| 章 | PCI 1.2要件 | 該当するOracleの機能 |
|---|
| |
| セキュアなネットワークの構築と維持 |
|---|
| 1: | カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること |
|---|
| |
| 2: | システム・パスワードやその他のセキュリティ・パラメータに、ベンダー提供のデフォルト値を使用しないこと |
|---|
| (社内外の)悪意のある人々は多くの場合、ベンダのデフォルトパスワードおよびベンダのその他のデフォルト設定を使用して、システムを脅かします。これらのパスワードと設定はハッカーの間でよく知られており、公開情報を通じて容易に特定できます。 |
| 2.1: | システムをネットワーク上に導入する前に、ベンダ提供のデフォルト値を必ず変更する(パスワード、簡易ネットワーク管理プロトコル(SNMP)コミュニティ文字列の変更、不必要なアカウントの削除など)。 | Oracle製品のインストール中に、デフォルト・アカウントはロックされ、デフォルト・パスワードは失効します。 管理者アカウントのパスワードは、インストール中に入力するようプロンプトが表示されます。 |
| 2.2: | すべてのシステムコンポーネントについて、構成基準を作成する。この基準は、すべての既知のセキュリティ脆弱性をカバーし、また業界で認知されたシステム強化基準と一致している必要がある。 | Oracle Enterprise Manager Configuration Packには、Center for Internet Securityベンチマークが標準で同梱されています。これにより、Configuration Packを持つ顧客は、エンタープライズ・データベースをスキャンしてコンプライアンスを確認できます。 |
| | 2.2.3: | システムの誤用を防止するためにシステムセキュリティパラメータを構成する。 | Oracle Databaseのセキュア設定ガイドラインに従います。 Oracle Enterprise Manager Configuration Packを使用して監視を行います。
Oracle Audit Vaultは、あらゆるOracleデータベースから取得した監査データを統合します。
Oracle Audit Vaultは、監査データに関するレポートとアラートを生成します。
Oracle Database Vaultの職務の分離機能により、Oracle Databaseにおける未承認の管理アクションが防止されます。 |
| 2.2.4: | スクリプト、ドライバ、機能、サブシステム、ファイルシステム、不要な Web サーバなど、不要な機能をすべて削除する。 | Oracle Databaseのカスタム・インストールでは、特定のコンポーネントのインストールや削除が可能です。 |
| 2.3: | すべてのコンソール以外の管理アクセスを暗号化する。Web ベースの管理やその他のコンソール以外の管理アクセスについては、SSH、VPN、または SSL/TLS などのテクノロジを使用する。 | Oracle Advanced Securityが提供するネットワーク暗号化(SSL/TLSおよびネイティブ)では、中間層とデータベース間、クライアントとデータベース間、複数のデータベース間でのSQL*Net経由の通信がすべて暗号化されます。 さらに、Enterprise Managerなどの管理ツールでは、管理用通信を保護するために、使用制限付きのSSLライセンスが提供されています。 |
| 2.4: | 共有ホスティングプロバイダは、各事業体のホスト環境およびカード会員データを保護する必要がある。 「付録 A: 共有ホスティングプロバイダ向けの PCI DSS 追加要件」に詳しく説明されている要件を満たす必要がある。 | 付録Aを参照してください。 |
| |
| カード会員データの保護 |
|---|
| 3: | 保存されたカード会員データを安全に保護すること |
|---|
暗号化、トランケーション、マスキング、ハッシュなどの保護方式は、カード会員データ保護のための重要な要素です。侵入者が他のネットワークセキュリティコントロールを回避し、暗号化されたデータにアクセスできても、正しい暗号化キーがなければ、そのデータを読み取り、使用することはできません。保存したデータを保護するための効果的な別の方法として考えられるのは、リスクを軽減する方法です。たとえば、リスクを最小限にする方法として、カード会員データが絶対的に必要でない限り保存しない、完全な PAN が不要ならカード会員データを切り捨てる、暗号化されていない電子メールで PAN を送信しない、などがあります。
「強力な暗号化技術」および他の PCI DSS 用語については、「PCI DSS Glossary of Terms, Abbreviations, and Acronyms」 を参照してください。 |
| 3.3: | 表示する際に PAN をマスクする(最大でも最初の 6 桁と最後の 4 桁のみを表示)。
注: - 従業員およびその他の関係者が、業務上の合法的なニーズにより PAN全体を見る必要がある場合、この要件は適用されない。
