PCI DSS 之 Incident Response Plan

PCI DSSのIRPと、他の情報セキュリティマネジメントシステム（ISO 27001等）のインシデント管理に関する規定との最大の相違点は、まず、PCI DSSの要件12.10.3で、インシデントのアラートに対応するため、24時間365日対応可能な担当者を指定するよう求めていることです。第2に、要件12.10.5で侵入検知システム（IDS）および侵入防止システム（IPS）、ファイアウォールおよびファイル整合性監視（FIM）等の警告メカニズムを実装しなければならないと定めていることです。つまり、PCI DSSのIRPは、情報セキュリティマネジメントシステム（ISMS）よりも、実施面での要求が厳しいということです。

また、要件12.10.1では、IRPの実施内容に、セキュリティインシデント発生時の役割、責任、連絡方法を含めるよう求めています。これには、カードブランドへの通知体制、各ブランド（VISA、MASTER等）が要求する対応報告が含まれます。その他、データのバックアップ、ビジネスの復旧と継続等の文書化に関する要件は、ISMSと大きな違いはありません。

また、12.10.7ではカード番号（PAN）および機密認証データ（SAD）が検出された場合にアラートを発し、対応措置をとるよう定めています。なお、12.10のその他の要件では、担当者はセキュリティ脆弱性への対応責任について適切な訓練を受けること、毎年少なくとも1回はIRPの見直しと演習（またはテスト）を行うこと、過去の経験やインシデントを踏まえてインシデント対応計画（IRP）を変更および改善することなどが定められています。

セキュアベクターズ・シニアコンサルタントの林宜鴻氏は、「これまで多くのクライアントを支援してきましたが、大部分の企業は、IRPの演習に参加するのはIT部門のスタッフ（システム管理者、ネットワーク管理者、データベース管理者）だけでよく、多くても開発者とカスタマー窓口の担当者が加わる程度だと考えています。なぜなら、手順文書は普通、担当者の役割や責任、すべきこと等を大まかに説明しているだけだからです」と話します。しかし、シニアコンサルタントからカード会員データが流出した場合のシミュレーションを提示されると、手順文書の中に上司に報告すべきかどうかの基準がないこと、誰に報告するかも明確でないこと、すぐにIT部門に調査を依頼できるか、あるいは全部直接社長に報告するのかなど、クライアントは様々なことに気が付きます。そしてこれらは、いずれも演習の過程での課題になります。

したがって、セキュアベクターズのコンサルタントがIRPの演習を支援する際は、クライアント企業の業務の過程で起こりうるインシデントの状況を綿密にシミュレートし、クライアントがPDI DSSの要件通りに連絡や対応ができるよう支援する必要があります。

セキュアベクターズは、金融決済のセキュリティ分野で業界最高のコンサルティングと、PCI DSS審査サービスを提供しています。

詳細は以下の公式サイトをご覧下さい。

https://www.securevectors.com/zh-hant/pci-dss/

#PCIDSS #PCISSC #QSA (Qualified Security Assessors) #VISA#Master #SAQ(Self-Assessment Questionnaire) #AOC (Attestation of Compliance)#ASV (Approved Scanning Vendors) #卡組織 #IDS #IPS#IRP #FIM