AWS環境でPCI DSSへ対応するには？おさえておくべき基本とポイント

クラウド環境を利用してシステム構築したいと考えた際、選択肢に挙がるのがAWSです。
そこでAWSについて詳しく知りたい方のため、特徴を解説します。また、AWSの利用を検討した際に同時に確認しておきたいPCI DSSとは何か、どのように対応すれば良いのかも紹介するので、ぜひ参考にしてみてください。
この記事を読むことでAWSの特徴やPCI DSSの概要、セキュリティ対策のポイントなど、参考にしていただければ幸いです。

 

【基礎知識】AWSの特徴

AWSはAmazonが提供しているクラウドコンピューティングサービスです。「Amazon Web Services」の頭文字をとってAWSと呼ばれています。同サービスはAmazonの主力事業のひとつです。AWSを用いることにより、コンピューティング・ストレージ・AIなど、幅広いITリソースをオンデマンドで利用できます。2023年9月時点で公式サイトに記載されているサービスは200種類以上です。必要なときに、必要な分だけ、優れたITリソースを調達できる点が魅力です。

 

AWS環境におけるユーザとAWSの責任分界点

AWSはパブリッククラウドのひとつです。パブリッククラウドは、事業者が構築したクラウドコンピューティング環境を他のユーザと共同利用するサービスといえるでしょう。パブリッククラウドを利用するうえで注意したいのがセキュリティです。AWSは「AWS責任共有モデル」で、各階層におけるセキュリティの責任（ユーザまたはAWS）を示しています。具体的には以下の通りです。[1]

 

ユーザ：クラウド内のセキュリティに対する責任	ユーザのデータ
	プラットフォーム、アプリケーション、IDとアクセス管理
	オペレーティングシステム、ネットワーク、ファイアウォール構成
	クライアント側のデータ暗号化とデータ整合性認証		サーバ側の暗号化（ファイルシステムやデータ）		ネットワークトラフィック保護（暗号化、整合性、アイデンティティ）
AWS：クラウドのセキュリティに対する責任	ソフトウェア
	コンピュート	ストレージ		データベース		ネットワーキング
	ハードウェア/AWSグローバルインフラストラクチャー
	リージョン		アベイラビリティゾーン		エッジロケーション

 
ユーザはAWS内のセキュリティに対する責任、AWSはAWSのセキュリティ（全サービスを実行するインフラストラクチャの保護）に対する責任を負います。

 

PCI DSSとは？

PCI DSSは「Payment Card Industry Data Security Standard」の略語です。VISA・JCBなど、国際カードブランド5社が設立したSCI SSCが管理・運用しています。カード情報セキュリティに関連する国内31社が設立した日本カード情報セキュリティ協議会によるPCI DSSの定義は次の通りです。
 

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。

引用：日本カード情報セキュリティ協会「PCI DSSとは」
https://www.jcdsc.org/pci_dss.php

 
PCI DSSは、インターネットの普及とともに増加したクレジットカード被害などに対応するため、世界基準のセキュリティ対策フレームワークとして誕生しました。認証取得は、訪問診査・サイトスキャン・自己問診により行われます。例えば、サイトスキャンでは、認定を受けたベンダのスキャンツールで定期的に点検を受けます。認定取得により、企業価値を高められるとともに情報盗用や不正アクセスなどのリスクにも対処できます。
関連記事：【図解付き】PCI DSSとは？準拠が必要な企業とセキュリティ対策をガイダンス

 

PCI DSSとクラウドの関係性

2022年3月にPCI DSS v4.0がリリースされました。クラウド環境の増加を踏まえてアップデートを図っている点が特徴です。例えば、V4.0ではクラウド環境を想定して「ファイアウォールやその他のネットワークセキュリティ技術などのネットワークセキュリティコントロール（NSC）」などの記載が見られます。もちろん、このほかにもさまざまな変更が加えられています。メジャーアップデートに該当するため戸惑うかもしれませんが、最新の環境が反映されたことで、以前のバージョンよりも対応しやすくなったと考えることもできるでしょう。

 

PCI DSSに対応するAWSセキュリティ対策

AWSにおいてPCI DSSに対応するためには、どのようなセキュリティ対策に取り組んでいけば良いのでしょうか。適用範囲の識別とセグメンテーション、侵入テストの実施が必要となります。

 

