PCI DSS ソリューション

PCI DSS（Payment Card Industry Data Security Standard）は、カード会員データの処理・保存・伝送を行うすべての業種・企業・プロセスを対象とした、情報システムの構成や運用に関するセキュリティ基準であり、5社の国際ペイメント・ブランド（VISA、JCB、Master Card、American Express、Discover）によって策定されました。

PCI DSSは、カード会員データを取り扱う業界や企業のために特化して作られた基準ですが、米国ではそれ以外の企業や組織でもPCI DSSをセキュリティ基準として採用しており、その動きは日本でも同様です。PCI DSSは情報セキュリティに関する具体的なアクションについて定量的な基準を定義しており、すべての企業や組織のITインフラストラクチャのセキュリティ、安全性や信頼性の維持・強化に有効です。

Tripwire Enterprise は、PCI DSSに対し、ファイル整合性監視（変更監査）と、コンプライアンスの達成と維持（コンフィグレーション・アセスメント）を実現します。

ホワイトペーパー 「トリップワイヤのPCI DSS1.2 ソリューション」も参照してください。

PCI DSS 1.2を構成する12の要件の内、要件11は「セキュリティシステムおよびプロセスを定期的にテストする」です。要件11は5つの要件からなり、「システムコンポーネント、プロセス、およびカスタムソフトウェア」を頻繁にテストし、「セキュリティ管理が変化する環境に継続的に対応」することを主眼としています。その5番目の要件として、要件11.5のファイル整合性監視は定義されています。 「構成ファイル、またはコンテンツファイルの不正な変更」を担当者が認識することにより、システムに発生している問題に対し、迅速かつ的確に対応することができます。システムの改ざんを見逃さないことはセキュリティ対策に欠かせない要件であり、ひいてはカード会員データを守ることになります。

「ファイル整合性監視」を参照してください。

PCI DSS 1.2 の12要件の中には、システムに関する要件が多々あります。その中には、ネットワーク機器(要件1)やアプリケーション（要件4-6)、オペレーティングシステム（要件2-3、要件7-8)の構成を定義し、正しい構成を維持し定期的に確認すること、及びセキュリティを考慮した妥当なパラメータ（設定値）を維持することが記述されています。

Tripwire Enterpriseは、PCI DSSポリシーテンプレート、ポリシーテスト、ポリシーダッシュボードにより、PCI DSSコンプライアンスを可視化します。また、どこを改善すれば良いかを示すレポートの生成や、パラメータを適切な値に改善するオートレメディエーション（自動改善）により、コンプライアンスのレベル向上を支え、常にPCI DSSコンプライアンスを維持し証明します。

PCI DSS 1.2 の12要件中、システムに関する守るべき汎用的なパラメータ群を、テンプレートとして提供いたします。PCI DSSポリシーテンプレートをベースとして、その上にお客様固有のポリシーを追加することにより、より完全なポリシーを作成することができます。

• 例　PCI DSS　ポリシーテンプレート　− Windows 2008^※

  

• 例　PCI DSS　ポリシーテンプレート　− Cisco^※

  

• 例　PCI DSS　ポリシーテンプレート　− Oracle^※

  

• 例　PCI DSS　ポリシーテンプレート　− VMware^※

  

• ※ この他、Unix（AIX、Solaris、HP-UX）、Red Hat Enterprise Linux、MS SQL Serverのポリシーテンプレートもご用意しております。詳細はお問い合わせください。

PCI DSS適応対象のサーバ、ネットワーク機器、データベース、ハイパーバイザなどに対して、ポリシーテストを実行します。現在の構成情報を取得し、ポリシーへの適合度合いをお知らせします。

ポリシーテストの結果が、円グラフで表示されます。緑色の部分がテストに合格した要件項目であり、赤色の部分がテストに失敗した要件項目です。どの項目でテストに合格／失敗したのか、失敗項目を合格にするためには何をすれば良いのかが分かります。

テストに合格した状態(PCI DSSコンプライアンス)を達成し、達成した後は、その状態が維持できているのかを日々確認します。正に、コンプライアンスの可視化と言って良いでしょう。

コンプライアンスの可視化レポートを、ビジネスに活用した事例がございます。「Vesta社様の事例」を参照してください。