近年、DX化が進むにつれて、データの重要性とともに、データ保護に対する要求がますます厳しくなっています。セキュリティに敏感な業界のひとつである金融業界、特にクレジットカード業界のシステムでも、セキュリティ基準の要件を満たし、技術や情報を最新に保つ必要があります。
今回の記事では、PCI DSS v4.0の新たな要件であるデータレベルの暗号化の必要性について説明し、PCI DSS v4.0の要求するデータレベルの暗号化にペンタセキュリティのD'Amo(ディアモ)がなぜ必要なのかを詳しく解説します。
PCI DSS v4.0とは
PCI DSS(Payment Card Industry Data Security Standard) は、クレジットカード会員の情報を保護することを 目的として定められた、クレジットカード業界の情報セキュリティ基準です。2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されました。そして、この5社が設立した協議団体PCI SSC (PCI Security Standards Council)によって運営・管理されています。
PCI DSSが策定されるまでは、カードブランドごとに独自のセキュリティ基準を設けていたため、明確な統一ルールが存在せず、 クレジットカード会員データの流出や悪用される事故が多発していました。そして、インターネットの普及によって決済のグローバル化が進むと、ハッキングやフィッシングなどクレジットカードを狙ったサイバー攻撃も増加し、その攻撃手段はより高度化・多様化しています。 その結果、大規模なカード会員データ流出事故につながってしまいます。
こうした状況に対応すべく、カードブランド5社が策定したのが、カード会員データ保護のための統合的かつ国際的なセキュリティ基準「PCI DSS」です。
PCI DSSの初版は2004年にリリースされ、その後、技術の進化や新たな脅威の出現に対応するために何度も改訂され、2022年4月にPCI DSS v4.0が公開されました。注目すべきポイントとしては、技術的な観点からより高いセキュリティが求められる要件が追加されました。
※PCI SSC「PCI DSS v4.0 一覧」を元に弊社にて作成
PCI DSS v3.2.1に対応している企業は、2024年3月31日のPCI DSS v3.2.1の効力終了に伴って、 2025年3月までにPCI DSS v4.0の新しい要件への対応が必要です。
今回は、より高いセキュリティが求められる要件のうち、「要件3.5.1.2 媒体以外の媒体に対するディスク暗号化の適用不可」について解説します。この要件では、リムーバブル電子メディア以外、つまりDB機能やログ管理機能などを持つサーバに対しては、ディスクレベルの暗号化を使用してはいけないとされています。
では、現在ディスクレベルの暗号化を使用してPAN※を保護しているサーバ、または今後暗号化を行う必要があるサーバに対して、PCI DSS 4.0の基準を満たすためにどのような暗号化技術を利用すべきかについて説明します。
※ PAN(Primary Account Number) : 14~16桁の数字で構成されたカード会員番号
PCI DSS v4.0の暗号化要件の強化
PCI DSSに規定されている目標とそれに対応する要件のうち、次のようなカード会員データ保護の目標と要件があります。
要求事項 |
|
PCI DSS v4.0では、カード会員データ保護のため、PCI DSS v3.2.1より暗号化要件が強化され、新しい要件が追加されました。
出典:
https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf
ALL |
Removable Media(USB etc) |
non-Removable Electronic |
|
ディスクレベルの暗号化 |
ディスクレベルの暗号化 |
インデックストークン |
では、PCI DSS v4.0を満たすするために、現在のディスクレベルの暗号化を利用してPANを暗号化しているサーバについては、 どのようなセキュリティ対策を取ればいいのでしょうか?暗号化は高度化された専門技術領域であり、サーバの暗号化は一般ユーザーが容易に接しにくい技術であるため、ほとんどのユーザー、システム管理者が強化された要件への対策は難しいのが現実です。