適用範囲の識別

はじめに、PCI DSSに関する適用範囲の識別を行いましょう。PCI DSSの適用範囲は、カード会員データ環境に含まれる、または接続されるすべてのシステムコンポーネントとなっています。
カード会員データ環境はカード会員データまたは機密認証データを保存・処理、または送信する関係者や、プロセス、テクノロジーによって構成されるものです。

注意しておきたいのが、システムコンポーネントです。システムコンポーネントは、ネットワークデバイスやサーバのほか、コンピューティングデバイス、アプリケーション、サービスといったものが含まれています。
これらの適用範囲は、AWSに限ったものではありません。例えば、AWS以外にもシステムを所有している場合は、それらのうち、該当するすべてでPCI DSS の要件を満たす必要があります。

 

セグメンテーション(分離)

PCI DSS適用範囲が広くなるほど対応の難易度が高くなります。そのため、セグメンテーションを適切に行い、適用範囲を絞ることが求められます。

セグメンテーションとは、適用範囲外のシステムからカード会員データ環境にアクセスできないようにすることをいます。セグメンテーションには以下のような分離方法があります。

 

AWSアカウント

分かりやすいひとつの方法として、AWSアカウントで分離します。別アカウントのリソースとAWSは分離されている形です。
明示的に通信チャネルを確立しなければカード会員データ環境は適用範囲外の環境から分離されることになります。例えば、CDEが稼働する領域にアクセスするアカウントなどが例です。

 

ネットワーク層

ネットワークを適切にセグメント化できれば、結果としてカード会員データ環境の範囲が狭まることになります。つまり、それだけPCI DSSの適用範囲を狭められるので、対応の負担軽減に繋がります。
セキュリティグループかNACLで分離する形となります。
注意点として、デフォルトではセキュリティグループはすべてのアウトバウンド接続を許可する形となっています。そのため、PCI DSSで指定されている要件を満たすにはこちらも厳密に制限しなければなりません。

 

アプリケーション層

Amazon API Gatewayを使用したセグメンテーションも可能です。サーバ間通信はAmazon API Gatewayを使用して行うことにより適用対象を限定できます。

 

侵入テストの実施

侵入テストで検証を行う必要があります。AWSで PCI DSSに準拠しているサービスについては、テストの必要がありません。

 

【要件別】PCI DSS 要件

続いて要件別にPCI DSSの要件をみていきます。

 

要件①：ファイアウォールによってカード会員情報を保護する

ファイアウォールをインストールし、ネットワークの境界を強化する必要があります。おもに使用するのは、AWSが仮想ファイアウォール機能として提供しているセキュリティグループです。セキュリティグループの設定のほか、トラフィックの管理といったものはユーザ責任で行います。

 

要件②：ベンダから提供されるデフォルト値のシステムパスワードやセキュリティパラメータを使用しない

 
要件①と同様に安全なネットワークとシステムを構築してそれを保守するために定められている要件です。
AWS環境に組み込まれたサードパーティ製のソフトウェア・コードは、ベンダ側でデフォルトとして設定を行っています。ですが、それをそのまま使用するのではなく、必ずシステムパスワードやセキュリティパラメータを自身で作成したものに変更する必要があります。

 

要件③：保存されるカード会員情報を保護する

カード所有者のデータを保護することを目的として定められている要件です。まず、守るべき情報の保存は必要最小限にしましょう。その上で、保存する情報は暗号化などによって保護していく形となります。
なお、AWSでも暗号鍵管理サービスを提供しています。ただ、暗号鍵管理サービスを使用するだけで要件を満たしているとはいえないため注意が必要です。

 

要件④：オープンネットワーク上ではカード会員情報を暗号化する

インターネットを経由する形で外部からCHDを受信する場合、強力な暗号化方式を用いるなどしてカード会員データを十分に保護しなければなりません。
その時点で使用できる最新のバージョンを選択する形となります。

 

要件⑤：最新版のウィルス対策ソフトを使用する

ウィルス対策ソフトは、最新版のものを選択しましょう。古いバージョンはセキュリティ性に問題がある可能性が高いです。日々悪意ある外部からの攻撃手段は強力で悪質なものとなっており、これらの被害からカード会員情報を守るための対策を取らなければなりません。
インスタンスを使用する形で自社でオペレーティングシステムを構築しているケースに該当する場合は、利用者がウィルス対策ソフトを導入して管理していかなければなりません。導入したあとは定期的に更新しましょう。

 

