【PCI DSS】PCI DSS v4.0要件12.4.2(サービスプロバイダへの追加要件)に準拠するために必要なこと
サービスプロバイダ(Service Providers)は、四半期ごとにPCI DSS v4.0要件12.4.2(v3.2.1では12.11)に従ってセキュリティポリシーや手順を確認しなければなりません。これは実際に実行される必要があり、かつ制御措置が定期的にレビューされる必要があります。
PCI DSS v4.0要件12.4.2には、レビュー項目の例として次の5つが挙げられています。
- a) 日次のログレビュー
四半期ごとにログのレビューを実施し、レビュー作業が予定通りに完了していることを確認します。
PCI DSS v4.0では、主に「自動化されたメカニズム」でログレビューを実施すると定めています。したがって、対象のログに対し、自動で定期的にレビューが実行されるよう、環境内にSIEM、ログアナライザー等の自動化メカニズムを導入することをおすすめします。
- b) ネットワークセキュリティコントロールの構成のレビュー
ネットワークセキュリティコントロール機器(ファイアウォール等)に対しては、半年ごとにルールセットのレビューを実施する必要があります。
担当者が定期作業を実施しているかどうか、事業者の規定に従ってルールセットが適用されているか、承認および関連するテストが実施されているか等を確認します。
- c) 新しく追加されたシステム、デバイスの構成基準
環境内に新しいシステム、デバイスを追加する場合は、すでに実施されている構成基準を適用するとともに、四半期ごとにネットワーク機器、ホスト環境(OS)、データベース等のレビューを行う必要があります。
- d) セキュリティアラートへの対応
各種のセキュリティアラートが、事業者の規定に基づくインシデント対応手順(IRP:Incident Response Plan等)に従って処理および対応されているかをレビューします。
- e) 変更管理プロセス
各種システム機器やアプリケーションシステムの変更やデプロイが必要な場合は、事業者の規定に従ってデプロイ/リリースのプロセスを実施しなければなりません。
また、PCI DSS v4.0要件12.4.2.1でも、次のように定められています。
- 上記のレビューを文書化すること。
- レビューの未実施、またはレビューで不適合とされた事項があれば、強化または補正措置を取ること。
- 事業者のPCI DSS担当者(準拠担当窓口、上級管理職が任命した担当者、PM等)に対してレビューを実施し、署名すること。
簡単に言うと、PCI DSS v4.0要件12.4.2は主に「遵守性」を求めているということです。定められた対応、手順、ポリシー等を担当者が確実に実施し、かつ定期的にレビューすることで、より完全かつ安定した準拠に近づきます。
ニュース – 2023-08-15
