ネットワーク構成を自動把握・リスク分析「RedSeal」
事例 - 効率的なコンプライアンス PCI DSS
「RedSeal」は、政府・金融・小売・IT・インフラ・医療・保険・サービスプロバイダ・製造業など さまざまな業種で導入されています。
ここでは、RedSeal社における事例※1 をご紹介します。
※1 本ページに記載の事例は、米国におけるRedSeal社の導入事例の記事を、RedSeal日本法人の承諾のもと、東芝情報システムにて和訳したものです。 記載内容に関して原文と相違がある場合、原文が優先されるものとします。
PCI DSS
原文「EFFICIENT COMPLIANCE WITH PCI DSS」(英文)はこちら
ハイライト
ハイライト
PCI DSSには継続的管理とネットワークセグメンテーションの拡大、ペネトレーションテストに関する要件があります。これらの課題に対してRedSealは以下の支援をします。
- セグメンテーション、ファイアウォール、DMZアーキテクチャをテストするため、運用負荷を極力かけずに包括的にPCI管理をします。
- 手動テストの必要性が減り、PCIペネトレーションテストのコストが削減します。
- PCI 3.2の日常業務ガイドラインに従った、すべての管理を実装します。
イントロダクション
クレジットカード業界のセキュリティ基準(PCI DSS)のバージョン3.2には多くの難しい要件があります。組織はカード会員データ環境(CDE)範囲を定義し、重要な変更後にセグメンテーションを再テストし、「日常業務」の継続的なコンプライアンスを実証できなければなりません。RedSealはこれらの課題に対処するための理想的な選択肢です。現在、数十の組織においてユニークで効率的な運用方法で、この一連の管理などを提供しています。
PCI DSS 3.2
PCI DSS 3.2には多くの重要な要件があります。
「日常業務」
残念なことに多くの組織はPCIコンプライアンスを継続的なプロセスとしてではなく、年に1回のプロジェクトとして扱っています。このような組織は年に1回の監査までの数週間はコンプライアンスに努め、残りの日々は管理の質を気にしません。違反した組織のほとんどが、違反時にPCIに完全に準拠していなかったのは驚くべきことではありません。 「日常業務」ガイドラインでは管理を組織の標準的な業務プロセスに組み込み、継続的なコンプライアンスを「日常業務」とすることが求められています。
範囲とセグメンテーション
PCI 3.0以前は許容可能なCDEセグメンテーションの定義が曖昧だったため、実装が確実に行われていませんでした。3.0から現在の3.2では、協議会がセグメンテーションをかなり厳密に定義し、隔離に近いものになりました。これにより組織は本当に安全なセグメンテーション戦略を定義し強制できるよう、より多くのプレッシャーを受けています。
ペネトレーションテストの拡大
PCI 2.0ではペネトレーションテストは年に1回、「重要な変更」時のみ必要でした。残念ながらテストの労力削減のため、多くの組織は「重要性」を厳密に定義していませんでした。セグメンテーションはまったくテストされていませんでした。PCI 3.2ではペネトレーションテストのトリガーとなるものの定義が非常に広く、CDEセグメンテーション境界を「セグメンテーション管理/方法変更後」に再テストしなければなりません。
PCI DSS 3.1と3.2の更新
PCI 3.1は、NIST(米国国立標準技術研究所)が特定したSSLの脆弱性とTLSの「初期」バージョンに対応して2015年4月にリリースされました。SSL(いずれのバージョンも)およびTLSの初期バージョンの既存の実装はすべて2016年6月30日までにTLSの「新」バージョンに更新する必要がありました。新しい実装は、即、新バージョンのTLSを使わなければならず、SSLを使うことができません。例外は、POSやPOI端末、関連するターミネーションポイントが、これらの悪用に対して脆弱でないことを示せる場合です。初期バージョンのTLSはTLS v1.0と定義されていますが、NISTはTLS v1.1も回避することを強く推奨しています。つまり、TLSの新バージョンではTLS v1.2(利用可能な場合はそれ以上)を使用すべきです。これらの要件はPCI 3.1セクション2.2.3、2.3、および4.1に関連しています。PCI 3.1には他の変更が含まれていますが、これらは3.0の「説明および追加ガイダンス」の更新です。
PCI DSS 3.2は2016年4月にリリースされ、主にサービスプロバイダ向けに更新されました。
RedSealのメリット
