一般公開されているウェブ アプリケーション については、ウェブ ベースの攻撃を継続的に検 知・防止する自動化された技術的ソリューションを 導入しており、少なくとも以下の条件を備えている。

• 一般公開されているウェブアプリケーションの 前にインストールされ、ウェブベースの攻撃を 検知・防止するように設定されている。
• アクティブに実行され、該当する場合は最新の 状態に更新されていること。
• 監査ログを生成していること。
• ウェブ ベースの攻撃をブロックするか、アラー トを生成して直ちに調査するように設定されている。

WAFサービスでは、マネージドの防御ルールが提供されます。また、必要に応じてカスタムルールを定義することが可能です。

システムやアプリケーションで使用されるアカウントが対話型ログインに使用できる場合、以下 のように管理される。

• 例外的に必要な場合を除き、インタラクティブな使用を禁止する
• インタラクティブな使用は、例外的な状況で必要とされる時間内に制限される
• インタラクティブな使用を正当化するビジネス上の理由が文書化されている
• インタラクティブな使用は、経営陣が明示的に承認している
• アカウントへのアクセスが許可される前に、個々のユーザの身元が確認される
• 実行されたすべてのアクションは、個々のユーザに帰属する

特権IDを許可する為の承認ワークフローやパスワードの自動変更が提供されます。
管理者による承認が行われた場合のみ、特権IDを使用したコンポーネントへのアクセスが可能です。

特権ID管理では、管理対象サーバへのRDP/SSHについて、承認された接続のみを中継する機能(ゲートウェイ機能)がサポートされます。
ブラウザアクセスを行う管理対象コンポーネントについても、エージェントソフトを導入することで、管理対象とすることが可能です。

監査ログのレビューを行うために、自動化されたメカニズムが使用されている。

ログ管理サービス(SIEM)（ログ管理/分析サービス）には以下のコンポーネントが含まれます。

• SIEM(ログの保存/分析)
• エージェントソフト(Window/Linuxのログ転送用)

※SIEMに転送されたログは、366日間保存されます。
※SIEMはブラウザベースの分析画面が提供されます。分析画面ではクエリ言語による分析、ダッシュボードによる可視化、アラームによるリアルタイム通知が提供されます。
※ログレビューの確認内容をクエリ化し、アラーム登録することで日々のレビューを自動化することができます。

サービスプロバイダのみに対する追加要件：侵入検知および/または侵入防止技術が、マルウェアの秘密の通信経路を検知し、警告し/防止し、対処する。

ネットワークIDS/IPSで「マルウェアの秘密の通信」を検知する機能を提供します。

変更・改ざん検知のメカニズムは、以下のように展開されている。

• 消費者ブラウザが受信した HTTP ヘッダーと決済ページのコンテンツに対する不正な変更 (侵害の指標、変更、追加、および削除を含む) を担当者に警告すること。
• メカニズムは、受信した HTTPヘッダーと決済ページを評価するように構成される。
• メカニズムの機能は、以下のように実行される。
• ウェブ ベースの攻撃をブロックするか、アラー トを生成して直ちに調査するように設定されている。

– 少なくとも7日に1回
または
– 定期的に（要件 12.3.1 に規定されたすべての要素に従って実施される事業体のターゲットリスク分析で定義された頻度で）

ECサイトなど、クレジットカード決済画面を提供されている事業者向けに予め定義したAPI連携先以外と消費者のブラウザが通信した場合やhttpヘッダーの改ざんがあった場合に検知します。

機能/用途の説明を含む、PCI DSS の適用範囲にあるシステムコンポーネントのインベントリが維持され、最新の状態に保たれている。

対象サーバにインベントリ管理エージェントをインストールすることで、対象サーバの構成情報を維持します。