AWSにおけるPCIコンプライアンス：AWSが12のPCI要件をサポートする方法

AWSでPCI DSSに準拠するには？

Payment Card Industry Data Security Standard（PCI DSS）は、クレジットカード情報を受け入れ、処理、保管、または送信するすべての企業が安全な環境を維持することを保証するために策定された一連のセキュリティ基準です。これは、規模や取引量に関係なく、カード会員データを保持、処理、または交換するすべての事業体に適用されます。

世界最大のクラウドプロバイダーであるアマゾン ウェブ サービス (AWS)（AWS）上で運用する場合、PCI DSS準拠とは、AWSプラットフォーム、そのサービス、および組織が運用するワークロードがこれらのセキュリティ基準に準拠することを指します。責任共有モデルによると、AWS はクラウド「の」セキュリティに責任を負い、顧客はクラウド「の」セキュリティに責任を負います。つまり、AWSはセキュアなインフラとサービスを提供しますが、お客様は特定の環境内で堅牢なセキュリティ対策を実施していることを確認する必要があります。

金融データの処理または保存において AWS で PCI DSS 準拠を達成するには、AWS サービスが PCI DSS の 12 の要件にどのように適合するかを理解する必要があります。これらの要件には、ネットワークの保護、カード会員データの保護、脆弱性管理プログラムの維持、アクセス制御手段の実装、ネットワークの定期的な監視とテスト、および情報セキュリティポリシーの維持が含まれます。

推奨図書：SIEMとは何か、なぜ重要なのか、そして13の主要機能。

PCIコンプライアンスに関連する主なAWSサービス

PCI DSS 準拠の確立と維持に役立つ AWS サービスがいくつかあります。これらのサービスを確認し、次のセクションで各 12 の PCI 要件に準拠するためにこれらのサービスを使用する方法を説明します。

アマゾンVPC

Amazon Virtual Private Cloud（VPC）は、AWSクラウドの論理的に分離されたセクションをプロビジョニングすることができます。独自の仮想ネットワークでAWSリソースを起動し、セキュアでカスタマイズ可能なネットワーク環境を構築できます。独自のIPアドレス範囲を選択し、サブネットを作成し、ルートテーブルとネットワークゲートウェイを構成することができます。

AWSアイデンティティとアクセス管理

AWS Identity and Access Management (IAM) により、AWS サービスとリソースへのアクセスを安全に管理できます。AWSのユーザーとグループを作成して管理し、アクセス許可を使用してAWSリソースへのアクセスを許可または拒否できます。

IAMは強固なアクセス制御を実現するために重要です。これにより、強力なパスワードポリシーを実施し、権限を管理し、AWSリソースへの安全なアクセスを提供し、カード会員データを保護することができます。

AWS鍵管理サービス

AWS Key Management Service（KMS）は、データの暗号化に使用する暗号鍵の作成と管理を支援するマネージドサービスです。暗号化と復号化の操作はAWS KMS内で実行され、鍵のセキュリティが強化されます。KMSを使用すると、データを静止状態で暗号化し、鍵を管理して、カード会員データの機密性と完全性を確保することができます。(もちろん、最も安全な256ビットの秘密鍵と2048ビットの公開鍵暗号化をデフォルトにすることを推奨します)。

アマゾンガードデューティ

Amazon GuardDutyは、お客様のAWSアカウント、ワークロード、Amazon S3に保存されたデータを保護するために、悪意のあるアクティビティや不正な動作を継続的に監視する脅威検出サービスです。クリプトマイニング、クレデンシャル侵害行為、悪意のあるIP、URL、ドメインとの通信など、通常とは異なる不正なアクティビティを識別します。

GuardDutyの継続的なセキュリティ監視は、ネットワークの定期的な監視とテストに関するPCI DSS要件に適合しています。GuardDutyは、潜在的なセキュリティ脅威を警告することで、安全なネットワーク環境の維持を支援します。

