Splunk の PCI DSS App を試してみた

Splunk の PCI DSS App を試してみた

PCI DSS 4.0では「監査ログのレビューには、自動化されたメカニズムを使用する。」という項目が追加されました。PCI DSSのセキュリティ基準に準拠していくには、ログ管理およびログ分析が重要です。Splunkを使って成熟したPCI DSS運用を実現するAppを試してみました。
Clock Icon2024.10.17

まず初めに、PCI DSSとはクレジットカード業界のセキュリティ基準で、クレジット会員データを安全に取り扱うことを目的に実施すべき要件がまとめられたものになります。
現在(執筆時点)では2024年6月にv4.0.1になっていて、PCI DSSのセキュリティ要件は同サイト内から必要事項を入力することでダウンロードすることができます。

https://www.pcisecuritystandards.org/lang/ja-ja/

Splunk App for PCI Compliance は、コンプライアンス担当者に、カード所有者データ環境で見つかったコンプライアンス関連の脅威の可視性を提供することができます。
本記事は、Splunk App for PCI Compliance でどんな分析ができるのか、また運用はどうやっていくのかをご紹介していこうと思います。

Splunk App for PCI Compliance

このAppを使って以下のようなことができます。

  • カード所有者データ環境内のエンタープライズ デバイス、システム、アプリケーションからのデータを取得し、監視およびレポート
  • PCI 資産へのアクセス試行の監視
  • PCI ドメイン間のトラフィックの監視
  • PCI 資産で見つかった脆弱性の特定
  • PCI 資産でマルウェアが見つかった場合の管理者への通知
  • コンプライアンスの問題発生時の調査
  • PCI コンプライアンス マネージャーへのコンプライアンス準拠状況のレポートを提供

App内のダッシュボードは以下のようなセクションに分かれています

  • PCI Compliance Posture
    • このダッシュボードを使用して、PCI 環境で見つかった新しい問題、未解決の問題、および解決済みの問題の合計数を確認します
    • 要件番号ごとの問題が発生していないかを確認します
    • ステータスインジケーターの色ごとに、赤(新しい問題)、黄(未解決の問題)、緑(問題なし)になります
    • 問題は、Splunkが提供する相関分析サーチ(correlation search)によって自動分析されます

Screenshot 2024-10-17 at 17.28.20.jpg
Screenshot 2024-10-17 at 17.28.35.jpg

  • インシデントレビューダッシュボード
    • 注目すべきイベントとその現在のステータスが表示されます
    • システムまたはネットワークで発生しているイベントの重大度を把握できます
    • ダッシュボードを使用して、イベントのトリアージ、アナリストへの割り当て、注目すべきイベントの詳細を確認します

Screenshot 2024-10-17 at 21.13.07.jpg

  • 調査
    • 調査を開始、管理、および詳細を追加できます
    • 自分に割り当てられた調査を表示またはフィルタリングしたり、調査を作成したりできます
    • 調査ページを使用して、共同で取り組んでいるすべての調査を表示できます

Screenshot 2024-10-17 at 21.16.10.jpg

  • Scorecards
    • 主要なPCI要件ごとのコンプライアンスの概要を提供します
    • 現在のリアルタイムのコンプライアンスステータスと、過去365日間のコンプライアンスの傾向が表示されます
    • このダッシュボードを使用して、コンプライアンスの問題が発生している場所を確認し、ドリルダウンしてレポートやインシデントを表示できます。
Scorecardsダッシュボード 説明
R1: Network Traffic ファイアウォールとネットワーク トラフィック関連のコンプライアンス問題の概要
R2: Default Configurations 構成関連のコンプライアンス問題の概要
R3: Protect Data At Rest 保存中のカード会員データに関連するコンプライアンス問題の概要
R4: Protect Data In Motion 移動中のカード会員データに関連するコンプライアンス問題の概要
R5: Anti-malware Protection マルウェア対策関連のコンプライアンス問題の概要
R6: Patch Update Protection システムおよびアプリケーションのパッチ関連のコンプライアンス問題の概要
R7: Access Monitoring アクセス関連のコンプライアンス問題の概要
R8: Activity Accountability ユーザーアクティビティに関連するコンプライアンス問題の概要
R10: Cardholder Data Access カード所有者データ アクセス関連のコンプライアンス問題の概要
R11: Vulnerability Testing 脆弱性、IDS、およびファイル整合性に関連するコンプライアンス問題の概要

image-1729168050859.png

  • レポート
    • 関連するコンプライアンスコントロールごとのレポートを表示します
    • 各レポートには、さまざまなデータビューを評価するための特定のパラメーターを指定するフィルターが含まれているため、コンプライアンス監査人の要求に応じてカード所有者データ環境を評価できます

image-1729157494266.png
image-1729157555692.png
image-1729157673367.png

運用方法を確認してみる

最初に、PCI Compliance Posture の画面から検出されている内容を確認していく手順を追ってみます。
R2 - Default Configurations で新規の問題を確認します。

image-1729162892444.png

インシデントレビューがフィルタが入力された状態で開き、過去24時間の要件2の検出内容が確認できます。
詳細を見ていきます。

image-1729163073686.png

PCI DSSデータセキュリティ基準のドキュメントを確認すると、要件2の「すべてのシステムコンポーネントにセキュアな設定を適用する」中に、2.2.2「ベンダのデフォルトアカウントは以下のように管理する。」とあります。

