PCI DSSとは
PCI DSSとは、国際カードブランドであるAmerican Express、 Discover Financial Services、JCB International、MasterCard、Visa Inc.の5社が策定した、 カード情報を保護するためのデータセキュリティ基準です。クレジットカード情報を扱う組織は、PCI DSSの定める要件に準拠し、データを管理することが求められます。
Safeguard for Privileged Sessions (SPS)をおススメする3つの理由
- 理由 1:操作ログを動画で記録し、再生・検索も簡単
- 理由 2:不正操作をリアルタイムで防御
- 理由 3:セキュリティ監査レポートを定期的に自動で作成
Safeguard for Privileged Sessions で要件2・要件7・要件8・要件10・要件11に対応!
Safeguard for Privileged Sessions (SPS) で、PCI-DSSの要件2・要件7・要件8・要件10・要件11に対応が可能です。要件に対応するための機能をご紹介いたします。
要件2 システムパスワードおよび他のセキュリティパラメーターにベンダ提供のデフォルト値を使用しない
2.2.1 同じサーバーに、異なったセキュリティレベルの機能が共存していないことが確認できる
→ SPSは、リモートアクセス監視専用のアプライアンスです。他のアプリケーションをインストールすることはできません。
2.3 各システムへの管理者ログオン時、パスワードが要求される前に、強力な暗号化手法が実行される。
→ SPSは、管理者がサーバーにアクセスする際、暗号化を強制します。SSH、RDP、VMware View、VNC等に関する管理者アクセスは、完全な監査と再現が可能です。
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
7.2 業務上の必要性によってアクセス制限され、特に必要ない場合は、「全て拒否」に設定されていることを確認できる
→ サーバーへのアクセスを必要に応じて制限することができます。ユーザー権限を詳細に指定可能です。
要件8 システムコンポーネントへのアクセスを確認・許可する
8.3 ネットワーク外部からリモートでアクセスするユーザーに対しては、二因子認証(二要素認証。ID・パスワード以外の要素も組み合わせてセキュリティを高める方式)を要求する
→ アクセスするサーバーに依存せず、公開鍵認証、RADIUS やLDAPデータベース認証等の強力な認証をサポートします。別々の認証を要求でき、集中二要素認証シナリオの実装に効果的です。
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
10.1 システムコンポーネントへの全てのアクセスを各ユーザーにリンクする 監査証跡 を確立する
→ SPSは、一般ユーザー名で認証させることができ、汎用ユーザー名を使用した接続を実アカウントに対応させることができます。
10.2 次のイベントを再現するために、すべてのシステムコンポーネントの自動監査証跡を実装
- ルート権限、または管理権限を持つ個人が行った場合の全ての操作
- 監査証跡への全てのアクセス
- 無効な論理アクセス試行
- 監査ログの初期化、停止、一時停止
- システムレベルオブジェクトの作成および削除
10.3 イベントごとにすべてのシステムコンポーネントで少なくとも以下の監査証跡を記録する
- ユーザー識別
- イベントの種類
- 日付と時刻
- 成功または失敗を示す情報
- 発生元
- 影響を受けるデータ、システムコンポーネント、またはリソースのIDか名前
→ SPSは、これら全てのデータと認証タイプといった、その他のメタデータを記録します。
10.4 時刻同期技術を使用して全ての重要なシステムクロックおよび時間を同期する
→ SPSは、自動的にシステムクロックをリモートのタイムサーバーに同期します。
10.5 監査証跡を変更できないように保護する
→ SPSの監査証跡は、電子署名や公開鍵で暗号化されます。暗号化には複数鍵を使用することもできます。
10.6 システムコンポーネントの全てのログとセキュリティインシデントを調べ、以上や疑わしい操作を特定する
→ SPSは、監査対象の接続に関するレポートを毎日自動的に作成します。特定キーワードや検索クエリを自動的に定義し、レポートに結果を表示することも可能です。
10.7 監査証跡の履歴を少なくとも1年間保持し、少なくとも3か月間はすぐ分析できる状態にしておく
→ SPSは、相当量の監査証跡をオンラインで保存できます。監査証跡に関するメタデータを保存しているデータベースは、実際の監査証跡のアーカイブ後でも閲覧できます。
要件11 セキュリティシステムおよびプロセスを定期的にテストする
11.4 侵入検知/侵入防止システムを装備し、カード会員データ環境内の全てのトラフィックを監視し、侵害の疑いがある場合は、担当者に警告が通知される
→ SPSでは、監視対象トラフィックの内容は外部IDS/DLPシステムに転送され、これらのシステムがアクセス不能な管理トラフィックにも防御を拡張します。
PAM(特権アクセス管理)ソリューション Safeguardとは
Safeguard(開発元 米国One Identity社)は、特権アカウントおよび特権アクセスを安全に保存、管理、記録、分析するPAM(特権アクセス管理)ソリューションです。セキュアで堅牢なパスワード保存機能と、脅威検出/分析機能を備えたセッション管理/監視機能を統合しています。
PAM(特権アクセス管理)ソリューション Safeguard は、3つのモジュールで構成され、Safeguard for Privileged Sessions (SPS) は、特権ユーザーのセッションを、制御、監視、記録するためのモジュールです。
特権アカウントの不正アクセスから重要なシステムとデータを安全かつ効率的に保護する「PAM(特権アクセス管理)ソリューション Safeguard」について、詳しくはデータシートをご覧ください。
Safeguard for Privileged Sessions (SPS) の機能一覧
- アクセス制御
- ファイル転送閲覧
- リアルタイムのアラートとブロック
- ゲートウェイ認証
- 二段階認証
- 4-eyes 承認
- Active Directory / LDAP連携
- ローカル資格情報ストアのサポート
- ユーザーセッションのリアルタイム監視
- ユーザーセッション記録
- フリーテキスト検索
- ユーザー操作の動画再生
- コンプライアンスレポート
- 自動アーカイブとバックアップ
- 高可用性(HA)構成対応
製品ガイドとお問い合わせ
製品に関する詳細は製品ガイドをご覧ください。
ご不明な点がありましたら、お気軽にお問い合わせください。
ジュピターテクノロジーは、One Identity APJ Partner Awards 2020 で Partner of the Year (Japan Region)に選ばれました。
syslog-ng Store Box (SSB), syslog-ng Premium Edition (PE), Safeguard製品(SPS)の販売拡大に大きく貢献したことが高く評価されました。詳細はこちら(メーカーサイト)