PCI DSS:コンプライアンス達成とWebアプリケーション可用性の向上(前編)

Webアプリケーションおよびカード保有者情報の保護

この内容をPDFで読む

[PDF] PCI DSS:コンプライアンス達成とWebアプリケーション可用性の向上

はじめに

Payment Card Industry Data Security Standard (PCI DSS) は2004年に導入された (元は2001年に発表されたVisa Cardholder Information Security Programの一部) 標準であるため、決して新しいというわけではありません。比較的新しいと言えるのは、PCI DSSコンプライアンスを実現するというプレッシャーが高まっていることや、Webアプリケーションに適用されるガイドラインとして、PCI DSSのステイタスがそれまでの「ベストプラクティス」から「要件」へと変化したことです。

本記事では、PCI DSSを巡る情勢の変化とその要件に関して詳しく説明します。また、シトリックスが提供しているコンプライアンスソリューションを紹介すると共に、企業が自社のビジネスクリティカルなWebアプリケーションおよびそれに付随する情報リソースに関係のあるPCI DSSコンプライアンスを確実に実現するために役立つ推奨事項を示します。

ビジネス上の課題

この10年間で、世界中の企業がeコマースおよびeビジネスへの依存度を高めており、ビジネスツールとして一般的にインターネットを利用するようになっています。しかし、このようなオンライン上の試みと戦略の成功は、常に危険な状態と隣り合わせにあります。その大きな理由は、顧客情報の漏えい、なりすまし犯罪、クレジットカード詐欺などが多発していることから生じる問題や不安があるためです。以下にその例を示します。

  • 2007年度に米国で発生したeコマース詐欺の被害総額は約360億ドルであり、2006年度よりも20%増加しています(出典:CyberSource Fraud Survey, 2007)。
  • 2008年1月の発表では、米国内でのセキュリティ侵害により被害を受けた個人情報を含むレコード数は2005年以来延べ2億1700万件に上ります(出典:Privacy Rights Clearinghouse)。
  • ある調査によれば、消費者の78%が、セキュリティ侵害により自分のクレジットカード情報を漏洩させたことがある店では二度と買い物をしたくないと思っています(出典:Javelin Strategy & Research, 2007)。

これは私達全員に影響する統計のごく小さな例に過ぎません。更に悪いことに、近年、攻撃者の行動に大きな変化が起こっています。すなわち、今や攻撃者の目的は、目立つためではなく、金儲けをすることになっています。このような変化の結果、攻撃者の活動が大幅に増加し、一般的に配備されている対抗手段を巧みにかいくぐって、クレジットカード情報のような価値ある情報を取得することに重きが置かれるようになりました。かつてないほどに速いペースで大量の新しい脅威が生成されるようになっただけでなく、脅威の多様性と共に捕捉しにくくなっています。言い換えれば、攻撃者たちはその勢いを弱めるどころか、むしろ増し続けています。

対策

  • PCI標準をwww.PCISecurityStandards.orgからダウンロードして理解すること
  • PCI自己評価を実行すること
  • Webアプリケーションのアクティブな保護 (PCIのセクション6.6の内容を満たすもの) としてWebアプリケーションファイアウォールを検討すること