こんにちは。サブスクペイstdのシステム基盤を担当している石橋です。
弊社ではPCI DSSに準拠する必要があり、毎年監査を受けています。
本記事では、PCI DSS v4.0における要件11.5.1.1への対応についてお話ししたいと思います。
PCI DSSとは?
「そもそもPCI DSSって何?」という方はこちらの記事をご覧いただくと、どんなものか把握できるかと思います。 https://tech.robotpayment.co.jp/entry/2022/07/21/103900 https://tech.robotpayment.co.jp/entry/2022/12/22/070000
「毎年監査をしているってあるけど、どんな監査なの?」と思った方はこちらをご覧ください。 監査方法について、少し掘り下げて解説してくれています。 https://tech.robotpayment.co.jp/entry/2023/10/12/070000
PCI DSS v4.0 11.5.1.1の要件
サービスプロバイダのみに対する追加要件:侵入検知および/または侵入防止技術が、マルウェアの秘密の通信経路を検知し、警告し/防止し、対処する。
上記の通りPCI DSS v4.0の要件11.5.1.1では、不正なインターネット通信の検出と防止に関する対策が求められています。
外部からの攻撃やマルウェア感染などのリスクを最小限に抑えるために、企業のネットワークが悪意のある通信を早期に検出し、ブロックできるようにする必要があります。
対応策
11.5.1.1の要件を満たす方法について、Trend Cloud Oneの機能から考えてみたいと思います。
要件を満たすためには、Workload Securityの侵入防御や不正プログラム対策だけでは不十分です。
これらは名前の通り、侵入してくるものを防ぎ、不正なファイルを削除するといった機能がありますが、秘密の通信経路、感染したサーバからC&Cサーバへの通信の検知や防止は行ってくれません。
Trend Cloud Oneで要件を満たすためには、以下の2つの機能が有効です。
- Workload Security(C1WS) Webレピュテーション
- Network Security(C1NS)
それぞれの機能について紹介していきます。
- Workload Security (C1WS) Webレピュテーション
Webレピュテーションとは、サーバからWebアクセスを行った際に、URLの安全性を確認し、不正なURLであれば接続をブロックするWebセキュリティ機能です。 C1WSのWebレピュテーションを有効にすることで、万が一サーバに不正プログラムが侵入し、外部への不正通信を試みても、その通信をブロックすることで被害拡大を防ぐことができます。
ただし、C1WSはエージェント型であり、ネットワーク機器のIPS/IDSとは異なります。 そのため、エージェントがインストールされていないシステムコンポーネントにはセキュリティリスクが残る可能性があるため、全てのシステムコンポーネントにエージェントが適切にインストールされていることを確認し、未インストールのシステムコンポーネントに対するリスクを検討することが重要です。
AWS Guard Dutyなどの別の機能と組み合わせてネットワークのフローを検知することで、よりセキュリティを強化することができます。
- Network Security (C1NS)
C1NSは、ネットワーク型の侵入防止システム(IPS)です。 外部からクラウドネットワークへの通信を検査するだけでなく、システム内部の横展開やC&C(コマンド・アンド・コントロール)通信、内部・外部の脅威から迅速に保護します。 ネットワーク経路上で脆弱性を狙う攻撃を検出・ブロックします。
C1WSが各EC2インスタンスにエージェントをインストールして監視するのに対し、C1NSはネットワーク経路にアプライアンスを設置して監視を行います。
以前はAWS環境内にアプライアンス用のインスタンスを構築する必要がありましたが、Hosted infrastructureではTrend Micro社が管理するVPC上にあるアプライアンスを使用できます。 アプライアンス用のインスタンスを管理しなくて済むため、運用コストが下がります。 利用する場合はサブネットとGWLBのエンドポイントを作成、ルーティングの変更をすることで通信の監視ができるようになります。
CloudOneを利用するのであれば、これらの機能を利用することで、要件11.5.1.1に対応することができます。 自動防御ではなくても、C&Cサーバとの通信を検知した場合にファイアウォールで外部通信をブロックするといった方法も考えられます。 各システムに適した方法を選ぶことが大切です。
最後に
PCI DSSの要件は今回説明した11.5.1.1以外にもたくさんあります。
そして要件を満たすためのツールも多様にあります。
その中で、現在のシステムに最適なものを選ぶためには、日々の情報収集が不可欠です。
常に最新のセキュリティ対策を取り入れ、システムを最適化していくことが大切だと感じています。
We are hiring!!
ROBOT PAYMENTでは一緒に働く仲間を募集しています!!!