- カード会員データの表示に関するこれより厳しい要件(POS レシートなど)がある場合は、そちらに置き換えられる。
| アプリケーション固有。アプリケーションにおいて、Virtual Private Database(VPD)の列関連ポリシーを利用して、カード番号全体を非表示にできます。 カード番号が複数のフィールドに分かれて保管されている場合、VPDを使用して、フィールドごとに該当部分を非表示にすることもできます。
Oracle Label Securityのラベル・ファクタが提供するセキュリティ属性から、カード番号にアクセスできるユーザーを特定できます。
Oracle Database Vaultのレルムを使用すると、特権ユーザーがアプリケーション・データにアクセスすることを回避できます。 |
| 3.4: | 以下の手法を使用して、すべての保存場所で PAN を少なくとも読み取り不能にする(ポータブルデジタルメディア、バックアップメディア、ログを含む)。 - 強力な暗号化技術をベースにしたワンウェイハッシュ
- トランケーション
- インデックストークンとパッド(パッドは安全に保存する必要がある)
- 関連するキー管理プロセスおよび手順を伴う、強力な暗号化
アカウント情報のうち、少なくとも PANは読み取り不能にする必要がある。
注: - 何らかの理由で PAN を読み取り不能にできない場合は、「付録 B:代替コントロール」を参照。
- 強力な暗号化技術は、「PCI DSS Glossary of Terms,Abbreviations, and Acronyms」で定義されています。
| Oracle Advanced SecurityのTDE列暗号化およびTDE表領域暗号化を使用すると、ストレージ・メディア上のカード番号を透過的に暗号化できます。
Oracle Recovery Manager(Oracle RMAN)は、ディスクへのバックアップ時にディスク・バックアップ全体を暗号化します。
Oracle Data Pumpでは、ソース・データベースのマスター暗号化キーまたは受信者と安全に共有できるパスフレーズのいずれかを使用して、データベースのエクスポート・ファイル全体を暗号化できます。
Oracle Secure Backupは、テープ・ストレージに直接バックアップおよび暗号化するソリューションを提供しています。
サポートされている暗号化アルゴリズムは、128ビット、192ビット、256ビットのキー長を持つAESと3DESです。
Oracle Advanced SecurityのTransparent Data Encryptionには、キー管理機能が組み込まれています。 暗号化されたデータは、データファイル、UNDOログ、およびREDOログのどこにあっても、暗号化されたままの状態が維持されます。 SHA-1およびMD5が、整合性を維持するために使用されています。 |
| 3.5: | カード会員データの暗号化に使用される暗号化キーを、漏洩と誤使用から保護する。 | Oracle Advanced Security Transparent Data Encryption(TDE)の表キーおよび表領域キーは、別のマスター・キーを使用して暗号化された状態でデータベースに保管されます。このマスター・キーは、オペレーティング・システム上のPKCS#12ファイルであるOracle Wallet、またはハードウェア・セキュリティ・モジュール(HSM)に保存されています。
Oracle Walletは、ウォレット・パスワードを使用して暗号化されています。データベース内からウォレットを開くには、'alter system'権限が必要です。
Oracle Database Vaultのコマンド・ルールを利用すると、さらに、誰が、いつ、どこから、'alter system'コマンドを実行できるかを制限できます。 |
| | 3.5.1: | 暗号化キーへのアクセスを、必要最小限の管理者に制限する。 | Oracleを使用する場合、個人がマスター暗号化キーにアクセスする必要はありません。 DBAやデータベース・セキュリティ管理者(DSA)などの指定された担当者は、ウォレット・パスワードまたはHSMの認証文字列を把握しており、'alter system'権限を持っていれば、ウォレットまたはHSMを開くことができます。そうすることで、データベースからマスター暗号化キーを使用できます。
Oracle Database Vaultのコマンド・ルールを実装すると、誰が、いつ、どこから、'alter system'コマンドを実行できるかを制限できます。 |
| 3.5.2: | 暗号化キーの保存場所と形式を最小限にし、安全に保存する。 | マスター暗号化キーは、各データベースに1つだけ存在します。 このキーを一元的に生成および管理するため、Oracle WalletまたはHSMデバイスに保管します。 |
| 3.6: | 3.6.1: | 強力な暗号化キーの生成 | Oracle Advanced SecurityのTransparent Data Encryptionは、FIPS認定の疑似RNG(ランダム番号ジェネレータ)を使用しており、証明書またはPKIキー・ペアを使用して、マスター・キーを生成できます。 ハードウェア・セキュリティ・モジュール(HSM)を使用している場合、生成、保管、Re-keying、破棄を含むすべてのキー管理は、HSMによって行われます。 |
