< lcn home

コンテナおよびクラウド環境におけるPCI準拠

目 次

ここで学べること

Table of contents
This is the block containing the component that will be injected inside the Rich Text. You can hide this block if you want.

ペイメントカード業界データセキュリティ基準(PCI DSS、以下PCI)は、2004年に制定されました。これは、多くの人々がコンテナ技術やクラウドについて考えるようになるよりも、ずっと前のことです。

とはいえ、PCIの管理基準が現代の技術よりも先に作られたからといって、それが現代技術に適用されないわけではありません。むしろ、コンテナやクラウドサービスをPCIに準拠した形で導入していることを保証することは、PCI規則の対象となるあらゆる企業にとって極めて重要です。一般的に言えば、クレジットカード取引データを扱う企業はすべて、この基準を満たす必要があります。

本記事では、コンテナおよびクラウドベースのワークロードがPCI DSS準拠ルールを満たすために必要な知識をすべて解説します。PCI準拠の意味、適用範囲、そしてPCI要件に沿ったクラウドネイティブワークロードの設計方法について説明いたします。

PCIコンプライアンスとは?

PCIコンプライアンスとは、クレジットカード決済取引に関連するデータを管理するために主要なクレジットカード会社が定めた一連の規則を指します。これは、PCIコンプライアンスの枠組みを監督し、定期的に更新する独立した業界団体であるペイメントカード業界セキュリティ基準協議会(PCI SSC)によって管理されています。

PCI DSS規則の最新版は、2018年5月に最終更新されたバージョン3.2です。ただし、2022年にはPCI DSS 4.0として、この枠組みの大幅な改訂が行われる見込みです。公式のPCI DSS文書は、PCIセキュリティ基準評議会のライブラリから入手可能です。

PCIコンプライアンス要件を遵守する必要があるのは誰ですか?

他の多くのコンプライアンス要件とは異なり、PCIは特定の規模の企業や、一定量以上の関連データを管理する企業にのみ適用されるものではありません。また、特定の技術や政治的管轄区域に限定されるものでもありません。

したがって、貴社がクレジットカード取引またはそれに関連するデータを何らかの形で管理している場合、PCI規則は貴社に適用されます。貴社の事業拠点がどこにあるか、事業規模がどの程度か、あるいはどのような種類のワークロードを実行しているかは関係ありません。クレジットカード取引やデータが貴社のシステムに何らかの形で関わる場合、PCIコンプライアンス要件に従う必要があります。

PCI規則への準拠を怠った場合、個々のクレジットカード会社によって50万ドル以上のコンプライアンス罰金が科されることもあります。

なお、多くのPCI要件はGDPRやCPRAなどの規制コンプライアンス要件と重複しているため、PCI要件を遵守しないことは政府規制当局とのトラブルにもつながり得ます。したがって、PCI DSS自体は政府機関ではなく業界団体によって設計・管理されているものの、政府のコンプライアンス義務の対象となる企業にとっても重要な意味を持つのです。

PCIコンプライアンスのルールとは?

PCI DSSの各バージョンは要件が多少異なりますが、クレジットカード取引の処理に関わるシステムの設計、導入、管理において企業が遵守すべき中核的なルールに集約されます。

主なPCI規則は以下の通りです:

  • ネットワークセキュリティ:企業はネットワークセキュリティ防御策を計画し、実施しなければなりません。
  • データセキュリティ:クレジットカード取引に関連する機密データ(カード番号だけでなく、氏名や住所などのカード所有者データも含む)は、安全な方法で保管されなければなりません。
  • 脆弱性管理:企業は、自社の環境の全レイヤーにわたるセキュリティ問題の検出と対応に関する規則を策定し、遵守しなければなりません。
  • テストと監査:セキュリティテストと監査を定期的に実施しなければなりません。
  • アクセス制御:機密データやシステムへの不正アクセスリスクを軽減するため、すべてのITリソースに対してアクセス制御を実装しなければなりません。物理システムに対しても同様にアクセス制御を実装する必要があります。
  • セキュリティポリシー:企業は、自社の内部チームだけでなく、取引先やベンダーにも適用されるセキュリティポリシーを確立しなければなりません。

PCI DSS、コンテナ、およびクラウド

PCIの要件は、あらゆる種類の技術やIT環境に適用できるよう、広く設計されています。コンテナやクラウド環境について言及しているわけではなく、ましてやコンテナやクラウドリソースをPCIコンプライアンス規則に適合させるための具体的な設定方法について推奨しているわけでもありません。

代わりに、コンテナベースまたはクラウドベースの環境におけるPCIルールの解釈責任は、企業側にあります。コンテナ化またはクラウド環境の具体的な構成によってPCIコンプライアンス対策の内容は異なりますが、コンテナやクラウドを含むアプリケーションやインフラストラクチャを管理する際には、以下の重要なベストプラクティスを念頭に置くことが大切です。

コンテナのPCIコンプライアンス

ある意味で、コンテナはワークロードを相互に分離するため、ネットワークセキュリティやアクセス制御に関連するPCIコンプライアンス規則の達成を支援し、コンプライアンスを簡素化します。

ただし、コンテナ内にワークロードをデプロイするだけでPCIコンプライアンスが保証されるわけではありません。むしろ、コンテナを運用する際には、PCI関連のコンプライアンス問題を防止するため、以下の追加措置を講じる必要があります:

  • ネットワーク分離:各コンテナがネットワーク上のリソースにアクセスする必要がない限り、アクセスできないように分離します。ネットワーク分離は、Kubernetesのネットワークポリシー(Kubernetesをご利用の場合)や、iptables、その他のOSレベルのファイアウォールフレームワークを使用して実施できます。
  • コンテナのアクセス制御:各コンテナは、外部プロセス、ストレージ、および厳密に必要なその他のリソースのみにアクセスできるべきです。コンテナが特権モードで実行されることを防止し、セキュリティコンテキストといったフレームワークを最大限活用してコンテナを厳重に保護してください。
  • ホストのアクセス制御:コンテナをホストするサーバーのオペレーティングシステム内でも、強力なアクセス制御を確実に実施してください。具体的な方法は、ご利用のOSやサーバー設計により異なりますが、一般的には不要なユーザーアカウントの無効化、パブリックインターネットからのSSHアクセスの遮断、不要なポートの閉鎖などが挙げられます。
  • コンテナセキュリティの更新:PCI脆弱性管理規則を満たすため、コンテナオーケストレーター、ランタイム、ホストOSが最新の状態であることをご確認ください。
  • コンテナイメージのスキャン:デプロイ前にコンテナイメージをスキャンし、マルウェアや不安全なコンポーネントを検出してください。
  • コンテナセキュリティの監視:コンテナ化されたアプリケーション環境をリアルタイムで監視し、侵害の兆候を検知してください。
  • コンテナ環境の監査:不安全な設定を検出し対処するため、定期的な監査(四半期ごと、あるいは継続的な監査がより望ましい)を実施してください。この作業には、Kubernetes監査フレームワークなどのリソースや、クラスタのプロビジョニングに使用するIaCテンプレートの監査といった戦略が役立ちます。
  • コンテナガバナンスルールの確立:チームがコンテナ環境を利用する方法について定義するセキュリティおよびガバナンスルールを作成します。例えば、どのワークロードがネームスペースを共有できるか、コンテナイメージをレジストリに公開する際の手順などを決定します。

クラウドPCIコンプライアンス

クラウドにおけるPCI準拠は、パブリッククラウドプロバイダーが採用する責任分担モデルのため、やや複雑です。責任分担モデルでは、クラウドプロバイダーはデータセンターの物理的セキュリティ確保や、バックエンドインフラのセキュリティ問題に関する監査など、一部のPCI準拠ルールを満たす責任を負います。

しかしながら、クラウドプロバイダーが基本的なPCIコンプライアンス規則を満たしていることを確認すること(主要なクラウドプロバイダーはすべてこれを満たしています)を超えて、クラウドPCIコンプライアンスの大部分の責任は、クラウドを利用する企業側にあります。この点において、以下の実践事項を遵守されることをお勧めいたします:

  • クラウドIAMの活用:クラウドプロバイダーのアイデンティティおよびアクセス管理(IAM)フレームワークを活用し、きめ細かなアクセス制御を実施してください。IAMポリシーは最小権限の原則を適用すべきであり、各ユーザーおよびリソースは必要な特定のリソースのみにアクセスできる状態を維持します。
  • IAM監査:IAMテンプレートを自動的にスキャンし、セキュリティ問題を引き起こす可能性のある設定ミスを検出します。
  • クラウドネットワークの分離:クラウドVPCなどのツールを活用し、ネットワークレベルでクラウド環境内のワークロードを分離します。
  • クラウドストレージへのアクセス制御:IAMポリシーを用いて、クラウドに保存されたデータへの不正アクセスを防止します。
  • クラウドデータの発見:クラウドストレージバケット、データベース、ファイルシステム内の機密データを発見する支援として、クラウドデータ損失防止ツールのご利用をご検討ください。これらのツールは、クレジットカード番号など、保存場所を認識していない可能性のあるデータも検出できます。
  • クラウド監査:セキュリティ侵害につながる可能性のある設定ミスを特定するため、クラウド環境の定期的または継続的な監査を実施します。一部のクラウドベンダーはこの目的のためのネイティブ監査サービスを提供していますが、複数のクラウド環境(またはクラウド環境とオンプレミス環境)を同時に監査できるサードパーティソリューションの方が便利な場合もあります。
  • クラウドガバナンス:ビジネスがクラウドでワークロードをプロビジョニングする方法を制御するためのガバナンスポリシーを確立します。以下のような疑問に対処します:どの従業員がどの種類のクラウドリソースを作成できるのか?従業員やチームがクラウドアカウントを共有できる場合と、ワークロードを別々のアカウントで実行すべき場合とは?クラウドリソースが作成されたまま放置されるリスク(監視されていないクラウドリソースは攻撃の格好の標的となるため、費用の無駄だけでなくセキュリティリスクも高まります)を最小限に抑えるために、ワークロード作成時にユーザーが従うべきタグ付けポリシーは何か?

結論

PCI DSSは複雑なテーマであり、コンテナやクラウドベースのワークロードにおいてPCI準拠を確保するための単純なルールは存在しません。各企業におけるPCI準拠へのアプローチは独自のものとなるでしょう。

ただし、一般的に言えば、コンテナとクラウドにおけるPCI準拠は、二つのシンプルな概念に集約されます。まず、KubernetesのRBACツールやクラウドのIAMフレームワークなど、利用可能なツールを活用し、ワークロードを最初から可能な限り安全な状態に保つ必要があります。次に、入念な計画にもかかわらず環境内で発生するセキュリティ問題を検知するため、セキュリティ監視および監査ツールを導入しなければなりません。

デフォルトで安全な環境を構築すると同時に、脆弱性を継続的に監視する措置を講じることで、ネットワークおよびデータセキュリティ、脆弱性管理、アクセス制御、監査に関するPCIの様々な要件への準拠能力を最大限に高めることができます。

FAQs

No items found.

セキュリティ専門家とともに、
クラウドを防御する正しい方法を試してみよう

デモを依頼