PCI DSS(クレジットカード)

PCI DSS（Payment Card Industry Data Security Standard）は、カード会員データの処理・保存・伝送を行うすべての業種・企業・プロセスを対象とした、情報システムの構成や運用に関するセキュリティ基準であり、5社の国際ペイメント・ブランド（VISA、JCB、Master Card、American Express、Discover）によって策定されました。

PCI DSSは、カード会員データを取り扱う業界や企業のために特化して作られた基準ですが、米国ではそれ以外の企業や組織でもPCI DSSをセキュリティ基準として採用しており、その動きは日本でも同様です。PCI DSSは情報セキュリティに関する具体的なアクションについて定量的な基準を定義しており、すべての企業や組織のITインフラストラクチャのセキュリティ、安全性や信頼性の維持・強化に有効です。

PCI DSSを構成する12の要件の内、要件11は「セキュリティシステムおよびプロセスを定期的にテストする」です。要件11は5つの要件からなり、「システムコンポーネント、プロセス、およびカスタムソフトウェア」を頻繁にテストし、「セキュリティ管理が変化する環境に継続的に対応」することを主眼としています。その5番目の要件として、要件11.5のファイル整合性監視は定義されています。 「構成ファイル、またはコンテンツファイルの不正な変更」を担当者が認識することにより、システムに発生している問題に対し、迅速かつ的確に対応することができます。システムの改ざんを見逃さないことはセキュリティ対策に欠かせない要件であり、ひいてはカード会員データを守ることになります。

PCI DSSの12要件の中には、システムに関する要件が多々あります。その中には、ネットワーク機器(要件1)やアプリケーション（要件4-6)、オペレーティングシステム（要件2-3、要件7-8)の構成を定義し、正しい構成を維持し定期的に確認すること、及びセキュリティを考慮した妥当なパラメータ（設定値）を維持することが記述されています。

Tripwire は、PCI DSSに対し、ファイル整合性監視（変更監査）と、コンプライアンスの達成と維持（コンフィグレーション・アセスメント）を実現します。

ホワイトペーパー 「トリップワイヤのPCI DSSソリューション」も参照してください。

PCI DSS適応対象のサーバ、ネットワーク機器、データベース、ハイパーバイザなどに対して、ポリシーテストを実行します。現在の構成情報を取得し、ポリシーへの適合度合いをお知らせします。