| 3.6.2: | 安全な暗号化キーの配布 | (顧客の内部ポリシー)。
分散環境(Oracle Real Application Clustersを含む)では、マスター暗号化キーを含むウォレットをすべてのRACインスタンスにコピーし、開いておく必要があります。 |
| 3.6.3: | 安全な暗号化キーの保存 | Oracle Advanced Security Transparent Data Encryption(TDE)の表キーおよび表領域キーは、Oracle WalletまたはHSMデバイスに保存されたマスター・キーを使用して暗号化された状態で、データベースに保管されます。 |
| 3.6.4: | 定期的な暗号化キーの変更 - 関連するアプリケーションで必要とされる場合、自動的に行われることが望ましい(再キー入力など)。
- 少なくとも年 1 回
| Oracle Advanced SecurityのTransparent Data Encryption(TDE)列暗号化を利用すると、マスター暗号化キーや表キーのRe-keyingを単独で実行できます。TDEの表領域暗号化を使用する場合、マスター暗号化キーおよび表領域キーに対してRe-keyingを実行することはできません。回避策として、暗号化された表領域から新たに生成した表領域にデータを移動する方法があります。 |
| 3.6.5: | 古いキーまたは危険にさらされた疑いのあるキーの破棄または取替 | バックアップ要件やリカバリ要件があるため、マスター・キーはウォレットまたはHSMから削除すべきではありません。 |
| 3.6.6: | 暗号化キーの知識分割と二重管理 | Oracle TDEを使用している場合、ウォレットまたはHSMに保存されたマスター暗号化キーへ'アクセス'する必要があるのはデータベースだけであるため、キー情報を分割することはできません。 その代わり、ウォレット・パスワードは、何人で分割することもできます。 Oracle Database Vaultを使用すると、'alter system'コマンドを使用してTDEウォレットを開く際、2名のログインを必要条件とすることができます。 |
| 3.6.7: | 暗号化キーの不正置換の防止 | Oracle Advanced SecurityのTransparent Data Encryptionを使用して実施できます。 |
| |
| 4: | 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること |
|---|
| ネットワークには悪意のある人々が容易にアクセスできるため、機密情報をネットワーク経由で伝送する場合は暗号化する必要があります。誤って構成されたワイヤレスネットワーク、および従来の暗号化や認証プロトコルの脆弱性は、こうした脆弱性につけこんでカード会員データ環境への特権アクセスを取得する、悪意のある人々の標的となります。 |
| 4.1: | オープンな公共ネットワーク経由で機密性の高いカード会員データを伝送する場合、強力な暗号化と SSL/TLS またはIPSEC などのセキュリティプロトコルを使用する。
PCI DSS では、オープンな公共ネットワークの例として以下が挙げられる。 - インターネット
- ワイヤレステクノロジ
- Global System for Mobile communications (GSM)
- General Packet Radio Service(GPRS)
| Oracle DatabaseとOracle Fusion Middlewareのいずれも、SSL/TLSを使用したネットワーク通信の暗号化をサポートしています。
Oracle Databaseでは、Oracle Advanced SecurityによってSSL/TLSサポートが提供されています。 |
| |
| 脆弱性を管理するプログラムの整備 |
|---|
| 6. | 安全性の高いシステムとアプリケーションを開発し、保守すること |
|---|
悪意のある人々は、セキュリティの脆弱性を利用して、システムへの特権アクセスを取得します。このような脆弱性の多くは、ベンダが提供するセキュリティパッチによって修正されます。システムを管理する事業体はこうしたパッチをインストールする必要があります。すべての重要なシステムは、最新リリースの適切なソフトウェアパッチを適用することにより、悪意のある人々および不正なソフトウェアによるカード会員データの不正使用および侵害から保護される必要があります。
注: 適切なソフトウェアパッチとは、既存のセキュリティ構成と競合しないことが十分に評価およびテストされたパッチを指します。自社開発アプリケーションの場合、標準のシステム開発プロセスと安全なコーディング技術を使用することで、多くの脆弱性を回避できます。 |
| 6.1: | すべてのシステムコンポーネントとソフトウェアに、ベンダ提供の最新セキュリティパッチを適用する。重要なセキュリティパッチは、リリース後 1 カ月以内にインストールする。
注: 組織は、パッチインストールの優先順位を付けるために、リスクに基づくアプローチの適用を検討できる。たとえば、重要なインフラストラクチャ(一般に公開されているデバイス、システム、データベースなど)に重要性の低い内部デバイスよりも高い優先順位を付けることで、優先順位の高いシステムおよびデバイスは 1 カ月以内に対処し、重要性の低いシステムおよびデバイスは 3 カ月以内に対処するようにする。 | Oracle Enterprise Manager Grid Controlを使用して自動化できます。 |
| 6.2: | 新たに発見された脆弱性を特定するためのプロセスを確立する(インターネット上で無料で入手可能な警告サービスに加入するなど)。新たな脆弱性の問題に対処するために、PCI DSS 要件 2.2 で要求されているとおりに構成基準を更新する。 | (顧客の内部ポリシー)
OTNの自動配信を登録します。Electronic Subscriptionsセクションの「 Oracle Security Alerts」のチェック・ボックスを選択して、「 Continue」をクリックして続行します。 |
| 6.3: | 6.3.4: | テストまたは開発に本番環境データ(実際の PAN)を使用しない | Oracle Enterprise Manager Data Maskingを利用すると、マスキングを行えます。 |
| 6.4: | システムコンポーネントへのすべての変更において、変更管理手順に従う。手順には以下を含める必要がある。 | Oracle Enterprise Managerの変更管理機能を利用すると、変更管理手順を自動化できます。 また、Oracle BPEL Process Managerを使用して、変更管理や一般的なセキュリティ手順のプロセス管理を実行できます。 |
| 6.5: | 6.5.2: | インジェクションの不具合(特にSQL インジェクション)LDAP と Xpath のインジェクションの不具合、その他のインジェクションの不具合も考慮する。 | ' dbms_assert'を使用して、対応できます。 |
| 6.5.8: | 安全でない暗号化保存 | TDEマスター暗号化キーは、Oracle Walletの暗号化ファイルに保存されています。このファイルは、PKCS#5標準に基づき、パスフレーズ(ウォレットの'パスワード')を使用して暗号化されています。また、TDEマスター暗号化キーをハードウェア・セキュリティ・モジュール(HSM)に保存すると、セキュリティがさらに強化されるとともに、FISP 140-2のレベル2または3認定を含む完全なキー管理が提供されます。 |
| 6.5.9: | 安全でない通信 | Oracle Advanced Security Network Encryptionを利用すると、データベース構成ファイルに数行追加するだけで、SSL/TLSまたはネイティブ暗号化を使用して、データベースとの通信を暗号化できます。 |
| |
| 強力なアクセス制御手法の導入 |
|---|
| 7. | カード会員データへのアクセスを業務上の必要範囲内に制限すること |
|---|
権限を与えられた担当者のみが重要なデータにアクセスできるように、システムおよびプロセスでは、職責に応じて必要な範囲にアクセスを制限する必要があります。
「必要な範囲」とは、アクセス権が職務の実行に必要な最小限のデータ量および特権にのみ付与されることを示します。 |
| 7.1: | システムコンポーネントとカード会員データへのアクセスを、業務上必要な人に限定する。アクセス制限には以下を含める必要がある。 | |
| | 7.1.1: | 特権ユーザー ID に関するアクセス権が、職務の実行に必要な最小限の特権に制限されていること | Oracle Database Vaultのレルムを利用すると、特権ユーザーやDBAによるアプリケーション・データおよびカード会員データへのアクセスを制限できます。
Oracle Database Vaultのファクタとコマンド・ルールは、アプリケーション、データ、およびデータベースへのアクセスに対する厳密な制御を実現します。
Oracle Database Vaultの職務の分離機能により、Oracle Databaseで不正な管理アクションが実行されることを防止できます。
Oracle Label Securityのラベル・ファクタは、Need to Knowの範囲を決定するための追加のセキュリティ属性を提供します。
Oracle Virtual Private Databaseは、Need to Knowの原則に基づいた完全なマスキング機能を提供します。
Oracle Databaseのオブジェクト権限とデータベース・ロールにより、基本的なセキュリティが提供されます。
Oracle Identity Managementは、コンピューティング・リソースへのエンタープライズ・ユーザー・プロビジョニングを提供します。 |
| 7.1.2: | 特権の付与は、個人の職種と職能に基づくこと |
| 7.2: | 複数のユーザーを持つシステムコンポーネントに対して、ユーザーの必要な範囲に基づいてアクセスを制限し、特に許可されていない限り「すべてを拒否」に設定した、アクセス制御システムを確立する。
