AWS(Amazon Web Service)を利用しPCI DSS準拠に対して、どのように対処を実施するか、弊社の経験のもとお伝えするコンテンツとなります。

AWSは、最高の評価であるPCI DSS 3.2 レベル1 サービスプロバイダとして認証を受けており、PCI DSS準拠を満たすサービスパッケージを提供しています。

 

本稿では、要件1「カード会員データを保護するために、ファイアウォールをインストールして構成を維持する」について、詳しくお伝えします。

※ PCI DSSのバージョンは3.2.1。

 

• 1.1: 以下を含むファイアウォールとルーターの構成基準を確立し、実施する

  • 1.1.1: すべてのネットワーク接続および ファイアウォール/ルーター構成への変更を承認およびテストする正式なプロセス

  • 1.1.2: ワイヤレスネットワークなど、カード会員データ環境とその他のネッ トワーク間のすべての接続を示す最新 ネットワーク図

  • 1.1.3: システムとネットワーク内での カード会員データのフローを示す最新図

  • 1.1.4: 各インターネット接続、およびDMZ(demilitarized zone)と内部ネットワークゾーンとの間のファイアウォール要件

  • 1.1.5: ネットワークコンポーネントを管理するためのグループ、役割、責任に関する記述

  • 1.1.6: 安全でないと見なされているプロトコルに実装されているセキュリティ機能の文書化などを含む、使用が許可されているすべてのサービス、プロトコル、ポートの使用に対する業務上の正当な理由および承認の文書化

  • 1.1.7: ファイアウォールおよびルーターのルールセットは少なくとも 6 カ月ごとにレビューされる必要がある

• 1.2: 信頼できないネットワークとカード会員データ環境内のすべてのシステムコンポーネントの接続を制限する、ファイ アウォール構成を構築する

  • 1.2.1: 着信および発信トラフィックを、カード会員データ環境に必要なトラフィックにし、それ以外のすべてのトラフィックを特定的に拒否する

  • 1.2.2: ルーター構成ファイルをセキュリティ保護および同期化する

  • 1.2.3: すべてのワイヤレスネットワークとカード会員データ環境の間に境界 ファイアウォールをインストールし、ワイヤレス環境とカード会員データ環境間のトラフィックを業務上必要な場合に拒否または承認されたトラフィックのみを許可するようにファイアウォールを構成する

• 1.3: インターネットとカード会員データ環境内のすべてのシステムコンポーネン ト間の、直接的なパブリックアクセスを禁止する

  • 1.3.1: DMZ を実装し、承認された公開 サービス、プロトコル、ポートを提供 するシステムコンポーネントのみへの 着信トラフィックに制限する

  • 1.3.2: 着信インターネットトラフィック を DMZ 内の IP アドレスに制限する

  • 1.3.3: アンチスプーフィング対策を実施し、偽の送信元 IP アドレスを検出して、ネットワークに侵入されないようにブロックする。 (例えば、内部送信元アドレスをもつインターネットからのトラフィックをブロックするなど)

  • 1.3.4: カード会員データ環境からイン ターネットへの未承認の発信トラ フィックを禁止する

  • 1.3.5: ネットワーク内へ「確立された」接続のみを許可する

  • 1.3.6: DMZ やその他の信頼できないネッ トワークから隔離されている内部ネットワークゾーンで、カード会員データを保存するシステムコンポーネント (データベースなど)を配置する

  • 1.3.7: プライベートIPアドレスとルーティング情報を許可されていない第三者に開示しない

• 1.4: ネットワークの外側ではインター ネットに接続され(従業員が使用する ラップトップなど)、また CDE へのア クセスにも使用されるすべてのポータブ ルコンピューティングデバイス(会社お よび /または従業員所有を含む)に、 パーソナルファイアウォールソフトウェ アまたは同等の機能をインストールす る。ファイアウォール(または同等の) 構成には以下が含まれます

• 1.5: ファイアウォールの管理に関するセキュリティポリシーと操作手順が文書化および使用されており、影響を受ける関係者全員に知らされていることを、確実にする

 
1.1: 以下を含むファイアウォールとルーターの構成基準を確立し、実施する

1.1.1: すべてのネットワーク接続および ファイアウォール/ルーター構成への変更を承認およびテストする正式なプロセス

 

ネットワーク、ルータまたはファイアウォールの構成ミスを防ぐため、ファイアウォールおよびルータへのすべての接続と変更を承認およびテストするための実装プロセスを文書化している必要があります。

ネットワーク構成に誤りが発生した場合に備えて、ロールバック用の実装プロセスも用意した方が良いと思います。

AWSでは、以下の2つのサービスを利用すると良いです。

 

• Config

  • AWSの各リソースに対して、いつ、どのような操作が実行されたのかが記録/管理できるサービス。

  • Security Groupも管理対象となる。

 

• CloudFormation

  • 「あるべき状態」のインフラをコード化したファイルで定義しその通りのリソースをプロビジョニング可能。

  • プロビジョニング前にコードレビューを行うことで、リソースの変更に対する承認を求めることができる。

  • 本番環境と同じ構成のAWSリソースを検証環境としてプロビジョニングしテストを実施することが可能。

 

1.1.2: ワイヤレスネットワークなど、カード会員データ環境とその他のネットワーク間のすべての接続を示す最新ネットワーク図

ワイヤレスネットワークを含む、カード会員データへの全接続を含んでいる最新のネットワーク構成図が必要です。

 

AWSでもネットワーク構成図を自動で作成してくれるサービスはありませんので、独自で作成する必要があります。

ただ、AWSはアーキテクチャアイコンを提供しているので、それらを利用すると良いでしょう。

他にもクラウド型の描画ツールがありますので、それを利用するのも良いでしょう。

URL:https://aws.amazon.com/jp/architecture/icons/