ペイメントカード処理に関与するあらゆる企業にとって、2025年3月31日は更新されたPCI DSS(Payment Card Industry Data Security Standard)バージョン4.0(2024年4月1日初版発行)への準拠期限となる。
更新された基準は、より強力な暗号化、アクセス制御の改善、より堅牢な脆弱性管理といった強化されたセキュリティ対策に重点を置いている。脆弱性管理に関しては、管理すべきCVE(共通脆弱性識別子)の膨大なバックログによって、すでにCISOの首を絞める存在となっている。
PCI DSSの概要:重要な目的を果たすために
PCI DSSは2004年に初めて登場し、企業がセキュリティ管理の有効性を確立することでデータ保護を確実に達成することを目的としている。 サイバー犯罪者の戦術と標的が進化するにつれて、PCI基準もまた、2つの頭を持つ獣、つまり、複雑化する脅威の状況と継続的に拡大する攻撃対象領域とに対応するために拡張されてきた。
最新の更新では、組織・企業がPCIコンプライアンスを達成するために革新できる柔軟性を提供しながら、新たな脅威に対処することを目的としている。このような変更は、決済処理業者がセキュリティを強化し、自社、パートナー、顧客のリスクを軽減することを目的としているが、既に負担がかかっているセキュリティ担当にとって、このようなコンプライアンスの変更を遵守することは決して容易ではない。
セキュリティ担当にとっての主な課題
課題について理解するために、PCI DSS 4.0の主な変更点を見てみよう。r
1. カスタマイズアプローチ
各事業体はそ事業体の環境に適した管理策を使用してセキュリティ目標を達成することができる。結果ベースのコンプライアンスを重視し、柔軟性を提供するが、詳細なリスク評価と文書化が必要である。
2. 範囲拡大とリスクベース重視
事業体は、体系的なリスク評価の実施と、セキュリティ戦略についてより包括的な報告が求められる。要件の適用範囲が、現代の決済業界の動向に合わせて、クラウド環境やサービスプロバイダを含むように拡大された。
3. 認証管理の強化
更新されたPCI-DSS v4.0では、多要素認証(MFA)/二要素認証(2FA)の種類とそれらを使用する場所に関するあいまいさが解消されている。この変更により、この要件が、カード会員データ環境へのアクセスに使用される管理アカウントと非管理アカウントの両方に適用されることが明確にされている。
4. 継続的な監視とテスト
継続的なコンプライアンスと脅威の軽減を確保するために、セキュリティ管理策の継続的な監視とテストが必要である。
5. 技術要件と運用要件の更新
- ネットワークセキュリティ管理の強化(例、「ファイアウォール」をより広範な「ネットワークセキュリティ管理」に置き換える)。
- セキュリティで保護された設定およびベンダー提供のデフォルト設定の明確化。
- パッチ管理スケジュールの調整、重大な脆弱性に対する30日ルールの復活。
6. データ保護の強化
鍵付き暗号化ハッシュやその他の高度な方法によるプライマリアカウント番号(PAN)の保護に焦点を置く。
PCI DSS準拠:自動化とアプリケーション層の可視化が重要
これらの新しいPCI DSS 4.0要件は、老朽化したインフラを更新し、さまざまなコンポーネントに対応する新しいシステムやツールを実装しなければならないセキュリティ担当にとっては頭痛の種となる。 特に、脆弱性を軽減するためのセキュリティパッチを常に適用しながら、定期的な監視とテストを行う必要があると考えると、大変なことのように思えるかもしれない。しかし、Contrastならこれを継続的に行うことができる。それを可能にする数少ないソリューションの1つだ。
これは、攻撃の大部分が発生するアプリケーション層に特に当てはまる。(Verizonの年次データ漏洩/侵害調査報告書(DBIR)によると、2024年のサイバーセキュリティインシデントの上位3種類のうち2種類はWebアプリケーションが原因であり、その原因の第1位はWebアプリケーションの認証情報、第3位はアプリケーションの脆弱性の悪用だった。
残念なことに、アプリケーション層は既存のサイバーセキュリティツールでは組織の盲点となっている。EDR(エンドポイントにおける検知と対応)、CDR(クラウドにおける検知と対応)、NDR(ネットワークにおける検知と対応) はすべて、それぞれの領域を可視化する上で重要な機能を果たす。しかし、最近まで、アプリケーション層は冷遇されていた。
ADRとアプリケーションの脆弱性監視(AVM)により、アプリケーションの脆弱性管理の可視性が向上し、リアルタイムの保護が得られるため、セキュリティ担当は特定された脆弱性を適切にトリアージして対処できる。
ADRをアプリケーションの脆弱性監視(AVM)と組み合わせることで、アプリケーションのセキュリティを確保し、稼働中のアプリケーションの脆弱性を継続的に監視することができる。これにより、企業のコンプライアンスの取り組みが合理化されると同時に、セキュリティ担当が悪意のあるアクティビティの猛攻に対応するためのストレスや心配から解放される。
Contrast ADRでリスクをどう回避するのか
PCI DSS 4.0の各種要件を満たすためにADRツールで提供される特定の機能・特徴には、次のものがある。
1. 監視とテスト
ADRで、継続的な監視・予防的なセキュリティテストに関するPCI DSS要件に、次のように対応できる。
- リアルタイムのアプリケーション管理:監視メカニズムがアプリケーションに直接組み込まれ、ランタイムの動作、設定変更、異常なアクティビティ(APIの不正使用など)を継続的に監視する。
- 脅威の検知と対応:アプリケーション層のアクティビティが解析され、サプライチェーン攻撃などの内部と外部の両方の脅威が検知される。豊富なセキュリティ情報が含まれた実用的なアラートによって、セキュリティ担当は脅威を迅速に調査して軽減できる。
- コンプライアンスレポート:PCI DSSのログ記録およびテスト要件(カード会員データへのアクセスを追跡するための要件10など)を満たすために不可欠な、アプリケーションアクティビティに関する詳細なログとレポートを生成できる。Contrast ADRは、セキュリティ脆弱性の報告に関するPCI DSS 4.0の要件(6.3.1)を満たしている。
2. 脆弱性およびパッチの管理
ADRによって、パッチ管理プロセスが次のように強化される。
- リアルタイムで脆弱性を特定:悪用される可能性のある脆弱性(古いライブラリなど)がないかアプリケーションが継続的にスキャンされ、タイムーなリスクの検知ができる。
- 代替コントロール:Advanパッチが適用されるまでの間、自動的にリスクを軽減するための代替手段が提供される。安全策を強制したりすることで、露出期間を短縮できる。
- 修復の効率化:脆弱性とそのアプリケーション環境への影響に関する詳細な洞察を得ることができるので、PCI DSSのパッチ管理スケジュール(要件 6.3)に合わせて、リスクレベルに基づいたパッチ適用作業の優先順位を決定するのに役立つ。
PCI DSS 4.0の期限は刻々と過ぎている。脅威を回避するために、自動化とアプリケーション層の可視化を導入する時期が来ている。ADRは単なるツールではなく、セキュリティ担当がコンプライアンスを達成するために必要な手助けとなる。
Contrast ADRがコンプライアンスの取り組みにどのように役立つかについて、もっと詳しく知りたいなら、今すぐデモをリクエストしよう。
お問い合わせ
関連記事:
