先日、PCI DSS v4.0 の日本語版が公開されました。全部は確認できていませんが、気になった点をまとめてみる。
https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss
具体的な要件や対策手法は、QSA に確認する必要あるので、あくまで個人的な見解です。
要件 8.3.6
| 定義されたアプローチの要件 | 定義されたアプローチのテスト手順 |
|---|---|
| 要件 8.3.1 を満たすためにパスワード/パスフレーズを認証要素として使用する場合、以下の最小レベルの複雑さを満たすこと。 - 12 文字以上(またはシステムが 12 文字に対応していない場合は、8 文字以上)であること。 - 数字とアルファベットの両方が含まれていること。 |
8.3.6 システム構成設定を調査し、ユーザパスワード/パスフレーズの複雑さパラメータが、この要件で指定されたすべての要素に従って設定されていることを確認する。 |
利用者および運用者ともにパスワード要件が変わりました。多要素認証を利用していない場合は対応を検討する必要がありそうです。
要件 11.4.7
| 定義されたアプローチの要件 | 定義されたアプローチのテスト手順 |
|---|---|
| マルチテナントサービスプロバイダーのみの追加要件:マルチテナント型サービス事業者は、要件 11.4.3 及び 11.4.4 に従い、外部侵入試験について顧客をサポートする。 | 11.4.7 マルチテナント型サービス事業者のみの追加試験手順 :マルチテナント型サービスプロバイダが、要件 11.4.3 および 11.4.4 に従った外部侵入テストを顧客 にサポートしていることを確認するための証拠を調査する。 |
内容から、
- ペンテストの実施証明を提示できれば大丈夫そうですが、どういったレベル感の情報を提示すればよいかは企業次第になると思われます。
- ペンテストの実施証明を提示できない場合は顧客によるペンテストをサポートする必要がありそうです。
要件 11.6.1
| 定義されたアプローチの要件 | 定義されたアプローチのテスト手順 |
|---|---|
| 変更・改ざん検知のメカニズムは、以下のように展開されている。 - 消費者ブラウザが受信した HTTP ヘッダーと決済ページのコンテンツに対する不正な変更 (侵害の指標、変更、追加、および削除を含む) を担当者に警告すること。 - メカニズムは、受信した HTTP ヘッダーと決済ページを評価するように構成される。 - メカニズムの機能は、以下のように実行される。 - 少なくとも 7 日に 1 回 - 定期的に(要件 12.3.1 に規定されたすべての要素に従って実施される事業体のターゲットリスク分析で定義された頻度で) |
11.6.1.a システム設定、監視された決済ページ、および監視活動の結果を調査し、変更および改ざん検知メカニズムが使用されていることを確認する。 11.6.1.b 構成設定を調べて、この要件で指定されたすべての要素に従ってメカニズムが構成されていることを確認する。 11.6.1.c メカニズム機能が事業体定義の頻度で実行される場合、頻度を決定するための事業体のターゲットリスク分析を調べ、リスク分析が要件12.3.1 に規定するすべての要素に従って実行されたことを確認する。 11.6.1.d コンフィギュレーション設定を調べ’担当者にインタビューを行い、メカニズムの機能では次のどちらかが実行されているかを確認する。 - 少なくとも 7 日に 1 回または - この要件のために実施された事業体のターゲットリスク分析で定義された頻度で。 |
下記のような対策が考えられる。サードパーティスクリプトの改ざん検知はピギーバッキングも考慮すると、良いソリューションが思いつかないので教えて欲しいです。
- 決済ページの改ざん
- コードの改ざんを検知する
- サイト巡回などして正常時とは異なる JS などを読み込んでないかチェックする
- CSP でホワイトリスト化する
- サードパーティスクリプトの改ざん
- 提供されている JavaScript の完全性(サブリソース完全性)をチェックする
要件 5.4.1
| 定義されたアプローチの要件 | 定義されたアプローチのテスト手順 |
|---|---|
| フィッシング攻撃を検知し、担当者を保護するためのプロセスや自動化されたメカニズムがある。 | 5.4.1 フィッシング攻撃を検知し、従業員を保護するための管理体制が整っていることを確認するために、実施されたプロセスを観察し、仕組みを検証する。 |
サービス利用者ではなく、サービス提供者側の対策だと思います。サービス利用者側だと啓蒙はできますが、検知対策は厳しい印象です。
要件 A1.1.4
| 定義されたアプローチの要件 | 定義されたアプローチのテスト手順 |
|---|---|
| 顧客環境を分離するための論理的分離コントロールの有効性を、少なくとも半年に一度、ペネトレーションテストにより確認している。 | A1.1.4 直近のペネトレーションテストの結果を調べ、テストにより顧客環境の分離に使用される論理的分離コントロールの有効性が確認されたことを確認する。 |
ペンテストの実施回数は以前まで年1回もしくはシステムの大幅な更改時に必要といった要件でした。今回からマルチテナントサービスプロバイダの場合は半年に1度になったようです。