PCI DSS Ready Cloud

PCI DSS の最新バージョン4.0への効率的な対応と
運用コストの削減を目指す事業者向け

マネージドモデル概要

PCI DSS の構築、維持・運用にかかるコストと工数を削減する
さまざまなサービスをパッケージ化しています。

対象インフラ セキュリティ
コンポーネント
セキュリティ運用 運用代行サービス
Amazon Web Service、Microsoft Azure、
オンプレ環境など

(標準提供)

(標準提供)

(オプション)
運用代行サービス
Amazon Web Service、Microsoft Azure、
オンプレ環境など
セキュリティ
コンポーネント

(標準提供)
セキュリティ運用

(標準提供)
対象インフラ

(オプション)
セキュリティコンポーネント/
運用代行サービス
V4 新要件に対応
WAFサービス
V4 新要件に対応
ログ管理
(ログ保存/SIEM)
V4 新要件に対応
特権ID管理
V4 新要件に対応
オンラインスキミング検知/防御
多要素認証 VPN
マルウェア対策
変更監視
内部脆弱性スキャン
V4 新要件に対応
IPS/IDS バックドアチャネル検知
構成管理
自動パッチ適用
手動パッチ適用
監視/障害対応
ファイアウォール
ルールセットレビュー
ペネトレーション テスト
ASVスキャン

マネージドモデル 特長PCI DSSバージョン4.0への早期対応

PCI DSS の最新バージョン 4.0 が、2022年 3月 31日に公開されました。
バージョン 4.0 では、新たな脅威やテクノロジー・決済業界の変化に対応し、
最新の基準として維持するための変更が行われています。
移行期間が終了する 2024年 3月 31日までに対応を終える必要があります。
(ベストプラクティス要件の対応期限は2025年3月まで)

マネージドモデルは、お客さまによるPCI DSS バージョン4.0への準拠に求められる
新たな要件に対応したサービスを提供することで、スムーズなバージョンアップを支援します。

マネージドモデル 特長バージョン4.0 新要件に対応するセキュリティ対策

要件番号
6.4.2

一般公開されているウェブ アプリケーション については、ウェブ ベースの攻撃を継続的に検 知・防止する自動化された技術的ソリューションを 導入しており、少なくとも以下の条件を備えている。

  • 一般公開されているウェブアプリケーションの 前にインストールされ、ウェブベースの攻撃を 検知・防止するように設定されている。
  • アクティブに実行され、該当する場合は最新の 状態に更新されていること。
  • 監査ログを生成していること。
  • ウェブ ベースの攻撃をブロックするか、アラー トを生成して直ちに調査するように設定されている。
サービス
WAFサービス

WAFサービスでは、マネージドの防御ルールが提供されます。また、必要に応じてカスタムルールを定義することが可能です。

要件番号
8.6.1

システムやアプリケーションで使用されるアカウントが対話型ログインに使用できる場合、以下 のように管理される。

  • 例外的に必要な場合を除き、インタラクティブな使用を禁止する
  • インタラクティブな使用は、例外的な状況で必要とされる時間内に制限される
  • インタラクティブな使用を正当化するビジネス上の理由が文書化されている
  • インタラクティブな使用は、経営陣が明示的に承認している
  • アカウントへのアクセスが許可される前に、個々のユーザの身元が確認される
  • 実行されたすべてのアクションは、個々のユーザに帰属する
サービス
特権ID管理

特権IDを許可する為の承認ワークフローやパスワードの自動変更が提供されます。
管理者による承認が行われた場合のみ、特権IDを使用したコンポーネントへのアクセスが可能です。

特権ID管理では、管理対象サーバへのRDP/SSHについて、承認された接続のみを中継する機能(ゲートウェイ機能)がサポートされます。
ブラウザアクセスを行う管理対象コンポーネントについても、エージェントソフトを導入することで、管理対象とすることが可能です。

要件番号
10.4.1.1

監査ログのレビューを行うために、自動化されたメカニズムが使用されている。

サービス
SIEM サービス

SIEM サービス(ログ管理/分析サービス)には以下のコンポーネントが含まれます。

  • Cloud SIEM(ログの保存/分析)
  • エージェントソフト(Window/Linuxのログ転送用)

※Cloud SIEMに転送されたログは、366日間保存されます。
※Cloud SIEMはブラウザベースの分析画面が提供されます。分析画面ではクエリ言語による分析、ダッシュボードによる可視化、アラームによるリアルタイム通知が提供されます。
※ログレビューの確認内容をクエリ化し、アラーム登録することで日々のレビューを自動化することができます。

要件番号
11.5.1.1

サービスプロバイダのみに対する追加要件:侵入検知および/または侵入防止技術が、マルウェアの秘密の通信経路を検知し、警告し/防止し、対処する。

サービス
マルウェアの秘密の
通信の検知/防御 

ネットワークIDS/IPSで「マルウェアの秘密の通信」を検知する機能を提供します。

要件番号
11.6.1

変更・改ざん検知のメカニズムは、以下のように展開されている。

  • 消費者ブラウザが受信した HTTP ヘッダーと決済ページのコンテンツに対する不正な変更 (侵害の指標、変更、追加、および削除を含む) を担当者に警告すること。
  • メカニズムは、受信した HTTPヘッダーと決済ページを評価するように構成される。
  • メカニズムの機能は、以下のように実行される。
  • ウェブ ベースの攻撃をブロックするか、アラー トを生成して直ちに調査するように設定されている。

– 少なくとも7日に1回
または
– 定期的に(要件 12.3.1 に規定されたすべての要素に従って実施される事業体のターゲットリスク分析で定義された頻度で)

サービス
オンライン
スキミング検知/防御

ECサイトなど、クレジットカード決済画面を提供されている事業者向けに予め定義したAPI連携先以外と消費者のブラウザが通信した場合やhttpヘッダーの改ざんがあった場合に検知します。

要件番号
12.5.1

機能/用途の説明を含む、PCI DSS の適用範囲にあるシステムコンポーネントのインベントリが維持され、最新の状態に保たれている。

サービス
インベントリ管理

対象サーバにインベントリ管理エージェントをインストールすることで、対象サーバの構成情報を維持します。

AWSなどクラウドサービスをご利用中のお客さま構成図(例)

オンプレミス型など専用のインフラ環境をご利用中のお客さま構成図(例)

マネージドモデル 特長PCI DSSの維持・運用コストと工数を削減

PCI DSS Ready Cloud 「マネージドモデル」は、60 社超の導入実績を有する PCI DSS 準拠促進クラウドサービスをさらに進化させる新しいラインナップです。

PCI DSS準拠に必要なセキュリティコンポーネントと運用サービス

PCI DSS準拠に必要なインフラ構築、ノウハウ、エンジニアリソースで悩む必要はありません。
マネージドモデルを利用すれば安心です。

PCI DSS準拠維持に必要な運用代行サービス(オプション)

PCI DSS準拠に必要な維持、運用作業に関しても悩む必要はありません。
マネージドモデルの運用代行サービスで必要な運用をカバーします。

マネージドモデル 特長ワンストップでPCI DSS準拠をサポートする仕組み

最新のPCI DSS関連アップデート、最新の攻撃手法やトラブル対応など、
さまざまな観点からお客さまをサポートする定例会開催や専用サポートサイト/ナレッジデータベースを充実させています。

PCI DSS準拠に必要なナレッジを
データベース化

PCI DSS準拠に必要なナレッジをデータベース化することで、お客さまののPCI DSSへの理解促進や対応策ををサポートします。

テンプレート/仕様書準拠に必要な
各種ドキュメントを提供

PCI DSSに準拠する上でサービスプロバイダー利用に必要とされる各種ドキュメントを提供。責任共有モデルに基づき、各社の役割分担の明確化することでスムーズな対応が可能になります。

マネージドモデルによる
1.5人月のエンジニア工数削減 効果

セキュリティ、サーバ、システム、運用管理と様々なノウハウを持ったエンジニア・管理者・有識者が必要となり、
PCI DSS環境をマネジメントする管理者や運用を行うエンジニアリソースを確保する必要があります。
マネージドモデルを導入すれば、エンジニアリソースを大幅に削減可能です。

サービスの利用によるお客さまエンジニア工数の変化
自社対応(月間平均)
管理者
1名(83.8時間)
エンジニア
2名(235.3時間)
サービス利用(月間平均)
管理者
1名(27.8時間)
エンジニア
2名(48.8時間)

PCI DSS維持に必要な対応項目の例
マネージドモデル及び運用代行サービスによるサポート対象

随時
1ヶ月毎
3ヶ月毎
6ヶ月毎
1年毎
セキュリティログ
監視・レビュー
アラート対応
自動パッチ適用
手動パッチ適用
内部脆弱性スキャン
ASVスキャン
ファイアウォール
ルールセットレビュー
境界ペネトレーションテスト
ペネトレーション
テスト
PCI DSS Ready Cloudマネージドモデルで対応可
運用代行サービスで対応可

導入事例

セキュリティ、サーバ、システム、運用管理と様々なノウハウを持ったエンジニア・管理者・有識者が必要となり、
PCI DSS環境をマネジメントする管理者や運用を行うエンジニアリソースを確保する必要があります。
マネージドモデルを導入すれば、エンジニアリソースを大幅に削減可能です。