コンテンツへスキップ

Exabeam AIエージェントの行動分析およびAIセキュリティポスチャーインサイトのための初の接続されたシステムを発表。続きを読む

デモを見る

PCI監査:PCI監査の要件と5つのステップ

  • 8 minutes to read

目次

    PCI監査とは何ですか?

    PCIセキュリティ基準審議会(SSC)は、プロセッサー会社、金融会社、ソフトウェア開発者、ベンダー、加盟店を代表して、ペイメントカード業界データセキュリティ基準(PCI DSS)を策定しました。PCI準拠は、カード会員およびクレジットカード情報の漏洩や不正使用を防止することを目的としています。

    今日、クレジットカード取引を処理するために、すべてのISPと加盟店は、カード会員とクレジットカード情報を不正使用や不正アクセスから保護するための継続的な取り組みを示す必要があります。PCI監査は、組織のセキュリティ慣行がいかに効果的であるかをチェックし、クレジットカード・データが最初から最後までガイドラインに従って処理されていることを確認します。

    このプロセスを通じて、内部セキュリティ評価者(ISA)または外部の認定セキュリティ評価者(QSA)が、組織のデータセキュリティ管理方法の成否を評価します。認定を受けるには、ペイメントシステムが PCI DSS で指定された 281 の基準に準拠している必要があります。すべてのサービスプロバイダおよび加盟店は、カード会員データを直接保存および処理する場合、これらの基準に準拠する必要があります。

    注:本記事および本ページで取り上げている情報は、教育的な議論のみを目的としており、商業的、法的、その他の問題に関する純粋に一般的な情報を特徴としています。これは法的な指針ではなく、そのように見なしてはなりません。本記事の情報は、黙示または明示を問わず、いかなる保証または表明もなく、「現状のまま」提供されるものです。当社は、本記事の内容に関していかなる保証または表明も行わず、本記事の内容に関連して行われた行為または行われなかった行為に関する一切の責任を明示的に否認します。本記事の情報を、法律の専門家であるサービス提供者や弁護士による法的助言の代わりとみなすべきではありません。法的問題について特定の質問がある場合は、弁護士または他の法律専門サービス提供者に問い合わせる必要があります。本記事には、さまざまな第三者のサイトへのリンクが含まれている場合があります。これらのリンクは、純粋にユーザー、ブラウザ、または読者の便宜のためのものであり、当社はいかなる第三者のウェブサイトからの情報も保証または推奨するものではありません。

    この用語解説について:

    このコンテンツはPCIコンプライアンス.

    推奨図書:SIEMとは何か、なぜ重要なのか、そして13の主要機能

    PCI監査要件

    組織がPCI DSSを提出する必要がある場合、またはオンプレミス監査に合格する必要がある場合、満たす必要がある特定のルールがあります。組織が分類されるレベルに応じて、次のことが求められます:

    • PCI DSS によって検証された QSA を雇用し、カード会員データ環境(CDE)に関するデータセキュリ ティポリシー、管理、およびプラクティスのオンプレミス監査を実施する。
    • 組織の内部監査員にISAとしてPCI SSC認定とトレーニングを提供し、PCI DSS監査を毎年実施できるようにする。
    • ISAまたはQSAが買収銀行にROCを提供できるよう、監査の要件を満たす。
    • その後の年次監査までコンプライアンスを確保し、コントロールテスト、脆弱性スキャン、侵入テストを定期的に実施し、ネットワークとシステムがクレジットカードおよびデビットカードの会員とカードデータのセキュリティとプライバシーを保持していることを確認します。
    詳細はこちら:

    PCI DSSの要件に関する詳しい解説をお読みください。

    誰がPCI DSS監査を実施する必要がありますか?