要件3.5.1.2で重要なのは、ディスクレベルおよびパーティションレベル暗号化は、一般的に同じ鍵を使用してディスクまたはパーティション全体を暗号化するため、システムが実行中の場合は、ユーザーの要求時に暗号化されているすべてのデータが自動的に復号化される特性があります。
PCI DSS 4.0の要件3.5.1.2によると、ディスク全体を暗号化する技術である「ディスクレベル暗号化」は、 ディスクが紛失した場合にデータを保護するのに役立つため、リムーバブル電子メディア記憶装置でのみ使用することが適切であり、リムーバブルではない電子メディア(内蔵ハードドライブや固定記憶装置など)を使用するサーバでは、ディスクレベル暗号化を使用した暗号化は不適切であるため、リムーバブル電子メディアでのみディスクレベル暗号化を使用するように定められています。
Windows OSの基本ディスクレベルの暗号化機能であるBitLockerを例に挙げて説明します。OSの基本搭載機能という メリットから、Windows OSを標準OSとして使用している企業では、BitLockerを使用するケースが増えています。BitLockerはディスクレベルでディスク全体が暗号化されていますが、OS起動後、使用時には自動的にディスクの暗号化された内容が復号化されるため、ユーザーが暗号化を意識せずにシステムを使用できるメリットがあります。 しかし、これはOSにログインするだけで、特別なアクセス制御なしに誰でもディスクレベルで暗号化されたデータを復号化して見ることができるため、暗号化セキュリティレベルが非常に低い状態であると言えます。 また、OSユーザーによるアクセス制御もできないため、OSの管理者権限を持つユーザーの暗号化データへのアクセスも防ぐことができません。
このように暗号化セキュリティレベルが非常に低いため、PCI DSS 4.0では、ディスクレベルの暗号化はリムーバブル電子メディアのみに限定されています。なぜリムーバブル電子メディアはディスクレベルの暗号化を使用できるのでしょうか? リムーバブル電子メディアは取り外すことが前提になっており、代表的なものとして私たちがよく使うUSBがあります。この特性により、リムーバブル電子メディアにディスクレベル暗号化を適用すると、PCやサーバに装着する際、ディスクレベル暗号化機能を使用するためのパスワードを手動で必ず入力しなければなりません。パスワードを知らなければ、取り外し可能な電子メディアの中のデータを復号化して読み取ることができないため、紛失や盗難による流出が多い取り外し可能な電子メディアにおいては、ディスクレベルの暗号化が十分なセキュリティ対策になります。 したがって、取り外し可能な電子メディアではディスクレベルの暗号化を使用することができます。
PCI DSS v4.0を満たすためのサーバの暗号化対策
では、DB機能やログ管理機能などを持つサーバに対しては、どのような暗号化を適用すべきでしょうか?
サーバでの暗号化対象は、HDD、SSD、NASなどの物理的に固定接続されたディスク領域、そしてクラウド使用時にOSが管理する保存領域が対象となります。これらのサーバに対する暗号化は、アクセス制御が不可能なディスクレベルの暗号化は不適切であり、安全なパスワード鍵管理機能を含み、ディスクレベルではなくデータレベルの暗号化とユーザーに対する様々なアクセス制御、監査ログ機能を含む暗号化対策が必要です。
ディスクレベルではなくデータレベルの暗号化には、Plug-In方式(DBMSのカラム単位暗号化)、 API方式(アプリケーションデータ単位暗号化)、Kernel方式(ファイル単位暗号化)の3つの方式の暗号化のうち、運営しているサーバの特性に合った最適な方式を選択して暗号化を適用することが必要です。
Plug-In方式(DBMSのカラム単位暗号化) : D'Amo DP
D‘Amo DPは、商用データベースのOracleおよびMicrosoft SQL Serverを対象として、既設のデータベースに対し、後付けでセキュリティエージェント(SA)をインストールすることで暗号化・復号を行う仕組みです。稼動中のシステムに対して暗号化要件が付加された際に、アプリケーションの改修を最小限にして透過的に暗号化を実現できます。
カラム単位のデータレベルの暗号化で、ユーザーが指定したカラムのすべての重要情報を暗号化し、アクセス制御機能によってDBMSユーザー別の暗号化カラムに対する暗号化、復号化権限を制御できる特徴があります。 また、暗号化カラムに対する不法なアクセスは、セキュリティ監査機能によって常時モニタリングされます。
DBサーバ |
|
|
||
特徴 |
