代替コントロールの考え方

PCI DSSの要件は、具体的な技術基準として掲げられているのでとても分かりやすい。半面、具体的過ぎてオリジナルの要件通りに対応するのが難しい場合もある。PCI DSSの「代替コントロール」は、そのような場合でも要件の背後にある目的を理解し、別の手段でリスクを十分に取り除ければよいという考え方に基づいた方策だ。

代替コントロールが認められるのは「正当な技術上の制約、または文書化されたビジネス上の制約のために、記載されているとおりに明示的に要件を満たすことができない場合」とされている。単にコストや手間がかかるといった理由で認められるわけではない。

代替コントロールは、次の条件を満たす必要がある。

●元の要件の目的および厳密さを満たす
●元の要件で防御の対象とされているリスクを代替コントロールで十分に相殺できるように、元の要件と同等のレベルの防御を提供する
●追加した管理策によって、そのほかの要件が求めるよりも高いレベルを実現する（ほかの要件が求めるレベルと同じでは代替コントロールにならない）
●元の要件に従わないことによって生じるリスクを考慮する

以下に、代替コントロールの例を挙げる。

●デフォルトの管理者アカウントを削除・無効化できないパッケージ
要件2.1の目的は、攻撃されやすいデフォルトアカウントを削除して、システムの脆弱性を軽減することである。しかし、デフォルトの管理者アカウントを削除・無効化できないアプリケーションパッケージも存在する。
そのリスクを取り除く追加の管理策として、ログインの実行をリアルタイムで監視し、その結果（成功か失敗か）を管理者に送信するという手法が考えられる。しかし、この管理策は、ほかの要件が要求しているログレビューであるため、代替コントロールとしては認められない可能性もある。
この場合、管理者アカウントの利用時には①事前に利用日時を申請する、②ログインのアラートを受信した時に、事前の申請と照合して正当なログインかどうかを判別する―という2 つを組み合わせることで、ほかの要件より高いレベルを実現できるので、代替コントロールとして認められると考えられる。

代替コントロールを活用する場合は、『PCI データセキュリティ基準　要件とセキュリティ評価手順』の付録Cにある「代替コントロールワークシート」を作成する。代替コントロールに関する制約や目的、特定されるリスク、代替コントロールの定義、有効性の検証手順、それらを維持するためのプロセスおよび管理方法を文書化する。

（共著：ｆｊコンサルティング代表取締役CEO　瀬田陽介
PCI Security Standard Council　アソシエイト・ダイレクター　日本　井原亮二）

※出所：書籍『改正割賦販売法でカード決済はこう変わる』（日経BP社、2018年4月発行）から著者および出版社の許諾を得て転載

    ■書籍の詳細はこちら（日経BP社）：改正割賦販売法でカード決済はこう変わる

 
 
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス