Attachmate is now
a part of Micro Focus

 ホワイトペーパー

 PDFのダウンロード

ReflectionソフトウェアはどのようにPCI DSSコンプライアンスへ対応するか


2004年、Visa、MasterCard、American Expressなどの大手クレジットカード会社が協力し、クレジットカード業界のデータセキュリティ基準(PCI DSS)を策定しました。このPCI DSSは、カード会員のアカウントデータを保存、処理、または送信するすべての会社に適用されます。その目的は、業界全体に厳密なセキュリティコントロールを導入し、消費者のデータプライバシーを保証することです。




コンプライアンス対応期限が決まっているため、組織は急遽12ものPCI DSS要件を満たさなくてはなりませんでした。こうした要件は、最新のウィルス対策ソフトウェアの導入など比較的取り組みやすいものから、ネットワークリソースやカード会員データへのアクセスのトラッキングといった複雑で難しいものまで広い範囲に及んでいます。

このホワイトペーパーでは、Reflection端末エミュレータ、ファイル転送ユーティリティ、SSHクライアントおよびサーバが、どのようにPCI DSSコンプライアンスへの対応に貢献するかを説明します。このホワイトペーパーをお読みいただくと、特定のPCI要件に対してどのReflection製品がどのように役立つか理解いただけるでしょう。また、Reflectionを使用すると、端末エミュレーションやファイル転送以外に、これまで考えていなかった領域にまでコンプライアンスを徹底できることがお分かりいただけます。



12のPCI DSS要件。Reflection製品を使用すると、1、2、4、6、7、8、10の要件を順守できます。

12のPCI要件

PCI DSSは、カード会員データのセキュリティが保護されていることと、そのデータを処理するネットワークとシステムが確実に保護されていることを保証する12の要件で構成されています。12の要件は、図に示したグループに分類できます。


1) ユーザがReflection管理サーバへ接続する。2) ユーザがディレクトリサーバ(LDAP/ Active Directory)で認証を受ける-オプション。3) ディレクトリサーバが、ユーザおよびグループのアイデンティティ情報を提供する。4) Reflection管理サーバが、認証を受けたクライアントへエミュレーションセッションを送信する。5) 認証済みユーザがホストへ接続する。

Reflectionがどのようにホストに関するセキュリティの問題を解決するか

Reflection製品がどのようにPCIコンプライアンスに対応するか理解してもらうため、このセクションでは、ホストに関するセキュリティの問題を簡単に説明し、Reflection製品でどのようにその問題を解決できるか紹介します。

サーバのセキュリティ

ホストシステムは、カード会員のデータを保存し、そのデータへのアクセスを可能にするアプリケーションを実行しています。また、パブリックネットワーク経由で転送するファイルの中にカード会員データを保持するファイルサーバとして使われる場合もあります。こうしたデータは機密扱いとなるため、組織は、データへのアクセスを制限する、ネットワークで転送する際にデータを暗号化するといった対策が必要です。

Reflectionソリューション: Reflection for Secure ITは、Secure ShellクライアントとWindowsおよびUNIX用サーバのファミリです。Reflection for Secure ITサーバでは、クライアントベースのエミュレータ、ファイル転送ユーティリティ、またはTCP/IPプロトコルを使うアプリケーションからの通信を含む転送中のデータのために、暗号化されたセキュアなトンネルを構築できます。

また、管理者権限を使ったシステムコンポーネントへのアクセスなど、アクセスをトラッキングする重要なセキュリティ機能も実行します。監査ログ記録を設定し、重要な情報(いつ誰がSSHサーバを通してシステムにアクセスしたか)をホストシステム上の標準的なログ記録設備へ提供します。

ワークステーションのセキュリティ

多くの場合、ユーザとシステム管理者は、ホストアプリケーションやファイルにアクセスするために、クライアントベースのユーティリティを使用します。ホストシステムへアクセスするために使用するユーザのIDおよびパスワード、そしてワークステーションとホストシステム間でやり取りされる機密情報は、転送中に傍受されないよう保護する必要があります。

Reflectionソリューション: Reflection for WindowsおよびReflection for the Web端末エミュレータは、さまざまな暗号化技術(SSHやSSL/TLSを含む)とホストシステムで使用可能な機能に合った認証方法(Kerberosなど)をサポートしています。このため、セキュリティ責任者は、ユーザアカウントの資格情報(パスワードなど)や機密情報(カード会員データなど)が、暗号化された状態でホストと端末エミュレーション画面の間を通過することを確信できます。

Reflectionエミュレーション製品に統合されたReflection Secure FTPクライアントも、幅広い暗号化技術と認証方法に対応しています。こうした暗号化技術と認証方法によって、不正ユーザが機密情報を含むファイルにアクセスすることを阻止でき、彼らがネットワークに侵入する前に情報を暗号化できます。

システムアクセスのセキュリティ

クライアント端末エミュレータは、プライベートホストデータへのアクセスを可能にするため、エミュレーションセッションへのアクセスは厳密に制御する必要があります。

Reflectionソリューション: Reflection for the Webは、既存のユーザディレクトリ(Active Directoryなど)を使用する認証およびアクセス制御を提供します。ユーザは、管理者が承認しない限り、エミュレーションセッションにはアクセスできません。

ドメイン内のユーザとグループに対して、特定のセッション設定を割り当てることができます。セッションは、保護されたWebページやポータルのリンクから実行します。ユーザがこのページにアクセスすると、ユーザディレクトリに対して認証を受け、事前に指定されたホストセッションへのアクセスだけが許可されます。

Reflectionを導入してコンプライアンスに対応する方法

このセクションでは、ReflectionがどのようにPCI DSSの要件1、2、4、6、7、8、10を満たすことができるか説明します。

要件1: カード会員データを保護するために、ファイアウォール設定を導入して、維持する

PCI DSSドキュメントのセクション1.1は、セキュアソケットレイヤ(SSL)やSecure Shell (SSH)を含む特定のプロトコルは、正当性を示す特別な証拠やドキュメントがなくてもファイアウォールを通過できると定めています。しかし、リスクがあるとされるFTPについては、ファイアウォールを通過するために、正当性を示す証拠やドキュメントが必要です。

セクション1.2では、信頼のないネットワークからのトラフィックをすべて拒否するようにファイアウォールを設定することを義務付けています(カード会員データの環境で必要なプロトコルは除く)。

Reflection製品がどのように要件1を満たすか説明しましょう。

Reflection for Windows

Reflection for Windows製品はすべて、SSHやSSL/TLSなど、基準を満たしたセキュアなプロトコルを使用して、端末のデータストリームを暗号化します。

Reflection Secure FTP

Reflection Secure FTPユーティリティは、SSHやSSL/TLSなど、基準を満たしたセキュアなプロトコルを使用して、標準的なFTP、SFTP、FTP/Sクライアントの機能をサポートします。

Reflection for the Web

Reflection for the Webは、SSHやSSL/TLSなど、基準を満たしたセキュアなプロトコルを使用して、端末のデータストリームを暗号化します。

さらに、ファイアウォール対応のホストアクセスを可能にするReflectionセキュリティプロキシを統合しています。ホストをファイアウォールやプロキシの内側に隠すことができ、ファイアウォール内の1つのオープンポートから複数のホストへのアクセスを可能にします。

Reflection for Secure IT

Reflection for Secure ITのSSHサーバは、Reflection端末エミュレーションクライアントやファイル転送クライアントから、SSHを使って接続するためのサーバ側のメカニズムを提供します。

要件2: システムパスワードやセキュリティパラメータに、ベンダが提供したデフォルト値を使用しない

セクション2.3では、重要システムへのコンソール外からの管理アクセスをすべて暗号化することを求めています。SSHとSSL/TLSは、基準を満たしたプロトコルとされています。

Reflection製品がどのように要件2を満たすか説明しましょう。

Reflection for Windows

Reflection for Windows製品は、ホストシステムへのコンソール外からの管理アクセスに使用できます。Reflection for Windows製品はすべて、SSHやSSL/TLSなど、基準を満たしたセキュアなプロトコルを使用して、端末のデータストリームを暗号化します。

Reflection for the Web

Reflection for the Webは、SSHやSSL/TLSなど、基準を満たしたセキュアなプロトコルを使用して、端末のデータストリームを暗号化します。

Reflectionセキュリティプロキシは、暗号化のネイティブサポートがないUnisysなどのホストシステムへの接続も暗号化します。

Reflection for Secure IT

Reflection for Secure IT Secure Shellクライアントは、SSHプロトコルを使用して、インタラクティブでスクリプト化されたリモート管理操作のためのユーティリティを提供します。

Reflection for Secure ITのSSHサーバは、Reflection端末エミュレーションクライアントから、SSHを使って接続するためのサーバ側のメカニズムを提供します。

要件3: 保存されるカード会員データを保護する

セクション3.3では、表示時にプライマリアカウント番号(PAN)をマスクするように定めています。

Windowsベースの端末エミュレータ、Reflection Desktopがどのように要件3を満たすか説明しましょう。

Reflection Desktop

Reflection Desktopは、履歴画面、印刷されたレポート、クリップボードに表示されるPANをマスクするよう設定できるプライバシーフィルタ機能を備えています。

要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

要件4では「悪意のある者が伝送中にデータを傍受したり宛先を変更させたりすることは容易で一般的であるため、機密情報を公共ネットワーク経由で伝送する場合は暗号化する必要があります」としています。セクション4.1では、機密性の高いカード会員データを伝送する場合、強力な暗号化とセキュリティプロトコルを使用して保護するように定めています。

Reflection製品がどのように要件4を満たすか説明しましょう。

すべてのReflection製品

すべてのReflection製品には、SSHプロトコルとSSL/TLSプロトコルが実装されており、Triple DESおよびAESアルゴリズムを含む強力な暗号化を使用して、ネットワーク上で送信されるカード会員データを保護します。多くの場合、実装されている暗号化技術は、認定サードパーティによって検証済みのFIPS 140-2です。

要件6: 安全性の高いシステムとアプリケーションを開発し、保守する

PCI DSSのセクション6.1では、ベンダが提供した最新のセキュリティパッチをリリース後1カ月以内にインストールすることを求めています。

ますます手口が巧妙化しているセキュリティの脅威に対処するため、主要なセキュリティアラートサービスを監視し、関連性の高い脆弱性を教えてくれるベンダと提携する必要があります。

弊社のセキュリティエキスパートは、公開されたセキュリティ上の脆弱性を説明した一連のテクニカルノートをサポートサイトにリリースし、管理しています。弊社の製品が影響を受ける場合、保守契約を結んでいるお客様は、該当するセキュリティパッチをダウンロードできます。また、テクニカルサポートチームも、弊社の製品で発生するセキュリティの問題を解決するためにお手伝いします。

要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する

この要件では、業務の実行においてカード会員データにアクセスする必要がある担当者のみが権限を与えられること、また、特に許可されていない限り、デフォルト値を「すべてを拒否」に設定することを義務付けています。

Reflection for the Webがどのように要件7を満たすか説明しましょう。

Reflection for the Web

すべてのホストシステムは、一定レベルの認証とアクセス制御を提供します。Reflection for the Webでは、セキュリティ層を追加し、端末エミュレータやファイル転送ユーティリティなど、ホストにアクセスするユーティリティを制御できます。

ユーザに対して、端末エミュレーションセッションやファイル転送セッションへのリンクを提示するWebサイトにサインオンするよう要求できます。既存のアクセス制御ディレクトリ(Active Directoryなど)を通じて、認証セッションおよびアクセスセッションを管理できます。ユーザレベルまたはグループレベルでアクセスを制御できます。Reflection for the Webのデフォルト設定は、不正ユーザのアクセスを拒否します。

要件8: コンピュータにアクセスするすべてのユーザに一意のIDを割り当てる

「強力なアクセス制御を実装する」という目標のもと、この要件では、カード会員データへのアクセスを認めてもらう前に、ユーザは自身のアイデンティティ情報を提供することを定めています。また、さまざまな認証方法をサポートし、リモートアクセスには2要素認証を採用するよう求めています。

Reflection for the Webがどのように要件8を満たすか説明しましょう。

Reflection for the Web

端末エミュレーションユーティリティやファイル転送ユーティリティへアクセスする前に認証および承認のための階層を実装し、既存のユーザディレクトリ内に割り当てた一意のIDを使ってアクセスを制御できます。

パスワードベースの認証のほかにも、デジタル認証や認証用公開鍵もサポートしています。

要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスをトラッキングおよび監視する

ログ記録メカニズムとユーザアクティビティのトラッキング機能は、PCCI DSSのコンプライアンスには非常に重要です。要件10では、監査目的でログを記録するイベントや、ログ記録イベントでキャプチャするデータポイントを定めています。

Reflection製品がどのように要件10を満たすか説明しましょう。

Reflection for Secure IT

サーバベースのSecure Shellサービスのプロバイダとして、Reflection for Secure ITは、強力なログ記録機能を提供します。着信するクライアントへの接続や認証を含め、Reflection for Secure ITサーバの運用中に発生する重要イベントは、標準的なOSイベントログと合わせて、設定可能なシステムにログが記録されます。

Reflection for the Web

端末エミュレーションやファイル転送のセッション中、着信アクセスイベントや、接続先のホストシステムの情報を記録します。

多くの機能を活用し、短期間でコンプライアンスに対応

広い範囲に及ぶPCI DSS要件を順守することは、簡単なことではありません。部門の垣根を越えて、複数のチームを巻き込む必要があり、さまざまなシステムプラットフォームに影響を及ぼす可能性もあります。この取り組みには、時間もお金もかかるかもしれません。

1つのセキュリティソリューションで、PCIのコンプライアンスニーズをすべてカバーすることはできません。しかし、Reflection製品は、PCIコンプライアンスに対応した機能が他の端末エミュレーションソリューションよりも豊富で、幅広いサポートベースを提供できます。サーバとユーザワークステーションにあるツールを使用することで、コンプライアンス対応までの時間を短縮し、より安全な情報共有を実現できます。

さらに、PCI要件を順守すると、組織は、新たに生まれる他の規制要件にもスムーズに対応できます。

NetIQとの連携

本書で取り上げたReflection製品は、PCIへのコンプライアンスについて十分に練られた戦略に組み込むことができます。すべてのPCI DSS要件を順守、管理、監視するため、Micro Focus企業であるNetIQが支援いたします。

NetIQは、コンプライアンス、モニタリング、ITプロセスの自動化に対応するリーダー企業です。Gartner社が最高レベルと評したセキュリティソリューションを通じて、世界最大の企業や政府機関に保護およびモニタリング(SIEMを含む)技術を提供しています。

システムセキュリティ、ネットワークモニタリング、ポリシー管理、アクセス制御などの重要な領域をカバーするNetIQソリューションを導入すると、コンプライアンスの取り組みを特別な準備なしにすぐにスタートでき、短期間で完了できます。さらに、セキュリティエキスパートが、お客様のITシステム担当者やコンプライアンス担当者と協力して、特定の目標や既存インフラに合わせてソリューションをカスタマイズします。NetIQソリューションの詳細については、www.netiq.comをご覧ください。