fbpx

クラウドネイティブにおけるPCI DSS準拠について知っておくべきこと #aqua #セキュリティ #pcidss #クラウドネイティブ

AquaSecurity

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2021年11月24日に公開された「 What you Need to Know About PCI DSS Compliance in Cloud Native 」の日本語翻訳です。

クラウドネイティブにおけるPCI DSS準拠について知っておくべきこと

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカードデータを扱うあらゆる組織にとって有名なコンプライアンスフレームワークです。しかし、PCI DSS の要件をコンテナや Kubernetes の世界に落とし込むことは、容易ではありません。この記事では、コンテナ化されたアプリケーションが PCI DSS コンプライアンスにどのような影響を与えるのか、また、クラウドネイティブ環境でその要件を満たすにはどうすればよいのかを説明します。

PCI DSS とは

2004年に導入された PCI DSS は、主要なクレジット会社のクレジットカードデータを処理、保存、または送信する組織向けの情報セキュリティ基準です。PCI DSS は、カード会員の個人データの管理を強化し、データの盗難や詐欺を減らすことを目的として、主要なクレジットカード会社5社の協力を得て策定されました。

PCI DSS では、コンプライアンスに関する12の要件が規定されており、これらは6つの大きな目標に整理されています。

1.安全なネットワークの構築と維持

  • カード会員データを保護するためのファイアウォール構成を導入・維持する
  • システムパスワード・その他のセキュリティパラメータに、ベンダー提供のデフォルト値を使用しない

2.カード会員データの保護

  • 保存されているカード会員データを保護する
  • オープンな公共ネットワークを介したカード会員データの送信を暗号化する

3.脆弱性管理プログラムの維持

  • すべてのシステムをマルウェアから保護し、アンチウィルスソフトウェアまたはプログラムを定期的に更新する
  • 安全なシステム・アプリケーションを開発・維持する

4.強力なアクセス制御手段の導入

  • カード会員データへのアクセスをビジネス上の必要性に応じて制限する
  • システムコンポーネントへのアクセスを識別・認証する
  • カード会員データへの物理的なアクセスを制限する

5.ネットワークを定期的に監視・テストする

  • ネットワークリソース・カード会員データへの、すべてのアクセスを追跡・監視する
  • セキュリティシステム・プロセスを、定期的にテストする

6.情報セキュリティポリシーの維持

  • すべての従業員のための、情報セキュリティに関するポリシーを維持する

組織がカード会員データを処理、保存、送信する場合、PCI DSS 要件に準拠する必要があります。VISA または MasterCard から提供された情報を使用することを選択した場合は、正式に検証を受ける必要もあります。セキュリティ侵害が発生した場合、システムがPCI DSS に準拠していなかった場合は、追加の罰則が適用されます。

PCI DSS の各要件についての詳細な説明は、当社のガイド「Supporting PCI DSS Compliance for Cloud Native Environments」に記載されています。

クラウドでPCI DSS要件を満たすための課題

PCI DSS 自体は目新しいものではありませんが、クラウドネイティブ開発のスピードが速いため、クラウドネイティブ環境でこの要件に効果的に対応することは容易でありません。

クラウドネイティブ環境は、場所の永続性や従来のネットワークセグメンテーションのようなものがなく、弾力性のあるインフラストラクチャと、複数の環境に展開された非常に動的で、かつ一時的なワークロードが特徴です。さらに、クラウド環境の分散型レイヤーアーキテクチャは複雑さを増し、アクセス・権限・ネットワーキングの、管理・監視・監査の方法を変更する必要があります。

このように、クラウドネイティブアプリケーションの PCI コンプライアンスを理解して満たすことは、大きな課題となります。従来のセキュリティツールでは、このような環境における変化を追跡し、コンテキストを提供する能力が不足しているため、従来の環境で行っていたようなコンプライアンスの確保はできません。

クラウドネイティブ環境が PCI コンプライアンスに影響を与える主な分野には、ネットワークセキュリティ、脆弱性管理、ユーザアクセス制御と職務分離、脅威分析と緩和、およびデータ保護、リアルタイム可視性、イベント監査証跡などがあります。

Aquaによる PCI DSS 準拠への取り組み

Aqua は、パブリッククラウドサービス、VM、コンテナ、サーバーレス function にまたがるアプリケーションの多くの PCI DSS 要件に対応できます。

  • クラウドアカウントのコンプライアンス概要
    Aqua CSPM では、クラウドインフラストラクチャのスキャン結果を業界標準やコンプライアンス管理に適合させるための、コンプライアンスレポートを提供します。

  • 脆弱性評価
    Aqua は、コンテナイメージの詳細な脆弱性評価を提供し、デプロイメント前のアプリケーションへの脆弱性の混入を防ぎます。

  • ポリシーベースのセキュリティ
    Aqua は、ビルド、ワークロード、インフラストラクチャ全体で構成できる、すぐに使える制御を提供します。

  • シークレット管理
    Aqua は、シークレットと暗号キーの集中管理と安全な配布を、実行中のコンテナに提供します。

  • 職務分離とアクセスコントロール
    Aqua のマルチテナント、ロールベースアクセスコントロール(RBAC)機能は、異なるアプリケーション間の職務分離をサポートし、割り当てによるアクセスを制限します。

  • アイデンティティベースのセグメンテーション
    Aqua は、不正なネットワーク接続を防ぐネットワークファイアウォールと、ワークロード間の関係を観察するネットワークのナノセグメンテーションを提供し、すべてのネットワーク接続を監視し、安全性を確保します。

  • イベントログ
    Aqua は、通常のイベントとセキュリティ侵害を示すイベントの両方を含む、さまざまな種類のイベントの詳細な監査証跡を提供します。

  • 検出と応答によるリアルタイムの可視性
    Aqua は、ビルドからインフラ、ランタイムまで、クラウドネイティブのライフサイクル全体にわたって包括的な可視性を提供します。Aqua の eBPF ベースの可視化エンジンは、カーネルレベルに配置され、クラウドネイティブ環境全体からデータを取得します。
    未知の攻撃をランタイム時に検知するため、Aqua は、クラウドネイティブ環境における実際の攻撃を分析して収集した Aqua の研究チームである Team Nautilus からの情報を基にして、行動指標のデータベースを常に更新しています。

  • ビルド時とランタイム時のマルウェア対策
    Aqua は、ビルドとランタイムの両方でアンチマルウェアを提供し、既知のマルウェアから保護するとともに、クラウドネイティブの検知・応答機能により、未知のマルウェアからも保護します。

PCI DSS compliance

まとめ

PCI 規制のある環境で、クラウドネイティブアプリケーション特有の懸念に対処するのは難しいことです。しかし、適切なソリューションを導入すれば、PCI コンプライアンスが大きなハードルになることはありません。Aqua がどのようにして PCI DSS の各要件に対応できるかの詳細な内訳については、コンプライアンスガイド『Achieving PCI-DSS Compliance for Containers』をダウンロードしてください。

New call-to-action

新規CTA