facebook
PCIDSS資料請求キャンペーン

コンテンツメニュー

最新セミナー情報

関連企業ナビゲーション

求人情報ナビゲーション

書籍・レポート情報

ペイメントナビサービス紹介

クレジットカード・ポイントカード情報メールマガジン

クレジットカード・ポイントカード その他各種カードの最新情報をメールマガジンで一足先にお届けします。

購読はこちらからどうぞ

「PCI DSS Virtualization Guidelines」について解説(ネットワンシステムズ)

2011年12月6日8:00

「PCI DSS Virtualization Guidelines」について解説

ネットワンシステムズは、2011年12月5日、「PCI DSSに関する最新情報と情報セキュリティ最新動向」について説明会を行い、2011年6月にPCI SSCからリリースされた仮想化に関するガイドライン「PCI DSS Virtualization Guidelines」について、ネットワンシステムズ サービス事業グループ プロフェッショナルサービス本部 フェロー 山崎文明氏が解説した。

リリースの前から強い関心を集める

ガイドラインでは11の仮想化のリスクを紹介

PCI DSSの管理団体であるPCI SSCから、2011年6月に仮想化に関するガイドライン「PCI DSS Virtualization Guidelines」がリリースされた。これは、カード会員情報を取り扱う加盟店やサービスプロバイダはもちろん、一般の企業でも参考になるという。

PCI SSCでは、ガイドラインをSupplements(参考文書)と呼んでおり、これまでトークナイゼーション、EMV、Encryption(End-to-Endの暗号化)などのSupplementsがリリースされている。また、ワイヤレスに関してはブルートゥースも定義されるようになったため、新たにアップデートされた。

PCI DSS Virtualization Guidelinesは、リリースの前から強い関心を集めていたという。ガイドラインの策定は、トレンドマイクロ、シトリックスなどが名を連ねるVirtualization SIG(Special Interest Group)で検討してきた内容が取りまとめられている。

ガイドラインには、「仮想環境にも、PCI DSS要件は適用されている」「仮想化は、便利だが、新たなリスクがもたらされている」「仮想化環境は多岐にわたり、単一の方法ではうまくいかない」という3つの原則が挙げられている。

ガイドラインの構成としては「Introduction」からはじまり、「Virtualization Overview」で仮想化の考え方や技術、スコープの影響をまとめている。また、「Risk for Virtualized Environments」で仮想環境のリスク、「Recommendations」で推奨事項、特に混合モードやクラウドコンピューティングについて記載されている。さらに、「Conclusion」、「Acknowledgements」、細かい要件ごとに仮想化利用時の考慮事項を記載した「Appendix- Virtualization Considerations for PCI DSS」と続く。

図 ガイドラインに示された11の仮想化リスク

仮想化では、今まで存在したリスクが残ったうえで、特有のリスクが追加される。例えば、仮想マシンにセキュリティホールがある問題があるが、長期間放置された仮想マシンのポリシー違反が懸念される。同様に仮想マシンの不正な構成変更や設定のミス、仮想マシンの不正配置や配置ミスのようなセキュリティリスクがある。仮に、ハイパーバイザ、あるいは仮想マシンを操ることができる管理者権限が第三者に悪用された場合、一瞬にしてサーバをストップすることができてしまう。加えて、ネットワークのトラフィックの可視化の難しさ、仮想マシン間での不正アクセスやワームの伝搬、同一のハイパーバイザ内でのシステム間分離の困難さなどが挙げられる。

そのような点を考慮し、ガイドラインでは、仮想化に伴うリスクを11にまとめている(図)。

混合モードの使用は避け、ハイパーバイザのセキュリティ管理が必要

仮想化の運用ルールの作成と周知の徹底を

同ガイドラインの1つ目のポイントとしては、同じハイパーバイザ上に、カード情報を扱う仮想マシンとカード番号を扱わない仮想マシンが搭載される混合モード(Mixed Mode)を使用しないことだ。従来のPCI DSSの解釈通り、同じハイパーバイザ上にカード会員情報を扱わないシステムがあってもPCI DSSに準拠しなければならない。また、同一のハイパーバイザ上に、セキュリティレベルの異なる仮想マシンを原則として置かないことも指摘している。例えば、ログ生成する仮想マシンとログを取得・保存する仮想マシン、暗号化を行う仮想マシンと暗号鍵を管理する仮想マシンは求められるセキュリティレベルが異なるので別の仮想ホストに置かなければならない。また、カード番号を扱うセグメントは別セグメントとして仮想サーバにまとめることがポイントだ。