カラム単位のデータ暗号化、DBMSユーザーのアクセス制御、ログ監査、統合暗号鍵管理システム、暗号化インデックス検索のサポートで応答性能低下を最小化、運用中のシステムにデータ暗号化を実装するための最も現実的な選択 |
API方式(アプリケーションデータ単位暗号化) : D'Amo BA
D‘Amo BAは、アプリケーション・サーバやWASサーバで動作する暗号化モジュールであり、様々な開発言語(JAVA、Cなど)のアプリケーション・プラットフォームをサポートし、DBMSの種類を問わず暗号化を適用することができます。 暗号化によるDBサーバの追加的な負荷や直接的な動作に影響がないこと、また実行するアプリケーション上で暗号化・復号が実行されるためシステム全体のセキュリティのカバレッジが広く、性能と安全性で最も優れた暗号化方式とされています。そのため、、サービス障害に敏感な金融や医療業界などで選択される例が多くあります。 また、最近パブリッククラウドへの環境移行時選択されるAWS RDS等のシステム権限がユーザーに付与されていないシステムに対し暗号化機能を付加する際に選択できるD’Amoのモジュールです。
ただし、API方式の場合、Plug-In方式とは異なり、暗号化導入時に既存の業務プログラムの修正が必ず必要なので、 暗号化導入時に一部のサービスのダウンタイムと修正された業務プログラムの適用が必要です。これにより、API方式は現在稼働中のシステムよりも新規業務、次世代業務のように開発初期から暗号化を考慮した設計が可能なシステムに導入する場合に効果的です。
APサーバ |
|
|
||
特徴 |
暗号化性能と安全性、対応するシステム環境の柔軟性に最も優れた方式、データレベル暗号化、OSユーザーアクセス制御に加えて統合暗号鍵管理システム、ファイル暗号化機能の拡張可 |
Kernel方式(ファイル暗号化): D'Amo KE
D‘Amo KEは、WindowsのOSカーネルレベルでファイルおよびフォルダを対象に暗号化・復号を実行できる暗号化モジュールであり、簡単かつ迅速にセットアップでき、アプリケーションを改修せずに動画やイメージ、ビデオファイル等の非定型データを暗号化できます。
また、プロセス(プログラム)単位の強力なアクセス制御機能を有しているため、暗号化フォルダにアクセスするプロセスをユーザーが選択、制御することができ、アクセス制御プロセスはWindows OSユーザーと複合的に設定できるため、さまざまな業務環境で強力なアクセス制御機能を提供します。
このようなプロセスアクセス制御機能により、暗号化フォルダに対するランサムウェア攻撃防止まで可能であるため、Windows OSを使用するサーバに対する最高の暗号化、ランサムウェア防止機能を持つ方式と言えます。
ファイルサーバ |
|
Windows OSのファイルシステム専用 |
||
特徴 |
ファイル暗号化、プロセス(プログラム)+Windows OSユーザー単位のアクセス制御、暗号化ファイルに対するランサムウェアの防止、統合暗号鍵管理システム、最小限の導入コスト |
統合暗号鍵管理システム : D'Amo KMS(※2024年秋以降リリース予定)
D’Amo KMSは、 統合暗号鍵管理システムで、クラウドプラットフォームをはじめとする多様な環境に合わせた形式で提供されます。すべてのD'Amoモジュールに対する統合鍵管理機能と外部鍵連動機能を使用した他社暗号化製品との連動、そしてPKCS #11 スタンダードに準拠してOracle/MS-SQL Server TDEに対する暗号鍵管理機能をサポートします。
|
まとめ
データ暗号化プラットフォーム「D'Amo」は、企業が使用するさまざまな業務環境とDBMS、OSに対するデータ単位の暗号化とDBMSユーザー、OSユーザー、プログラム単位の多様なアクセス制御、そして統合暗号鍵管理機能を提供し、強力な暗号化を適用することができます。これにより、PCI DSS v4.0の要件3.5.1.2に対応する高度な暗号化と暗号鍵管理を同時に実現できるため、クレジットカード情報を含む機密データの安全な保護において、その信頼性は非常に高く、海外の数多くのリファレンス、事例を保有しています。
D'Amoが提供する多様なデータレベルの暗号化方式と統合暗号鍵管理機能により、お客さまのPCI DSS v4.0への移行をサポートします。
出典 :PCI SSC公式サイト
https://www.commerce.uwo.ca/pdf/PCI-DSS-v4_0.pdf
https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf