PCI DSSにおけるNSCとは何かをまとめてみた
はじめに
こんにちは。AWS事業本部コンサルティング部に所属している和田響です。
PCI DSSについて調べると聞き慣れない単語が多く苦労するのではないでしょうか。
私もその一人です。
この記事ではPCI DSSにおけるキーワードの一つであるNSCについて調べた結果をまとめてみました。「NSCとは何か?」と聞かれてざっくりと回答できるようになることをゴールにできればと思います。
また、「PCI DSSって何?」という方はこちらの記事を併せて読んでみてください!
NSCとは
PCI DSSの要件の中で、ネットワークセキュリティコントロールの略称としてNSCという単語が頻出します。(v4.0では60回登場します。)
ネットワークセキュリティコントロール(NSC)は、PCI DSS v4.0で12個ある要件のうち、主に「要件1:ネットワークセキュリティコントロールの導入と維持」にて定義されている概念です。
以下のPCI DSS v4.0の記載から、ネットワークセキュリティコントロール(NSC)とは「ルールに基づいて複数のネットワーク間の通信を制御すること」を指していると読み取れます。
ファイアウォールやその他のネットワークセキュリティ技術などのネットワークセキュリティコントロール(NSC)は、ネットワークポリシーの実施ポイントであり、通常、事前に定義されたポリシーまたはルールに基づいて、2 つ以上の論理的または物理的なネットワークセグメント(またはサブネット)間のネットワークトラフィックを制御する。
引用:https://listings.pcisecuritystandards.org/documents/PCI-DSS-v4_0-JA.pdf
PCI DSS v4.0 要件1について
PCI DSS v4.0 要件1の構成要素
PCI DSS v4.0の「要件1:ネットワークセキュリティコントロールの導入と維持」は具体的に以下の1.1~1.5の要素で構成されています。
- 1.1 ネットワークセキュリティコントロールを導入・維持するためのプロセスや仕組みが定義され、理解されている。
- 1.1.1 要件 1 で特定されたすべてのセキュリティポリシーと運用手順が、
- 文書化されている。
- 最新の状態に保たれている。
- 使用されている。
- すべての関係者に周知されている。
- 1.1.2 要件 1 の活動を行うための役割と責任が文書化され、割り当てられ、理解されている。
- 1.1.1 要件 1 で特定されたすべてのセキュリティポリシーと運用手順が、
- 1.2 ネットワークセキュリティコントロール(NSC)が設定され、維持されている。
- 1.2.1 NSC ルールセットの構成基準が
- 定義されている。
- 実装されている。
- 維持されている。
- 1.2.2 ネットワーク接続および NSC の構成に対する全ての変更は、要件 6.5.1 で定義された変更管理プロセスに従って承認および管理する。
- 1.2.3 カード会員データ環境(CDE)と他のネットワーク(無線ネットワークを含む)間のすべての接続を示す正確なネットワーク図が維持されている。
- 1.2.4 以下を満たす正確なデータフロー図が整備されている
- システムおよびネットワーク上のすべてのアカウントデータの流れが示されている。
- 環境変化に伴い、必要に応じて更新されている。
- 1.2.5 許可されたすべてのサービス、プロトコル、ポートが特定され、承認され、業務上の必要性が定義されている。
- 1.2.6 使用されていて安全でないと見なされるすべてのサービス、プロトコル、およびポートについて、リスクを軽減するようなセキュリティ機能が定義され、実装されている。
- 1.2.7 NSC の設定は、少なくとも 6 カ月に 1 回は見直しを行い、適切かつ効果的であることを確認する。
- 1.2.8 NSC の構成ファイルが
- 不正なアクセスから保護されている。
- アクティブなネットワーク構成と整合性が保たれている。
- 1.2.1 NSC ルールセットの構成基準が
- 1.3 カード会員データ環境への、およびカード会員データ環境からのネットワークアクセスが制限されている。