    デビットカードまたはクレジットカード情報を処理、受理、送信、または保持するすべてのサービスプロバイダおよび加盟店は、PCI DSS 規則を遵守する必要があります。これには、281 の指令と 12 の中核的要件を備えた情報セキュリティ手法を実装する必要があります。

    年間 100 万件または 600 万件を超えるペイメントカード取引を処理する加盟店(これは認識するカードブランドによって異なる場合があります)、および年間 30 万件を超えるカード取引を保持、送信、または処理するサービスプロバイダのみが PCI DSS 準拠の監査を受ける必要があります。

    扱うデータの規模が小さい加盟店の場合、通常、自己評価質問書(SAQ)に記入し、コンプライアンス証明書(AOC)を提出すれば十分と考えられている。

    組織の規模や種類に関係なく、ペイメントカード情報が流出したデータ侵害の被害者となったサービスプロバイダや加盟店はすべて、PCI準拠を保証するために毎年オンプレミス監査に合格しなければなりません。

    詳細はこちら:

    PCIコンプライアンス・レベルに関する詳しい解説をお読みください。

    PCI DSS監査の仕組み

    監査の主な目的は、コンプライアンス違反を発見し、それを回復するためのガイダンスを提供し、すべての問題に対処したことを証明することである。

    最初のステップは、監査を実施する適切な QSA を見つけることです。QSA のみが監査を実施することを許可されています。QSA は、PCI 協議会によってデータセキュリティの基準を検証されています。

    QSA を見つける最も簡単な方法は、PCI ウェブサイトのリストから QSA を選択することである。すべての QSA が同じように経験豊富であるとは限らないため、数社と話をすることをお勧めします。PCI のリストに掲載されていない QSA を名乗る会社を雇うべきではありません。そのような会社は、別のサービスを売りつけるか、要件をアウトソーシングするかのどちらかです。

    監査人が現場に到着すると、組織のさまざまな領域を調査します。これには、カード会員情報を処理、伝送、または保持するコンポーネント、デバイス、ネット ワーク、またはアプリケーションが含まれます。また、このようなシステムの使用方法を説明する手順やポリシーも含まれます。

    PCI 審査員は、カード会員情報の漏洩を阻止する責任があり、組織に罰則を科す責任はありません。監査員は、貴社が積極的かつ協力的であることを前提に、改善方法を指示し、このプロセスを支援します。

    これらの変更を効果的に実行するために、組織からコンプライアンスリーダーを指名することができる。この人物は、コンプライアンスに責任を持つが、チーム全体に変化を促す力も持つべきである。

    エキスパートからのアドバイス

    Steve Moore

    スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech CouncilのメンバーExabeamのTEN18の共同創設者でもあります。

    私の経験から、より強固なセキュリティ体制を構築しながら、PCI DSS 監査に備え、合格するためのヒントを紹介します:

    包括的な範囲の見直しから始める

    カード会員データ環境(CDE)が正確に定義されていることを確認する。誤った定義は、コンプライアンス違反や不必要な複雑な監査につながります。データフロー、接続システム、サードパーティサービスをレビューに含める。

    監査時に役割に応じた文書化を行う

    統制が一貫して適用されていることを証明するために、異なる監査役割(IT管理者、ビジネスマネジャーなど)に合わせた文書を提供する。役割ベースの資料は、監査人とのコミュニケーションを効率化します。

    継続的なコンプライアンス・モニタリングの採用

    PCI を 1 回限りのイベントとして扱わない。SIEM や構成管理などのツールを使用して、年間を通じてコンプライアンスを監視し、監査前に潜在的な問題にフラグを立てる。

    証拠リポジトリを構築する

    ポリシー、手順、システム構成、監視ログなどの証拠を一元管理する。監査対応レポートを自動生成できるツールを使用し、証拠収集の時間を短縮する。

    監査前のアクセス制御のテスト

    すべてのアクセス制御(最小特権、固有 ID、二要素認証など)が要求通りに機能していることを確認する。不必要なアカウントが CDE リソースにアクセスできないことを定期的にテストする。

    PCI DSS監査に備えるための5つのステップ

    PCI 監査を受ける前に、次のことを確認してください。

    ギャップ分析によるPCI DSS準拠状況の評価

    前年に準拠テストに合格していても、今年は準拠していない可能性があります。組織は、PCI DSS に準拠していることを示すために、早い段階から QSA と連携することができます。