要件⑥：セキュリティ性の高いシステムとアプリを開発して保守点検する

アプリケーションの脆弱性対策はAWS側ではなく、利用者が対応しなければなりません。AWS側でも利用者がセキュリティ向上のための対策ができるように、様々なサービスを提供する形で支援しています。
例えば、セキュリティの脆弱性に関する特定やランク割当て・パッチ適用、セキュアな開発・テスト・変更管理などができるサービスです。こういったものを役立てながらセキュリティ性の高いシステムとアプリの開発を行っていきましょう。
それから、脆弱性に対するパッチが公開されることがあります。これらについては、早めに適用しましょう。

 

要件⑦：カード会員情報へのアクセスを業務で必要な範囲内に制限する

アクセス権限を正しく設定し、本当に必要な範囲内のみでカード会員データへのアクセスを認める形にすることが重要です。アクセス権が広いほどリスクが高まってしまうことから、必要最小限のアクセス権を割り当てるようにしなければなりません。

 

要件⑧：ユーザごとにアカウントを作成する

システムコンポーネントへのアクセスを識別して認証することを定めている要件です。アカウント・認証情報は適切な設定を行い、管理していかなければなりません。
そのためにユーザごとにアカウントを作成しましょう。長期間ログインのないユーザ情報の削除や、スイッチロール運用を採用する場合のタイムアウト時間の設定なども必要です。

 

要件⑨：カード会員情報への物理的なアクセスを制限する

AWSプラットフォームの物理セキュリティのほか、メディア管理といったものは、利用者ではなくAWS側が責任を負うことになります。
ただし、AWSクラウドで提供されるリソースに接続して使用する物理セキュリティやメディア管理といったものについては利用者責任です。

 

要件⑩：ネットワークリソースとカード会員情報への全アクセスを追跡・監視する

ログの収集・管理について定めている要件です。AWSでは「AWS CloudTrail」というログ収集・管理サービスを提供しています。CloudWatch Logsを利用するなど他サービスと連携させる形で保管を行っていきましょう。
また、AWS2よって提供されている各サービスの監査ログを有効にしておきます。

 

要件⑪：セキュリティのシステム・プロセスを定期的にテストする

脆弱性スキャンおよび侵入テストに関する要件です。セキュリティ診断などを実施し、IDS/IPSによる監視を行って行かなければなりません。そのためには、AWSによって提供されている各種サービスを利用したり、自社で専用の商品を導入したりする必要があります。

注意点として、テストを行う場合は事前に利用規定とテストポリシーの確認が必要です。許可されている動作のほか、禁止されている動作についても十分に理解し、認められていない動作を行わないようにしてください。

 

要件⑫：各担当者の情報セキュリティポリシーを整備する

各企業でセキュリティについて明確に定め、カード会員データ環境を保護するための情報セキュリティのポリシー・プログラムを利用者側できちんと整備していく必要があります。
また、これまで紹介してきた要件については、一時的にクリアすれば良いものではなく、維持していかなければなりません。

 

AWSにおけるセグメンテーション設計

AWSにおけるセグメンテーション設計はどのような形で行っていけば良いのでしょうか。セグメンテーション(分離)の項目でAWSアカウントを用いた方法について紹介しましたが、他にVPC/SecurityGroupやAmazon Simple Storage Service（Amazon S3）を用いる方法があります。
まず、VPC/SecurityGroupを用いた方法は必要なポート、送信元・宛先アドレスに基づく形でネットワーク通信を制限します。これにより、セグメンテーション境界を確立することが可能です。
また、マネージドサービスであるAmazon S3を活用する方法もあります。Amazon S3ではバケットポリシーを作りそのバケット内のオブジェクトへのアクセスを保護することが可能です。アクセスできるのは、適切な権限を持つユーザのみとなります。

 

AWS環境でのPCI DSS方法についてよく確認を

いかがだったでしょうか。AWS環境でPCI DSSへ対応する際のポイントについて紹介しました。専門的な部分も多く難しい内容となりますが、これからAWSの利用について検討している場合は、PCI DSSへの対応についてもよく理解しておかなければなりません。

PCI DSS Ready Cloudではクレジットカードセキュリティ対策を提供しており、PCI DSSへの対応も低コストで可能です。AWS環境でPCI DSSへ対応する方法がわからずにいる方はぜひご相談ください。

 
【参考文献】
[1]aws「AWSクラウドセキュリティ 責任共有モデル」
[2] Payment Card Industryデータセキュリティ基準

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。

PCI DSSのクラウドサービスならPCI DSS Ready Cloud

ぜひ、ご相談ください。