RedSealはネットワーク管理を検証し、脆弱性に優先順位を付ける強力なソリューションです。レイヤ3のネットワークデバイス構成の分析によりネットワークセグメンテーションの有効性を正確かつ継続的に決定し、直ちに修復するポリシーの逸脱を特定することができます。何万ものデバイスにまたがるネットワークアクセスポリシーをこのレベルで明確にできるソリューションは他にはありません。
また、RedSealはネットワークインテリジェンスと業界の主要な脆弱性スキャナベンダのスキャンデータと連携し、修復の優先順位付けをします。どんな複雑なネットワークでも内部スキャンと外部スキャンは膨大な数の脆弱性を検知します。課題はリスクを最小限に抑えるために、まずどの問題を解決すべきか決定することです。検知された脆弱性のいずれかが悪用された場合の潜在的影響をRedSealで分析し、セキュリティチームはリスクマネジメントのため優先順位付けされた活動計画を作成することができます。
その他の重要なRedSealの機能としては、検証されたネットワーク構成図とデバイスのインベントリの作成、運用機能や、ベストプラクティス構成強化チェックを広範囲なネットワークデバイスに適用する機能があります。
RedSealによるPCI DSSの効率的な遵守
RedSealのユニークな機能は、特にネットワークとファイアウォールの隔離、ペネトレーションテストと修復の分野で監査とコンプライアンス管理要件を満たすのに最適です。RedSealは次のDSS要件セクションの38のPCI管理に対応しています。
さらに、RedSealではネットワークのセグメンテーション分析や検証を行い、継続的に業務を管理するための「日常業務」ガイドラインに対応しています。RedSealはPCI監査の規模と範囲を削減できるサンプリングガイドラインを1つサポートしています。各管理とサポートは本書の最後に一覧があります。
| PCI DSS管理の種類 | RedSeal対応 |
|---|---|
| ネットワーク図とデバイスのインベントリ | 〇 |
| ファイアウォールポリシー検証 | 〇 |
| セグメンテーション検証 | 〇 |
| ネットワークデバイス構成強化 | 〇 |
| ペネトレーションテストリスク優先順位付け | 〇 |
| 日常業務の継続的管理 | 〇 |
| サンプル削除-運用プロセスと管理の統合 | 〇 |
RedSealは、PCI DSSが要求する継続的なネットワーク隔離管理を効率的な運用方法でできる唯一のベンダです。
| 要件 | 対応するサブ要件 | RedSeal機能 |
|---|---|---|
|
1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
1.1.1, 1.1.2, 1.1.4, 1.1.6, 1.1.7, 1.2.1, 1.2.2, 1.2.3, 1.3.1, 1.3.2, 1.3.3, 1.3.4, 1.3.5, 1.3.6, 1.3.7, 1.4, 1.5 | ネットワーク図の自動作成、アクセス経路分析、PCIネットワーク構成ポリシー検証、ネットワークデバイス構成強化、ベストプラクティス検証 |
|
2. ベンダ提供のデフォルト値を使用しない |
2.1, 2.2, 2.2.2, 2.2.3, 2.2.4, 2.3, 2.4, 2.5 | ネットワークデバイス構成強化とベストプラクティス検証 |
|
6. 安全性の高いシステムとアプリケーションを開発し、保守する |
6.1, 6.2, 6.4, 6.6, 6.7 | リスクマッピングと優先順位付け(脅威のリファレンスライブラリとネットワーク接続リスク評価)、アクセスポリシーチェック、ポリシーの自動検証 |
|
11. セキュリティシステムおよびプロセスを定期的にテストする。 |
11.1, 11.3, 11.3.1, 11.3.2, 11.3.3, 11.3.4, 11.5, 11.6 | ネットワークセグメンテーション変更の自動検知、リスクマッピングと優先順位付け |
|
ベストプラクティス/日常業務(DSS 13ページ) |
セキュリティコントロールが効果的かつ意図された運用で確実にされていることを監視する。セキュリティコントロールのすべての障害がタイムリーに検知され、対処されていることを確認する。 | ネットワーク構成とセグメンテーションポリシーの日次検証の継続的監視を支援します。継続的な脆弱性の優先順位付けをし、最も高いリスクの特定も支援します。 |
|
サンプリング(DSS 15ページ) |
整合性を確保し、各ビジネス設備/システムコンポーネントが従うべき標準的な一元化されたPCI DSSセキュリティおよび運用プロセスとコントロールがある場合、標準的プロセス/コントロールがない場合よりもサンプルはより小さくなる。 | 構成強化とネットワークセグメンテーション検証のプロセスを一元化し、自動化します。 |