<代替コントロールの事例②前篇> (PCI DSS Version1.2 徹底解説)

2010年9月27日8:45

<代替コントロールの事例②前篇>

=========================

●クレジットカードプロセッサA社は、契約するデータセンターにCiscoルーターが約2,000台あり、原稿のIOSにはSSHサーバが搭載されていない

●問題となる要件
「2.3すべてのコンソール以外の管理アクセスを暗号化するWeb ベースの管理やその他のコンソール以外の管理アクセスについては、SSH、VPN、またはSSL/TLSなどのテクノロジを使用する」
-どのような制約があるか?
IOSのアップグレードに1台あたり平均し、作業コストを含め約5~10万円のコストを要する。総額1~2億円からの投資を要するため、この投資額とリスクに見合っていない

=========================

事例②は、CiscoのルータOSであるIOS(Internetworking Operating System)が古いために、SSHサーバが搭載されていないという事象についての代替コントロールの適用である。

問題となる要件は、2.3の管理アクセスの暗号化だ。これまでは、管理系のアクセスは内部ネットワーク経路に限定していたため、暗号化していない通信(httpsまたはtelnet)で管理していたが、このままでは2.3に適合できない。

A社のオリジナルコントロールを妨げる制約は、IOSのバージョンアップにかかるコストだ。投資対効果が見合わないというビジネス上の制約である。単純にコストがかかるという理由は、原則的には認められないが、ルーターの管理系アクセスの暗号化のために、1~2億円の投資額はあまりにも負担が大きいということである。

page toppagetop