課題別利用シーン 本日の総務課
本日の総務課
PCI DSSへの対応
2021.11.24
登場人物
- 関さん
- 総務課の情報システム担当。25歳草食系男子。
クレジットカードは年会費無料派。ネット通販や電子マネーの決済に使えればいい。 - 安部課長
- 総務課の課長。若い頃はそこそこバブってた。
クレジットカードはマイルが貯まる派。海外旅行に欠かせない。
<教えて安部課長>PCI DSSへの対応に、ログ管理システムはどうして必要なの?
ここは創業80年の中堅プラスチックメーカー。
管理部門に配属され早●0年、ベテランの安部課長にPCI DSSにおけるログ管理システムの役割について聞きました。
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員のカード情報を安全に守るために、主要な国際ペイメントブランド各社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準よ。
うちのような製造業では馴染みがないですが。
具体的なセキュリティ実装基準が明記されていることから、クレジット業界はもちろん、クレジットカード情報を取り扱う業者とはまったく関係のない企業・組織でも、PCI DSSを企業のセキュリティ基準として採用するケースがあるのよ。
クレジットカード情報を個人情報に当てはめることで、個人情報の取扱いをクレジットカード情報と同じように扱うことになり、高いセキュリティ水準で個人情報管理の体制を構築できるわけですね。
PCI DSSには
【要件10】
ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
という要求事項があるわ。
この要件を満たすために、ログ保管やログ監視が必要なのですね。
ネットワークリソースやカード会員データに対するアクセスログを、システム管理者を含むすべての操作対象において記録し、確実に保護することが必要よ。
課長、日本語がむずかしいです…。
具体的には、
・ログはユーザーIDやイベントタイプ、日付、時刻など詳細にわたり記録する
・ログを改変できないよう措置する
・セキュリティインシデントが発生した際は速やかにログを追跡できるようにする
と言うことよ。
ログはユーザーIDやイベントタイプ、日付、時刻など詳細にわたり記録する
詳細にと言っても、必要のない情報まで逐一記録しているとストレージを圧迫してしまうわ。
必要なログを取捨選択したり、ログを圧縮して保管したりと言った運用にログ管理システムが必要になるわけですね。
ログを改変できないよう措置する
ログ管理システムの機能を使って、保存するときに暗号化することで対応できそうですね。
間違えて削除しないように、保管場所にも気を付けるのよ。
セキュリティインシデント発生時は速やかにログを追跡できるようにする
インシデントの原因分析は、色々なシステムのログを調べることになるから、ログの一元管理ができているとシステム管理者の負担が減りますね。
インシデントが発生しないことが理想だけれどね。
日々のログ監視や、アラートの設定も重要になってきますね。
LogStareは、あらゆるITインフラのログやステータス情報を収集し、可視化することで、リスクや障害をいち早く検知するセキュリティ運用プラットフォームです。
2001年からSOCサービスを提供し続けるセキュアヴェイルグループのノウハウを標準化して実装し、セキュリティ運用の自動化・効率化を支援します。
簡単
エージェントレスでスピード導入
監視対象にはモジュールのインストール等は不要です。既存環境に影響を与えず、スムーズに導入できます。
簡単
レポート・アラートテンプレートを標準搭載
SOC事業者の実績と経験に基づく監視項目をテンプレート化。プロのノウハウを即利用できます。
簡単
日本語・日本時間で安心のサポート
純国産のソフトウェアなので、画面、マニュアル、サポート、すべて日本語。不慣れな方でも安心して運用できます。