    PCI DSS 準拠のオンプレミス監査手順は、準備不足の場合、作成に時間がかかる可能性があります。まず、QSA が事前監査を行い、PCI DSS の要件に合致しないことを行っていないかどうかを確認します。その後、QSA は PCI DSS ギャップ分析を実施できます。

    これにより、より効果的な(費用対効果を含む)コンプライアンス戦略を策定することができます。また、監査を受ける前にギャップを特定することで、PCI DSS のオンサイト監査前に対策を講じることができます。

    記録と関連データの照合

    すべての予防措置と安全活動を文書化し、監査員が可能性のある問題を簡単に見つけられるようにする必要があります。記録が詳細であればあるほど、監査プロセスはスムーズかつ迅速になります。

    ある種の組織は、文書化を煩わしく厳しいプロセスだと考えている。とはいえ、詳細な文書化は、特にセキュリティの方法をオープンにすることで、組織を守ることになる。理想的なのは、すべての文書が定期的に更新されていることを確認することだ。

    文書には、暗号化プロトコル、保存されたカード情報を保護する手順、および鍵管理方法に関する情報を記載する必要があります。このような記録は、組織がコンプライアンス要件を満たし、監査要件を満たし続けるための管理され組織化された方法を備えていることを証明するものです。

    組織のポリシーまたはカードデータ方式が変更された場合は、PCI コンプライアンスのステータスに影響する可能性があるため、それに応じてドキュメントを更新してください。

    リスクレベルの評価

    PCI コンプライアンスの中心的な目的は、クレジットカード侵害の可能性を減らすことである。 組織が最初に取るべき適切な手順は、決済処理システムと IT インフラストラクチャの接続をマップ化することです。これにより、組織の資産を脅かす潜在的な脆弱性を明確に把握することができます。

    リスク分析には、組織の重要なハードウェアおよびソフトウェア資産のリスクレベルが含まれる。これは、どのアクションをいつ取るべきかのリストを作成するのに役立ちます。セキュリティを向上させる方法を知るために、ベンチマークが必要です。

    インフラの定期的なテスト

    CDEの積極的な管理情報セキュリティコンサルタント、サイバーセキュリティ監査人、および QSA は、PCI DSS コンプライアンスとセキュリティ保護を支援します。

    ここで述べたテストを実施し、得られた結果に応じて必要な対策を講じるべきである:

    • Web アプリケーションテスト -PCI DSS 要件 6.6 の報告およびテスト要件を満たすために、年 1 回の Web アプリ ケーションテストが必要です。
    • 脆弱性スキャン -PCI DSS 要件 11.2 に準拠するため、認定スキャンプロバイダ経由で外部ネットワークシステムを評価します。四半期ごとに ASV スキャンを実施するよう計画します。
    • ローカルネットワークの脆弱性スキャン -ローカルネットワークの脆弱性を切り分けることができます。ローカル・ネットワークの脆弱性スキャンは、四半期ごとに実施する必要がある。
    • ペネトレーションテスト -PCI DSS 要件 11.3 に準拠するため、ペネトレーションテストを毎年実施する必要があります。

    第三者の専門家に相談する

    多くの場合、第三者と協力することは理にかなっている。どの組織にも独自の焦点と専門性がある。第三者と協力することで、既存の方法論に新たな視点を得ることができる。外部の専門家は、客観的な評価を形成するために必要な距離を持つ可能性が高い。

    以下のような活動をアウトソーシングすることもできる:

    • ソースコードの分析
    • ファイアウォールルールの見直し
    • ドキュメントの更新
    • 脆弱性の検出と修正

    SIEMが監査にどのように役立つか

    ここでは、セキュリティ情報およびイベント管理(SIEM)テクノロジがPCI監査に役立ついくつかの方法を紹介します:

    ログの収集

    PCI DSS は、CDE に組み込まれたセキュリティ管理を継続的に監視することを企業に求めています。特に、PCI DSS 要件 10 はネットワークの監視に関連し、要件 11.5 は変更検出メカニズムの実装に関連します。

