PCIDSS侵入テストについて知っておくべきこと

ビジネスでクレジットカードによる支払いを受け入れる場合は、カード会員データを保護するために、ペイメントカード業界データセキュリティ標準（PCI DSS）に準拠していることを確認する必要があります。 PCI DSSには多くの側面があり、侵入テストは企業にとって最も困難です。

ビジネスがPCIDSSに準拠していることを確認するには、侵入テストを時々実行して、システムとプロセスがカード会員データを安全に保つように適切に構成されているかどうかを確認する必要があります。

PCIDSS侵入テスト

侵入テストには、ブラックボックス、ホワイトボックス、グレーボックスの3つの主要なタイプがあります。

• ブラックボックス浸透評価は、テストが始まる前に情報を提供しません
• ホワイトボックス評価は、テスト中にアプリケーションとネットワークの詳細を提供します
• グレーボックス評価は、ターゲットシステムに関する部分的な情報を提供します

ホワイトボックスとグレーボックスの評価は、カード会員データ環境（CDE）のセキュリティステータスに関する最良の洞察を提供します。 テストはより安価で、必要なリソースも少なく、より合理化されています。

ペネトレーションテストと脆弱性スキャンの違い

侵入テストは脆弱性スキャンと同じではありません。

脆弱性スキャンの目的は、システムを危険にさらす可能性のある弱点を特定、評価、および報告することです。 一般に、企業は四半期ごとに、またはカード会員データ環境に大幅な変更を加えた後に、脆弱性評価を実行する必要があります。 脆弱性スキャンは、多くの場合、自動化されたツールを使用して実行され、その後、手動の検証プロセスが続きます。

一方、侵入テストの目的は、セキュリティ上の欠陥を探すことによってシステムを悪用することです。 ペネトレーションテストは、CDEまたはネットワークシステムのセキュリティを破ろうとする意図的なプロセスです。 このプロセスには時間がかかり、手作業が多く、ネットワークシステムのセキュリティステータスの包括的な概要が提供されます。 侵入テストは、四半期ごとではなく、年ごとに実行する必要があります。

カード会員データ環境（CDE）の範囲

PCI DSSは、カード会員データ環境を、クレジットカードの機密情報の送信、処理、および保存に関係するテクノロジー、人、およびプロセスとして定義しています。 ペネトレーションテストは、カード会員データを処理するすべてのシステムとプロセスを対象とする必要があります。

最初の侵入テストは、組織のパブリックネットワークのアクセス可能性を評価することです。 評価は、制限されたカード会員データにアクセスできるすべてのシステムとプロセスで実行する必要があります。 次に、クレジットカードの機密情報にアクセスできる内部組織システムを評価する必要があります。

ペネトレーションテストは、システムだけでなく、会社のネットワークにアクセスするプロセスも対象にする必要があります。 カード会員データの一部がCDE環境の外部に保存されている場合は、システムをテストして、社内システムが許可されていないユーザーに侵入される可能性のある脆弱性がないことを確認する必要があります。

最後に、カード会員データの保存、送信、または処理に使用される「範囲外」のシステムもテストして、安全であることを確認する必要があります。

重要なシステムの評価

PCI DSSによると、重要なシステムとは、カード会員データを処理するインフラストラクチャ、ハードウェア、およびプロセスを指します。 システムは、クレジットカード情報を保存、送信、および処理できる、一般向けのデバイス、セキュリティ構成、および一般的なハードウェアにすることができます。

侵入テストは、ファイアウォール、eコマースリダイレクトサーバー、認証サービス、侵入検知/防止システムなど、クレジットカード処理システムのさまざまなコンポーネントで実行できます。 これらすべてのテクノロジー資産は、特権ユーザーによってアクセスおよび管理されるものとともに、重要なシステムに分類されます。

アプリケーション層とネットワーク層のテストの違い

最近のクレジットカードインフラストラクチャ攻撃は、アプリケーション層の脆弱性を悪用することに焦点を当てています。

多くの企業は、支払い処理インフラストラクチャの一部として、レガシーアプリケーション、Webアプリケーション、モバイルアプリケーション、オープンソースコンポーネント、および自社開発のソフトウェアを使用しています。 アプリケーション層のテストでは、組織が使用するアプリケーションの脆弱性を利用して、それらのアプリケーションに侵入しようとします。

一方、ネットワーク層のテストでは、組織のネットワークの一部であるデバイスの整合性を測定します。 たとえば、テストには、スイッチ、ルーター、ファイアウォール、およびサーバーの弱点を利用して侵入を試みることが含まれる場合があります。 ネットワーク層に存在する可能性のある一般的な脆弱性には、デバイスの設定ミス、デフォルトのパスワード、パッチが適用されていないシステムなどがあります。

PCIDSSに必要なアプリケーション層およびネットワーク層のテスト

PCI DDSに準拠するには、組織は認証、PA-DSS準拠アプリケーション、Webアプリケーション、および個別のテスト環境をテストする必要があります。

1. i）認証。 ここで、企業は役割と従業員環境へのアクセスを確認する必要があります。 さらに、顧客が自分のデータにのみアクセスできるようにする必要があります。 ペネトレーションテストを実施するときは、カード所有者の顧客管理と雇用主のユーザー管理の両方を評価する必要があります。
2. ii）PA-DDSコンプライアンスアプリケーション。 これらのアプリケーションをテストする必要はありませんが、実装する必要があります。 テストでは、支払いシステムの機能ではなく、公開されているサービスとオペレーティングシステムに焦点を当てる必要があります。

iii）Webアプリケーション。 サードパーティまたは商用アプリケーションを使用する企業の場合、プログラムが適切に実装、保護、および構成されていることを確認することが重要です。

上記は、PCIDSS侵入テストの概要です。

Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。 彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。