ネットワンシステムズ サービス事業グループ プロフェッショナルサービス本部 フェロー 山崎文明氏

PCI DSSは多層防御の考えで要求事項がまとめられているが、仮想化ではシステムセキュリティとネットワークセキュリティの境界があやふやになる。そのため、2つ目のポイントとして、ハイパーバイザのセキュリティ管理を挙げた。ハイパーバイザには非常に高い権限が集中するため、ハイパーバイザへのアクセスアカウントは慎重に制御する必要があるという。

1つの例として、役割ベースのアクセス制御(RBAC)と職務分離の実現が挙げられる。「サーバ管理者とネットワーク管理者」「セキュリティ管理機能」「ハイパーバイザ管理の仮想マシン自身のOS管理」の最低でも3つの職務分掌が必要であるとした。また、ハイパーバイザに関しては、2因子認証を使ったアクセス、パッチの即時適用、デフォルト設定の回避といったように、通常のサーバ管理よりも高いセキュリティ対策を行うことが重要だ。

3番目のポイントが仮想化の運用ルールの作成と周知である。例えば、休眠した仮想マシンが環境に残る、あるいは容易に仮想マシンがイメージとしてコピーされる可能性がある。そのため、バックアップ、稼働中の仮想マシン、非稼働のマシンについて、外部媒体を含め適切な管理を行う必要がある。仮想化は新しい技術であり、運用管理のベストプラクティスが確立していない面もある。実際、ネットワンシステムズがコンサルティングを行った企業でも構成管理と変更管理の手順が定まっていないケースが見受けられたそうだ。その意味でも運用者、管理者に対する追加の教育やトレーニングの実施が必要であるとしている。

山崎氏は、PCI SSC PO Japan連絡会の会長を務めるが、「PO Japan連絡会でも仮想化についての勉強会を実施しましたが、その際にPCI DSSの準拠が求められる参加企業からは、自分たちが今までとってきた考えが間違いではなかったことを確認できたというコメントがあった」というように、実務レベルで活用が可能なガイドラインであるとしている。

このエントリーをはてなブックマークに追加
はてなブックマーク - 「PCI DSS Virtualization Guidelines」について解説(ネットワンシステムズ)
Post to Google Buzz
Bookmark this on Yahoo Bookmark
Bookmark this on Livedoor Clip
Share on FriendFeed

ペイメントナビゲーター

ペイメントナビゲーター

クレジットカードのお得情報が満載!生活カードの魅力を凝縮した「ペイメントナビゲーター」

PCIDSSサービスの資料請求

PCIDSSのすべて

PCIDSSソリューションの一括資料請求はこちら >>PCIDSS資料請求はこちらからお願いします。

関連記事

[カードセキュリティ 最新情報カテゴリの最新記事]

[カードセキュリティPCI DSSカテゴリの最新記事]

[トップページ用注目ニュースカテゴリの最新記事]

  • シンクライアント決済ソリューションを開発(セイコーソリューションズ)

  • 国内最大級のクレジットカード情報データベース(アイティーナビ)

  • 決済情報コラムを好評連載中!「Smart Pitで手軽にコンビニ払い」(NTTインターネット)

  • 外貨決済サービス導入のメリットは?(スマートリンクネットワーク)

  • 「ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

  • 全国150社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

  • クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通ミッションクリティカルシステムズ)

  • 世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

  • スマートフォンやタブレットのスマート決済がより簡単に導入可能(日本ポステック)

  • 国内ICカードシェア№1(大日本印刷)

  • 安心と低コストを実現したイオングループのネット決済代行サービス(イオンクレジットサービス)

  • 国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

  • クレジットカード、WEBコンビニ、プリペイドカード、携帯キャリア決済など、豊富な決済手段をまとめて提供(ソフトバンク・ペイメント・サービス)

  • EC、リアル事業者向けトータル課金ソリューションを提供!様々なシーンでの導入実績を誇る決済処理センターを運営(ゼウス)

  • シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

  • チャージもできる、ポイントも貯められる!メンバーズカードシステムとメール配信システムを提供(レピカ)

  • ポイントサービスやデジタルサイネージを活用した次世代販促ソリューション「POCKETTA」(トリニティ)

  • カード・電子決済関連企業の製品・ソリューションを紹介する関連企業Navigation!10万円を切る価格で企業PRが可能に!

  • カード・電子決済、PCI DSS、ICカード、ポイントカード関連の記事制作、コンサルティングなど、豊富な実績(TIプランニング)

  • ●●メディアパートナー●●