アクセス制御システムには以下を含める必要がある。 | Oracle Database Vaultのレルムを利用すると、特権ユーザーやDBAによるアプリケーション・データおよびカード会員データへのアクセスを制限できます。
Oracle Database Vaultのファクタとコマンド・ルールは、アプリケーション、データ、およびデータベースへのアクセスに対する厳密な制御を実現します。
Oracle Database Vaultの職務の分離機能により、Oracle Databaseで不正な管理アクションが実行されることを防止できます。
Oracle Label Securityのラベル・ファクタは、Need to Knowの範囲を決定するための追加のセキュリティ属性を提供します。
Oracle Virtual Private Databaseは、Need to Knowの原則に基づいた完全なマスキング機能を提供します。
Oracle Databaseのオブジェクト権限とデータベース・ロールにより、基本的なセキュリティが提供されます。
Oracle Identity Managementは、エンタープライズ・ユーザー・プロビジョニングを提供します。 |
| |
| 8. | コンピュータにアクセスするユーザーごとに個別のIDを割り当てること |
|---|
| アクセスが可能な各ユーザに一意の ID を割り当てて、各ユーザが自身の行動に独自に説明責任を負うようにします。このような説明責任に対応している場合、重要なデータおよびシステムに対するアクションは既知の承認されたユーザによって実行され、そのユーザを追跡することが可能です。 |
| 8.1: | システムコンポーネントまたはカード会員データへのアクセスを許可する前に、すべてのユーザに一意の ID を割り当てる。 | Oracle Databaseの認証機能は、専用のユーザー・アカウント、共有スキーマ、およびプロキシ認証に対して、一意のユーザー名認証をサポートします。
Oracle Identity Managementは、エンタープライズ・ユーザー・プロビジョニングを提供します。 |
| 8.2: | 一意の ID の割り当てに加え、以下の方法の少なくとも 1 つを使用してすべてのユーザを認証する。 - パスワードまたはパスフレーズ
- 2 因子認証(トークンデバイス、スマートカード、生体認証、公開鍵など)
| Oracle Advanced Securityオプションは、Kerberos、PKI、およびRADIUSを利用した強力な認証機能を提供します。 |
| 8.3: | 従業員、管理者、および第三者によるネットワークへのリモートアクセス(ネットワーク外部からのネットワークレベルアクセス)には 2 因子認証を組み込む。RADIUS(Remote Authentication and Dial-InService)、TACACS(Terminal Access Controller Acceess Control System)とトークン、または VPN(SSL/TLS または IPSECベース)と個々の証明書などのテクノロジを使用する。 | Oracle Advanced Securityオプションは、Kerberos、PKI、およびRADIUSを利用した強力な認証機能を提供します。 |
| 8.4: | (「PCI DSS Glossary of Terms,Abbreviations, and Acronyms」で定義されている)強力な暗号化を使用して、すべてのシステムコンポーネントでの伝送および保存中にすべてのパスワードを読み取り不能にする。 | Oracle Databaseでは、送受信中であっても、データベースに保管中であっても、データベース・ユーザー・パスワードは暗号化されます。 |
| 8.5: | すべてのシステムコンポーネントで、以下のように、消費者以外のユーザおよび管理者に対して適切なユーザ認証とパスワード管理を確実に行う。 | Oracle Identity Management |
| | 8.5.1: | ユーザ ID、資格情報、およびその他の識別子オブジェクトの追加、削除、変更を管理する。 | Oracle管理アカウントであるSYSDBAへのアクセスを制限します。
Oracle Database Vaultを配置して、職務の分離を強化します。
Oracle Identity Managementを配置して、エンタープライズ・ユーザー・プロビジョニングを実施します。 |
| 8.5.2: | パスワードのリセットを実行する前にユーザ ID を確認する。 | Oracle Databaseの認証機能
Oracle Database Vaultの職務の分離 |
| 8.5.3: | 初期パスワードをユーザごとに一意の値に設定し、初回使用後に直ちに変更する。 | パスワードが失効したOracleデータベース・アカウントを作成します。 |
| 8.5.4: | 契約終了したユーザのアクセスは直ちに取り消す。 | Oracle Identity ManagementおよびOracle Database Enterprise User Security |
