マイクロセグメンテーションを用いたPCI-DSSコンプライアンスの簡素化【日本語翻訳】
「Payment Card Industry Data Security Standard(PCI-DSS)」は、クレジットカード取引業者にとって重要なコンプライアンス規格です。
この規格には、業者が顧客のクレジットカード情報を保護するためのさまざまな要件が含まれています。
非準拠は深刻な結果をもたらす可能性があり、具体的には以下の点が挙げられます:
月額5,000ドルから100,000ドルまでの罰金が課され、業者が完全なコンプライアンスを達成するまで徐々に上昇します
支払いカードを受け入れる能力の停止など、制裁が支払われる可能性があります
侵害があった場合、顧客が被る損失に対する法的責任が発生します
明らかに、事業者はPCI-DSSに適合するための適切なコントロールを導入することが極めて重要です。
良い知らせは、今日のサイバーセキュリティツール(可視化やデータ発見など)が、Cardholder Data Environment(CDE)の境界を定義し、コンプライアンスの支援をするのに役立っていることです。
PCI-DSSに適合するための最も効果的な方法の一つは、マイクロセグメンテーションの導入です。
マイクロセグメンテーションにより、業者はシステムやプロセスのコンポーネントをカードホルダーデータ環境から分離することができ、ハッカーがクレジットカード情報にアクセスしにくくなります。
これにより、業者のネットワークの一部が侵害されたとしても、その機密性の高いカードホルダーデータは安全です。
注:PCI-DSSの新バージョンであるバージョン4.0は、2020年後半または2021年初頭にリリースされる予定です。
予想される規格の変更に対応する形で、PCI-DSS 4.0ではマイクロセグメンテーションがより重要な役割を果たす可能性があります。
これにはクラウドやサーバーレスワークロードのセキュリティ確保などが含まれます。
マイクロセグメンテーションでPCI-DSSコンプライアンスの範囲を縮小・制御
事業者はビジネスを遂行するために複数のシステムとプロセスに依存しているため、悪夢のシナリオはこれらのシステム/プロセスの1つでの侵害がネットワーク全体に影響を及ぼすことです。
マイクロセグメンテーションは、システムコンポーネントを適切にカードホルダーデータ環境(CDE)から分離することで、このような状況を避けるのに優れた能力を発揮します。
マイクロセグメンテーションは、クラウドベースのVMやコンテナを含む複雑なネットワークアーキテクチャでCDEの範囲を縮小します。
これにより、対象ではないシステムコンポーネントが侵害されても、CDEのセキュリティに影響を与えません。
さらに、マイクロセグメンテーションが視覚化ツールと組み合わされると、カードホルダー環境の範囲を明確に定義するのに役立ちます(PCIの規格では、エンティティがシステムやネットワーク全体にわたるカードホルダーデータのフローの図を維持することが要求されています)。
これは、事業者がPCI-DSSへのコンプライアンスを証明する必要がある場合に便利です。
マイクロセグメンテーションは、伝統的に長く煩雑なプロセスである監査を簡略化するのに役立ちます。
なぜなら、監査はCDEを構成する特定のマイクロセグメント内のシステム、およびそれらのマイクロセグメントで動作するプロセスとコントロールのみを考慮するからです。
マイクロセグメンテーション制御による水平移動の防止
水平移動(ラテラルムーブメント)は、侵害により企業に巨額の損失をもたらす可能性がある環境では懸念材料です。
言うまでもなく、基本的にクレジットカードを受け入れる事業はその種のリスクに直面しています。
最もよく知られたPCI-DSSの侵害の多くは、ネットワーク内で水平方向に広がるマルウェアを介して、アクセス権を獲得した内部者が関与していました。
このようなマルウェアの隔離は難しく、これらの攻撃は数週間、さらには数ヶ月にわたって気づかれないまま進行することがあります。
この種の水平移動を制限することは、PCI-DSSコンプライアンスを確保する上で重要です。
マイクロセグメンテーションは、最も重要なシステムを分離し、細かいセキュリティ制御を可能にすることで、ネットワーク内での横方向の攻撃を防ぎます。
高度に動的な環境でワークロードが移動しても、これらの保護は維持されます。
PCI-DSSコンプライアンスに関連する際、マイクロセグメンテーションは、非対象エリアから機密のCDEエリアへの水平移動を制限するのに役立ちます。
ゼロトラストアプローチで脆弱性をマッピングおよび管理
ゼロトラストアプローチの実装は、各システムへの管理者アクセスを検証します。
これにより、異なるセキュリティレベルに対するポリシーの作成が可能になり、弱いエントリーポイントからの水平移動を防ぎます。
ラベリング機能を備えたゼロトラストテクノロジーソリューションは、フローと通信に対するより細かい可視性も提供します。
これは、これまでCDEとは別であると判断されているシステムが実際に分離されていることを証明するのが難しかったクレジットカードを受け入れる事業者にとって有益です。
ポリシーが作成されると、ゼロトラストアプローチは異なるマイクロセグメントとそれらの間で許可される通信を効果的に管理します。
従来のファイアウォールおよびルーターアプローチが不足する場面で、ゼロトラストアプローチは複雑さが少なく、より効果的なコンプライアンスを可能にします。
完全なPCI-DSSコンプライアンス:包括的なアプローチ
マイクロセグメンテーションはPCI-DSSコンプライアンスの重要な要素であるものの、これだけでは多くの事業者が規格の要件をすべて満たすために必要な唯一のツールではありません。
PCI-DSSコンプライアンスは包括的なリスクベースのセキュリティアプローチを含むものでのみ達成できます。このアプローチには以下が含まれます:
強力な可視性
反応性のあるエンドポイント保護
アプリケーションセキュリティ(アプリケーションファイアウォールと同様の機能を提供)
■公式サイト(日本語)
https://de-denkosha.co.jp/product/cyber-sec/colortokens/
■公式サイト(英語)
https://colortokens.com/
翻訳元記事
「Simplifying PCI-DSS Compliance with Micro-Segmentation」
最終更新日:2022/9/20
著者:Dr. Darren Brooks
Darren Brooks博士は、ColorTokensの元グローバルコンプライアンス責任者です。
#電巧社 #ゼロトラストセキュリティ情報局 #ColorTokens #ゼロトラスト #ゼロトラストアーキテクチャ #マイクロセグメンテーション #セキュリティ #サイバーセキュリティ #サイバー攻撃 #企業