きな影響を与えるベストプラクティスとして出現しました。ネットワーク セグメンテーションでは、カード保有者のデータをネットワークの特定のサーバまたは領域に分離し、PCI DSSへの準拠の対象となるネットワーク範囲を絞り込みます。その結果得られる利点として、以下が著しく減少します。

• PCI DSSの評価コスト
• コンプライアンスの実装と維持のコスト
• セキュリティ ポリシーの作成および適用に必要な労力
• 組織にとってのリスク(カード所有者データの露出が最小化し、セグメントの管理が容易になるため)
• セキュリティ インシデントが発生した場合のフォレンジック コスト(トラフィックの特定と調査が簡素化されるため)

ネットワーク セグメンテーション のコストと複雑さが軽減することで、予想コストがわずかで、安全性が非常に高いネットワークがもたらされます。ネットワーク セグメンテーションを使用しない場合、ネットワーク全体がPCI監査の対象範囲内に入り、しかもリスクにさらされます。以下の図は、セグメント化/非セグメント化ネットワークを対比しています。

左側は、ネットワーク全体がPCI監査の対象となるフラット ネットワークです。右側では、カード所有者のデータは、正規ユーザーがデータにアクセス可能な唯一のグループとなる、セキュリティ ゾーンに分離されます。パロアルトネットワークスのエンタープライズ セキュリティ プラットフォームを使用することで、組織では、関連するすべての情報とトラフィックを含むセキュリティ ゾーンを作成でき、アプリケーション、ユーザー、コンテンツに適用するセキュリティ ポリシーを管理者がきめ細かく制御できます。認証済みのトラフィックのみが、各セキュリティ ゾーンの横断を明示的に許可されます。