| 8.5.5: | 少なくとも 90 日ごとに非アクティブのユーザアカウントを削除/無効化する。 | Oracle Identity ManagementおよびOracle Database Enterprise User Security |
| 8.5.6: | リモート保守のためにベンダが使用するアカウントは、必要な期間のみ有効にする。 | Oracle Enterprise Managerのアカウント管理
Oracle Database Vaultのファクタとコマンド・ルール
Oracle Database Vaultのレルムによる、アプリケーション・データへのアクセス防止
Oracle Database Vaultの職務の分離 |
| 8.5.8: | グループ、共有、または汎用のアカウントおよびパスワードを使用しない。 | (顧客の内部ポリシー)、Oracle Databaseのエンタープライズ・ユーザー・セキュリティ、Oracle Databaseのプロキシ認証 |
| 8.5.9: | 少なくとも 90 日ごとにユーザパスワードを変更する。 | Oracle Databaseのプロファイル |
| 8.5.10: | パスワードに 7 文字以上が含まれることを要求する。 | Oracle Databaseのパスワード複雑性チェック( 強力なパスワードのための推奨事項について確認してください。) |
| 8.5.11: | 数字と英文字の両方を含むパスワードを使用する。 |
| 8.5.12: | ユーザが新しいパスワードを送信する際、最後に使用した 4 つのパスワードと同じものを使用できないようにする。 | Oracle Databaseのプロファイル |
| 8.5.13: | 最大 6 回の試行後にユーザ IDをロックアウトして、アクセス試行の繰り返しを制限する。 |
| 8.5.14: | ロックアウトの期間を、最小 30分または管理者がユーザ ID を有効にするまで、に設定する。 |
| 8.5.15: | セッションが 15 分を超えてアイドル状態の場合、端末を再有効化するためにユーザにパスワードの再入力を要求する。 |
| 8.5.16: | カード会員データを含むデータベースへのすべてのアクセスを認証する。これには、アプリケーション、管理者、およびその他のすべてのユーザによるアクセスが含まれる。 | Oracle Databaseの認証機能
Oracle Advanced SecurityによるKerberos、PKI、およびRADIUSのサポート |
| |
| 9. | カード会員データへの物理的アクセスを制限すること |
|---|
| |
| 定期的なネットワークの監視およびテスト |
|---|
| 10. | ネットワーク・リソースおよびカード会員データへのすべてのアクセスを追跡し、監視すること |
|---|
| ログ記録メカニズムおよびユーザの行動を追跡する機能は、データへの侵害を防ぐ、検出する、またはその影響を最小限に抑えるうえで不可欠です。すべての環境でログが存在することにより、何か不具合が発生した場合に徹底的な追跡、警告、および分析が可能になります。侵害の原因の特定は、システムアクティビティログなしでは非常に困難です。 |
| 10.1: | システムコンポーネントへのすべてのアクセス(特に、ルートなどの管理権限を使用して行われたアクセス)を各ユーザにリンクするプロセスを確立する。 | (顧客の内部ポリシー)。個別のDBAアカウントをデータベースに作成。 プロキシ認証を使用すると、DBA権限を持つアカウントの数を制限しながら監査を実現できます。
Oracle Database Vaultの職務の分離機能により、データベース管理をより厳密に制御できます。
Oracle Audit Vaultの監査データ統合により、エンタープライズ・レポートとエンタープライズ・アラートが提供されます。
Oracle Identity Managementは、エンタープライズ・ユーザー・プロビジョニングを提供します。 |
| 10.2: | 以下のイベントを再現するためにすべてのシステムコンポーネントの自動監査証跡を実装する。 | (個別の対応については以下を参照) |
| | 10.2.1: | カード会員データへのすべての個人アクセス | カード会員データに対するOracle Databaseの監査機能とOracle Databaseのファイングレイン監査(FGA)、Oracle Audit Vaultのレポートおよびアラート |
| 10.2.2: | ルート権限または管理権限を持つ個人によって行われたすべてのアクション | データベースに個別のDBAアカウントを作成します。 プロキシ認証を使用すると、DBA権限を持つアカウントの数を制限しながら監査を実現できます。
Oracle Database Vaultのレルムと職務の分離機能により、データベース管理をより厳格に制御できます。
Oracle Database Vaultのレルム・レポート。
Oracle Audit Vaultの監査データ統合により、エンタープライズ・レポートとエンタープライズ・アラートが提供されます。
Oracle Identity Managementは、エンタープライズ・ユーザー・プロビジョニングを提供します。 |