- 1.3.1 カード会員データ環境(CDE)への着信トラフィックは、以下のように制限される。
- 必要なトラフィックのみにする。
- それ以外のトラフィックは明確に拒否される。
- 1.3.2 カード会員データ環境(CDE)からの発信トラフィックは、以下のように制限される。
- 必要なトラフィックのみにする。
- それ以外のトラフィックは明確に拒否される。
- 1.3.3 NSC は、無線ネットワークがカード会員データ環境(CDE)であるかどうかに関わらず、すべての無線ネットワークとカード会員データ環境(CDE)の間に以下のように実装する。
- 無線ネットワークからカード会員データ環境(CDE)へのすべての無線トラフィックは、デフォルトで拒否される。
- 許可された業務目的の無線トラフィックのみがカード会員データ環境(CDE)に許可される。
- 1.3.1 カード会員データ環境(CDE)への着信トラフィックは、以下のように制限される。
- 1.4 信頼できるネットワークと信頼できないネットワーク間の接続が制御されている。
- 1.4.1 NSC を、信頼できるネットワークと信頼できないネットワークの間で実装する。
- 1.4.2 信頼できないネットワークから信頼できるネットワークへの着信トラフィックは、以下に制限される。
- 一般に公開されたサービス、プロトコル、ポートを提供することが許可されているシステムコンポーネントとの通信。
- 信頼できるネットワーク内のシステムコンポーネントによって開始された通信に対するステートフルな応答。
- その他のトラフィックはすべて拒否。
- 1.4.3 偽造された送信元 IP アドレスが信頼できるネットワークに侵入するのを検知しブロックするためにスプーフィング対策を実施する。
- 1.4.4 カード会員データを保存するシステムコンポーネントは、信頼できないネットワークから直接アクセス できないようにする。
- 1.4.5 内部 IP アドレスやルーティング情報の開示は、許可された関係者のみに限定される。
- 1.5 信頼されないネットワークとカード会員データ環境(CDE)の両方に接続できるコンピューティングデバイスによるカード会員データ環境(CDE)へのリスクは軽減される。
- 1.5.1 信頼できないネットワーク(インターネットを含む)とカード会員データ環境(CDE)の両方に接続する、事業体や従業員が所有するデバイスを含むあらゆるコンピューティングデバイスに対し、以下のようにセキュリティ管理を実施する。
- 事業体のネットワークに脅威が侵入するのを防ぐために、特定の構成設定を定義する。
- セキュリティ管理がアクティブに実行中である。
- セキュリティ管理は、特に文書化され、管理者から期間を限ってケースバイケースで承認されない限り、コンピューティングデバイスのユーザによって変更できないようになっている。
- 1.5.1 信頼できないネットワーク(インターネットを含む)とカード会員データ環境(CDE)の両方に接続する、事業体や従業員が所有するデバイスを含むあらゆるコンピューティングデバイスに対し、以下のようにセキュリティ管理を実施する。
PCI DSS v4.0 要件1の簡単まとめ
前述の通りPCI DSS v4.0の要件1ではNSCについて細かく定義づけられています。
かなりのボリュームなので、簡潔に以下のようにまとめてみました。
1. セキュリティポリシーが文書化され、関係者全員に周知されている
2. セキュリティルールが明確に定義・実装・維持され、定期的に見直されている
3. カードデータ環境(CDE)へのトラフィックは必要なものだけを許可し、不要なものは拒否する
4. 信頼できないネットワークからのアクセスは制限され、スプーフィング対策が施されている
5. 信頼できないネットワークと接続するデバイスにセキュリティ対策を施し、ユーザーが変更できないようにする
最後に
本記事ではPCI DSSにおけるNSCついて簡単にまとめてみました。
「NSCって何?」という疑問が少しでも解消されれば幸いです。
今後はAWS環境におけるPCI DSS準拠についても発信していきたいと思います。