大切なクレジットカード情報を守る「PCI DSS」による情報保護：セキュリティ強化塾（3/4 ページ）

[キーマンズネット]

代表的な脅威に対応した対策

　例えば、近年急増するシステムの脆弱（ぜいじゃく）性を狙う攻撃への対策として、要件6が注目される。大項目として6.1〜6.7まで、その下にも小項目がある。

　6.5では、「開発者に安全なコーディング技法のトレーニングをする」「一般的なコーディングの脆弱性を避け、機密データをメモリで扱う方法を理解することを含め、安全なコーディングガイドラインに基づいてアプリケーションを開発する」という要件があり、細目としてインジェクション攻撃を避けるためのクエリのあり方、バッファオーバフロー攻撃に対応するための入力文字トランケーション、クロスサイトスクリプティング攻撃予防のためのパラメータ検証、コンテキスト依存エスケープの使用などといった、システムの設計に関連する具体的対策が種々盛り込まれる。

　他にも、ディレクトリトラバーサル、クロスサイトリクエストフォージェリ（CSRF）、セッションハイジャックなどへの対策、脆弱性をなくすための運用法についても触れられる。冒頭で触れたPOSレジのメモリからの情報窃取に関連した項目としては、「機密データをメモリで取り扱う方法」の規定がある。

　ちなみに6.6では「Webアプリケーションが既知の攻撃から保護されていることを確認する」という要件があり、次のようなレビュー手順が示されている（一部省略・要約）。

• アプリケーションのセキュリティ脆弱性を手動／自動で評価するツールまたは手法によって、少なくとも年1回および何らかの変更を加えた後にレビューする
  • （レビューは）アプリケーションのセキュリティを専門とする組織による
  • 評価に少なくとも要件6.5に記載される脆弱性を含める
  • 脆弱性が全て修正されている
  • 修正後、アプリケーションが再評価される
• システム構成設定を調べ、責任者をインタビューすることで、Webベースの攻撃を自動的に検出、防止する技術的な解決策（WAFなど）が備わっていることを確認する
  • Webアプリケーションの手前にWAFなどがインストールされている
  • アクティブに実行されており、最新状態である（該当する場合）
  • 監査ログを生成する
  • Webベースの攻撃をブロックするか、アラートを生成する

　また、近年の大規模情報漏えいが内部不正、特に業務委託会社の従業員による情報持ち出しが原因になっていることに対応するように、カード会員データにアクセスする全てのサービスプロバイダー（共有ホスティングプロバイダーを含む）についてもPCI DSS準拠が求められる。

　要件2に含まれるとともに、「付録 A: 共有ホスティングプロバイダ向けの PCI DSS 追加要件」としてアクセス権限やログ記録などについて詳細が定める。これも外部業者コントロールの手本がなかなか得られない中で貴重なものといえる。