| 10.2.3: | すべての監査証跡へのアクセス | OSの監査証跡は、OSレベルで保護する必要があります。Oracle(Oracle DatabaseまたはOracle Audit Vault)により生成および保管される監査証跡へのアクセスは、Oracle Database VaultおよびOracle Advanced Securityによって保護されます(送信中および保管中の暗号化)。 |
| 10.2.4: | 無効な論理アクセス試行 | Oracle Audit Vaultは、Oracle Database Vaultによって保護されます。 |
| 10.2.5: | 識別および認証メカニズムの使用 | Oracle Databaseの認証機能
Oracle Advanced Security
Kerberos、PKI、RADIUSを使用した認証
Oracle Identity Management Access Management Suite |
| 10.2.7: | システムレベルオブジェクトの作成および削除 | Oracle Databaseの監査機能 |
| 10.3: | イベントごとに、すべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録する。 | |
| | 10.3.1: | ユーザ識別 | Oracle Databaseの監査機能
Oracle Audit Vaultの監査データ統合、レポート、アラート、および保護
Oracleのクライアント識別子による、単一接続でのID伝播 |
| 10.3.2: | イベントの種類 |
| 10.3.3: | 日付と時刻 |
| 10.3.4: | 成功または失敗を示す情報 |
| 10.3.5: | イベントの発生元 |
| 10.3.6: | 影響を受けるデータ、システムコンポーネント、またはリソースの ID または名前 |
| 10.5: | 変更できないよう、監査証跡をセキュリティで保護する。 | Oracle Audit Vaultの監査データ統合により、監査データは送信中も保管中も保護されます。 |
| | 10.5.1: | 監査証跡の表示を、仕事関連のニーズを持つ人物のみに制限する。 | Oracle Audit Vaultの職務の分離機能により、監査データへのアクセスが制限されます。 |
| 10.5.2: | 監査証跡ファイルを不正な変更から保護する。 | Oracle Audit Vaultの職務の分離機能は、管理者(DBA)による監査データへのアクセスと変更を防止します。 |
| 10.5.3: | 監査証跡ファイルを、変更が困難な一元管理ログサーバまたは媒体に即座にバックアップする。 | Oracle Audit Vaultの監査データ統合は、スケーラブルでセキュアな監査ウェアハウスを提供します。 |
| 10.5.4: | 外部に公開されているテクノロジのログを内部 LAN 上のログサーバに書き込む。 | Oracle Audit Vaultは、今後のリリースで、顧客がカスタム監査コレクタ(例:ネットワーク・ログ、OSログ)を開発できる機能を提供する予定です。 |
| 10.5.5: | ログに対してファイル整合性監視または変更検出ソフトウェアを使用して、既存のログデータを変更すると警告が生成されるようにする(ただし、新しいデータの追加は警告を発生させない)。 | Oracle Audit Vaultの監査データ統合は、SHA-1およびMD5を使用したデータの整合性によって送信中の監査データを保護します。
Oracle Audit Vaultの職務の分離機能は、管理者(DBA)による監査データへのアクセスと変更を防止します。 |
| 10.6: | 少なくとも日に一度、すべてのシステムコンポーネントのログを確認する。ログの確認には、侵入検知システム(IDS)や認証、認可、アカウンティングプロトコル(AAA)サーバ(RADIUS など)のようなセキュリティ機能を実行するサーバを含める必要がある。
注: 要件 10.6 に準拠するために、ログの収集、解析、および警告ツールを使用することができます。 | Oracle Audit Vaultは、監査データを監視するために、標準提供のレポート、カスタマイズ可能なアラート、アラート・ダッシュボードを提供します。
カスタマイズしたレポートは、Oracle Application Express、Oracle Business Intelligence Publisher、またはサード・パーティ製のツールを使用して生成できます。 Oracle Audit Vaultでは、ウェアハウス・スキーマが公開されています。 |
| 10.7: | 監査証跡の履歴を少なくとも 1 年間保持する。少なくとも 3 カ月はすぐに分析できる状態にしておく(オンライン、アーカイブ、バックアップから復元可能など)。 | Oracle Audit Vaultが提供するスケーラブルでセキュアな監査ウェアハウスを使用すると、大容量(テラバイト)の監査データを保管できます。 |
| |
| 11. | セキュリティ・システムおよび管理手順を定期的にテストすること |
|---|
| |
