PCI DSS対応をAWS/Azureでどのように行うのか調べてみた

なにをどうすれば「PCI DSS 要件をサポートしました」と言えるのかを AWS と Azure 利用を想定して参照する資料を調べてみました。
2020.06.10

こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな吉井 亮です。

最近 PCI DSS 要件をサポートするクラウドアーキテクチャを提案する案件に関わりました。
扱うデータがデータだけに細かいことを丁寧に実施していくべきと感じました。
そこで、なにをどうすれば「PCI DSS 要件をサポートしました」と言えるのかを AWS と Azure 利用を想定して参照する資料を調べてみました。

基本的な考え方

AWS にしても Azure にしてもセキュリティの責任分界が存在します。
その分界点を理解し自社がすべきことを正確に理解することが大切です。

クラウド事業者の責任範囲と定められている部分については、Attestation of Compliance (AOC) に依存することが可能です。
QSA がクラウド事業者のデータセンターを確認する必要はありません。

AWS 責任共有モデル
Azure クラウドにおける共同責任

責任分界

具体的な分界点はどこにあるでしょうか。
AWS も Azure も情報を公開しています。

AWS Artifact

マネジメントコンソールへログインし、Artifact から AOC をダウンロードください。
ダウンロードした PDF のなかに AWS Responsiblity Summary_121319.xlsx と AWS Responsiblity Summary_121319.pdf が埋め込まれています。そちらを参照します。(執筆日時点でのファイル名)
AWS Artifact を開始する

重要
AWS が提供する AOC は、クレジットカードを取り扱う事業者が契約した AWS アカウントからのダウンロードをお願いします。
クラスメソッドのような請求代行を行っている会社やアプリケーション開発会社が提供する AWS アカウントをお使いの場合は、担当者へ取り扱いをご確認くださるようお願いします。

Azure

Azure の場合は以下からエクセルをダウンロードください。
Azure PCI DSS 3.2.1 責任マトリックス

AWS

先日拝聴しました Fin-JAWS でとても参考になりました。
参考にしてみてください。
【オンライン開催!】Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯
Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯レポート #finjaws #jawsug

設計

以下のホワイトペーパーに詳しいです。

PCI DSS 適用範囲の識別フローが詳細に記載されており、このフローに従うことで抜け漏れない適用範囲を決定することが可能になります。
適用範囲の決定は AWS アカウント戦略にも関わってくるところなので事前に把握しておくと良い設計ができると思います。

PCI DSS スコーピングおよび AWS 上でのセグメンテーションのためのアーキテクチャの設計の日本語版のホワイトペーパー

要件とサービスのマッピング

PCI DSS 要件と AWS サービスのマッピングは以下からダウンロード可能な「セキュリティコントロールマトリクス」を参照します。
AWS での PCI DSS コンプライアンスの標準化アーキテクチャ

要件に対応するために活用する AWS サービスが記述されています。

セキュリティ自動チェック

AWS 環境の PCI DSS 対応状態を自動的にチェックするためのツールが提供されています。
ツールでのチェックが合格したから QSA が OK を出すわけではないと思いますが、
継続的に状態をチェックしていくことで、高いセキュリティを保つこと、準拠状態の維持が可能になります。

Azure

設計

以下のドキュメントでほぼ網羅していると思います。
アーキテクチャ図とコンポーネントが説明されており非常にわかりやすい内容です。

ガイダンスと推奨事項を読んでいけば PCI DSS 準拠のアーキテクチャが構築できると思います。

PCI アプリのセキュリティで保護されたインフラストラクチャを開発する

コンプライアンスの評価

ブループリントのドキュメントにまとまっています。
PCI DSS のためのサンプルが用意されており、それを利用することでコンプライアンス評価の助けになります。

PCI-DSS v3.2.1 ブループリント サンプルのコントロール マッピング

まとめ

PCI DSS 対応はクラウドサービスを使用したほうが事業者の管理範囲は減ります。
各クラウドベンダーは PCI DSS の対応に関する情報を豊富に提供しており、オンプレミスから移行する場合でもそれほど悩まなくて済むはずです。

事業者側、構築ベンダ-がすべきことは、クラウドサービスを存分に活かして PCI DSS 要件を漏らさず満たすことです。
そのための参照資料になればよいと思い本エントリは書きました。

本エントリは準備段階の話になりました。実装まで興味があるかたは弊社 中山のエントリを参考して頂ければ幸いです。
【資料公開】PCI DSSの認証認可に関する要件とそのための実装を学ぶ勉強会をやりました(インフラ編)

参考

PCI DSS

PCI Security Standards Council
日本カード情報セキュリティ協議会 PCI DSSとは

AWS

https://aws.amazon.com/jp/blogs/news/new-whitepaper-available-architecting-for-pci-dss-segmentation-and-scoping-on-aws/
PCI DSS スコーピングおよび AWS 上でのセグメンテーションのためのアーキテクチャの設計の日本語版のホワイトペーパー
PCI DSS - Amazon Web Services
AWS での PCI DSS コンプライアンスの標準化アーキテクチャ

Azure

Payment Card Industry (PCI) Data Security Standard (DSS)
Azure PCI DSS 3.2.1 責任マトリックス
Microsoft セキュリティ センターのコンプライアンス
新しい PCI DSS 向け Azure Blueprints でコンプライアンス対応がさらに容易に
PCI-DSS v3.2.1 のブループリント サンプルの概要
PCI アプリのセキュリティで保護されたインフラストラクチャを開発する

以上、吉井 亮 がお届けしました。