    この2つの側面は、PCIコンプライアンスにとって特に重要です。なぜなら、システムログによってセキュリティイベント時の調査と対応が可能になるからです。SIEM ソリューションは、組織内のすべてのセキュリティ管理からログを収集し、これらの環境を継続的に監視することで、これらのコンプライアンス目標を達成するのに役立ちます。

    レポートの作成

    ログの収集、システムやネットワークの監視に加え、SIEM ソリューションは監査に必要な定期レポートを提供することができます。SIEMツールは、特定の不審なアクティビティ(一般的にはデータを危険にさらす可能性のあるインシデント)が検出された場合にアラートを発することもできます。

    ユーザーの監視

    PCIでは、組織はユーザー管理を維持する必要があります。ここでは、SIEMがどのように役立つかを説明します:

    • ユーザ認証情報、ID、およびその他の識別オブジェクトの削除、変更、および追加につながるすべてのイベントに対する SIEM シナリオを作成する。
    • 終了したすべてのユーザーによるすべての認証イベントを監視する。
    • アクティブでないアカウントに関連するすべてのアクセスアクティビティを監視する。

    ウイルス対策ログの収集

    PCI DSS は、ウイルス対策ソリューションを導入し、継続的にパッチを適用することを組織に求めています。SIEM ツールは、組織がアンチウイルスのログを収集するのを支援することで、これらの目的を達成するのに役立ちます。また、コールの実行中に見つかったすべての安全でないサービスとポートのリストを定義するのにも役立ちます。

    さらに、企業はサードパーティのフィードを統合し、SIEMツールにセキュリティ脆弱性が知られているすべてのプロトコル、サービス、ポートを検出させることができる。

    管理要件の達成

    ここでは、SIEMが管理要件を満たすのに役立ついくつかの方法を紹介する:

    • システムログの収集
    • 管理者またはルート権限を持つユーザーのみにアクセスを制限する
    • 監査ファイルでの監査の有効化とアクセス関連イベントのチェック
    • データベース、ストアドプロシージャ、テーブルを含むシステムレベルのオブジェクトが削除または作成されるたびにアラートを出す。
    • コンプライアンス ホストで監査サービスが停止するたびにアラートを発行する。

    PCIコンプライアンスExabeam Fusion SIEM

    Exabeam Fusion SIEMクラウド型ソリューションであるFusion SIEMは、従来のSIEMに、脅威の検知とインシデントレスポンス(TDIR)の要件に対する効果的な成果ベースのアプローチを組み合わせ、行動分析によって脅威を発見し、検知、調査、レスポンスの取り組みを自動化します。Fusion SIEMは、PCIコンプライアンスチェックリストとガバナンスをサポートします:

    • すべての特権アカウント、共有アカウント、エグゼクティブアカウントの検出と管理
    • ユーザーが適切なシステムのみにアクセスできるようにし、違反があれば検出する。
    • すべての特権アカウント、管理者アカウント、役員アカウント、および機密システムへの異常なアクセスを追跡・監視する。
    • デバイスやアカウントの切り替えによって身元を隠蔽しようとしても、すべてのユーザーを一意に識別する。
    • 特権アカウント、一般アカウント、マシンアカウントのいずれによるものであっても、すべての異常な行動を分析・特定し、その行動に対して警告を発し、調査を支援する。
    • 監査チームがコンプライアンス目標を達成できるように、事前に作成されたPCIレポートを提示します。

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。

    • ブログ

      モデル・コンテキスト・プロトコル・サーバーAIエージェントのためのユニバーサル・リモート

      今すぐ読む
    • ブログ

      2026年1月新スケール:AIエージェント・セキュリティの登場

      今すぐ読む
    • ブログ

      レガシーSIEMとクラウドネイティブSIEM:長所と短所を比較する

      今すぐ読む
    • ブログ

      移行するオンプレミスからクラウドネイティブSIEMへのステップバイステップ移行ガイド

      今すぐ読む
    • もっと見る