| 情報セキュリティ・ポリシーの整備 |
|---|
| 12. | 従業員と契約社員のための情報セキュリティに関するポリシーを整備すること |
|---|
| |
| 付録A: 共有ホスティング・プロバイダ向けのPCI DSS追加要件 |
|---|
| A: | ホスティング・プロバイダは、カード会員データ環境を保護すること |
|---|
| 要件 12.8 に言及されているとおり、カード会員データにアクセスするすべてのサービスプロバイダ(共有ホスティングプロバイダを含む)は PCI DSS に従う必要があります。さらに、要件 2.4 には、共有ホスティングプロバイダは各事業体のホストされている環境およびデータを保護する必要があると記載されています。したがって、共有ホスティングプロバイダは、加えてこの付録に記載されている要件に従う必要があります。 |
| A.1: | A.1.1 ~ A.1.4 に従い、各事業体(つまり、加盟店、サービスプロバイダ、またはその他の事業体)のホストされている環境およびデータを保護する。
ホスティングプロバイダは、これらの要件および PCI DSS のその他すべての関連セクションを満たす必要があります。
注: ホスティングプロバイダがこれらの要件を満たすことができたとしても、そのホスティングプロバイダを使用する事業体の準拠が保証されるわけではありません。各事業体は、PCI DSS に従い、準拠を適宜検証する必要があります。 |
| | A.1.1: | 各事業体が、その事業体のカード会員データ環境にアクセスするプロセスのみを実行するようにする。 | Oracle Database Vaultのレルムを利用すると、特権ユーザーやDBAによるアプリケーション・データおよびカード会員データへのアクセスを制限できます。
Oracle Database Vaultのファクタとコマンド・ルールは、アプリケーション、データ、およびデータベースへのアクセスに対する厳密な制御を実現します。
Oracle Database Vaultの職務の分離機能により、Oracle Databaseで不正な管理アクションが実行されることを防止できます。
Oracle Label Securityのラベル・ファクタは、Need to Knowの範囲を決定するための追加のセキュリティ属性を提供します。
Oracle Virtual Private Databaseは、Need to Knowの原則に基づいた完全なマスキング機能を提供します。
Oracle Databaseのオブジェクト権限とデータベース・ロールにより、基本的なセキュリティが提供されます。
Oracle Identity Managementは、コンピューティング・リソースへのエンタープライズ・ユーザー・プロビジョニングを提供します。 |
| A.1.2: | 各事業体のアクセスおよび権限をその事業体のカード会員データ環境のみに制限する。 | Oracle Database Vaultのレルムを利用すると、特権ユーザーやDBAによるアプリケーション・データおよびカード会員データへのアクセスを制限できます。
Oracle Database Vaultのファクタとコマンド・ルールは、アプリケーション、データ、およびデータベースへのアクセスに対する厳密な制御を実現します。
Oracle Database Vaultの職務の分離機能により、Oracle Databaseで不正な管理アクションが実行されることを防止できます。
Oracle Label Securityのラベル・ファクタは、Need to Knowの範囲を決定するための追加のセキュリティ属性を提供します。
Oracle Virtual Private Databaseは、Need to Knowの原則に基づいた完全なマスキング機能を提供します。
Oracle Databaseのオブジェクト権限とデータベース・ロールにより、基本的なセキュリティが提供されます。
Oracle Identity Managementは、コンピューティング・リソースへのエンタープライズ・ユーザー・プロビジョニングを提供します。 |
| A.1.3: | ログ記録および監査証跡が有効になっていて、各事業体のカード会員データ環境に固有であり、PCI DSS要件 10 と整合性を保つようにする。 | Oracle Audit Vaultのポリシーはエンタープライズ・データベースへの配置が容易なため、カード会員データへのアクセスに対する一貫した監査を実現できます。 |
| A.1.4: | ホストされた加盟店またはサービスプロバイダへの侵害が発生した場合にタイムリーなフォレンジック調査を提供するプロセスを可能にする。 | Oracle Audit Vaultは、監査データを監視するために、標準提供のレポート、カスタマイズ可能なアラート、アラート・ダッシュボードを提供します。
カスタマイズしたレポートは、Oracle Application Express、Oracle Business Intelligence Publisher、またはサード・パーティ製のツールを使用して生成できます。 Oracle Audit Vaultでは、ウェアハウス・スキーマが公開されています。 |
Printer View