  • ベンダのデフォルトアカウントを使用する場合、デフォルトパスワードは要件8.3.6に従って変更する
  • ベンダのデフォルトアカウントを仕様しない場合、そのアカウントは削除または無効化する

ここで検出されている相関分析は、取り込んだログを横断的に検索して、ベンダのデフォルトアカウントまたはデフォルトパスワードを利用したイベントを検知することができます。

詳細の画面では、相関分析名、アクセス先やスコア、緊急性を確認することができます。
※スコア(リスクスコア)はデバイスやユーザーなどに紐づき、複数の相関分析が検知された時にスコアを加算して、リスクの高い順に注目できる仕組みになっています。
その他、ユーザー起点でログの詳細を検索するリンクや、このイベントの検出時の対処方法を事前に定義しておくことで、対処方法を確認することができます。
デバイス、PCI Controlの番号、ユーザーなど、検出内容に関する様々な情報を確認することができます。

image-1729162509968.png
image-1729162506556.png

さらに、詳細な調査に進んでいこうと思います。
関連する検出されたイベントを選択して、「選択を調査に追加」を押します。

image-1729166668562.png

割り当て先に、調査を担当するユーザーを選択することができます。また、調査を作成するに進みます。

image-1729166732121.png

タイトルを入力して、調査の開始をクリックします。

image-1729166828256.png

調査の画面に遷移し、イベントに関連するアーチファクト(資産やID情報)を選択することができます。
全てを選択して、検索してみると、「Context」、「Endpoint Data」、「Network Data」、「Risk」のタブごとで分析できる内容を一つの画面で確認していくことができます。
アーチファクトを起点にした、リスクスコア、IDSアラート、相関分析の検出、脆弱性情報、OSアップデートの履歴、資産情報を確認して、コンプライアンス違反を起こす原因を様々な角度から相関分析することができます。
(Endpoint Dataのタブであれば、システムの変更やレジストリの変更履歴など、Network Dataのタブであれば、HTTPトラフィックやDNSやネットワークトラフィックなどを可視化して調査できます。)

image-1729163992772.png
Screenshot 2024-10-17 at 20.15.45.jpg
Screenshot 2024-10-17 at 20.15.32.jpg

その他の重要な機能

  • 資産リスト
    • 設定 > データ管理 > アセットアイデンティティ管理から資産リストを登録します
    • LDAPを使用してAsset and Identity Mangerにデータを登録することも可能
    • 資産リストを登録して、資産の優先度、所有者、事業単位など、システム上のデバイスに関する外部情報を定義することで、App内でイベント調査中にこれらの資産情報を利用することができます
    • 資産情報は、その他、資産の地理的な場所、資産の DNS 名と Windows マシン名などを含めることができます

Screenshot 2024-10-17 at 21.41.09.jpg

  • アイデンティティリスト
    • 設定 > データ管理 > アセットアイデンティティ管理からアイデンティティリストを登録します
    • LDAPを使用してAsset and Identity Mangerにデータを登録することも可能
    • アイデンティティリストを登録してユーザー名、名と姓、電子メール アドレスなど、カード所有者データ環境のユーザーに関する情報を提供します
    • 優先度、ウォッチリスト、終了日などの一部のフィールドは、ダッシュボード チャートに使用され、アイデンティティに関連付けられた重要なイベントの緊急度を決定するのに利用されます
    • 「ビジネス ユニット」や「カテゴリ」などのその他のフィールドは、ダッシュボードの上部にあるフィルターで使用されます。アイデンティティ リストからこれらのフィールドを検索し、イベントの調査時に使用できます

Screenshot 2024-10-17 at 21.41.40.jpg

まとめ

今回、PCI DSS の監視、レポート、調査のためのログ分析を行う Splunk の App 「Splunk App for PCI Compliance」を試してみました。
Splunkの強みである、中で相関分析ができる仕組みが組み込まれていて、ログから見るべき環境全体の可視性を得ることができるソリューションだと感じました。
PCI DSSの運用を進める際に、検討を進めてみると良さそうです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.