AWS CloudTrailとAWS Config

AWS CloudTrailは、AWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査を可能にするサービスです。AWS CloudTrailを使用すると、AWSインフラストラクチャ全体のアクションに関連するアカウントのアクティビティをログに記録し、継続的に監視し、保持することができます。

AWS Configは、AWSリソースの構成の評価、監査、および評価を可能にするサービスです。AWSリソースの構成プロパティの詳細なビューを提供し、内部ガイドラインで指定された構成に対する全体的なコンプライアンスを判断することができます。

CloudTrailとAWS Configの両方は、特にネットワークの定期的な監視とテスト、および情報セキュリティポリシーの維持の要件に関連して、PCI DSS準拠を達成する上で重要な役割を果たします。これらのサービスを利用することで、リソースの構成や変更を可視化し、AWS環境におけるアクセスやアクティビティを追跡することができる。

AWS S3のセキュリティ機能

AWS Simple Storage Service（S3）は、安全で信頼性が高く、拡張性の高いオブジェクトストレージをビジネスに提供するスケーラブルなストレージサービスです。AWS S3を使用すると、Web上のどこからでも、いつでも、事実上あらゆる量のデータを保存および取得できます。

PCI DSS コンプライアンスのために、AWS S3 はカード会員データの保護に役立つ多くの機能を提供している。これらの機能には、静止データのサーバサイド暗号化（SSE）、SSL/TLS を使用したセキュアなデータ転送、アクセス制御ポリシー、アクセス要求のロギングなどがあります。これらの機能は、保存されたカード会員データの保護、ネットワークリソースとカード会員データへのすべてのアクセスの追跡と監視など、企業が PCI DSS 要件を満たすのに役立ちます。

AWS証明書マネージャ

AWS Certificate Manager（ACM）は、AWSベースのWebサイトやアプリケーションのSSL/TLS証明書の管理とデプロイを簡素化するサービスです。SSL/TLS証明書は、ネットワーク通信を保護し、インターネット上のウェブサイトのアイデンティティを確立するために使用されます。

PCI DSS コンプライアンスのためには、オープンなパブリックネットワークを介したカード会員データの伝送を暗号化することが要件となります。AWS ACMは、パブリックおよびプライベートSSL/TLS証明書を簡単にプロビジョニング、管理、デプロイするために必要なツールを提供することで、企業がこの要件を満たすのを支援します。

AWS Systems Manager Patch Manager

AWS Systems Manager Patch Managerは、マネージドインスタンスへのパッチ適用プロセスの自動化を支援するサービスです。パッチコンプライアンスのスキャン、パッチベースラインの作成、パッチロールアウトのスケジューリングなど、パッチ適用プロセスを支援するさまざまなツールを企業に提供します。

PCI DSSの要件では、カード会員データを保護するために最新のセキュリティパッチを適用したシステムを使用する必要があります。AWS Systems Manager Patch Managerは、パッチ管理のための一元化された自動化ソリューションを提供することで、企業がこの要件を満たすのを支援します。

すべてのシステムが最新のセキュリティパッチを適用されていることを確認することで、企業はデータ漏洩につながるセキュリティ脆弱性のリスクを低減できます。さらに、AWS Systems Manager Patch Managerの自動化された機能は、人的ミスの可能性を減らし、企業のセキュリティ体制をさらに強化するのに役立ちます。

AWSアーティファクト

AWS Artifactは、AWSのセキュリティとコンプライアンスに関するレポートと、一部のオンライン契約へのオンデマンドアクセスを提供するサービスです。AWS Artifactで利用可能なレポートには、プラットフォームのPayment Card Industry (PCI) Data Security Standard (DSS) Attestation of Compliance (AoC)とResponsibility Matrix (PCI Shared Responsibility Matrixとしても知られる)が含まれる。

これらの文書は、AWS サービスが PCI DSS 要件にどのようにマッピングされるのか、またどの責任が（サービ スプロバイダとしての）AWS によって管理され、どの責任が（顧客としての）企業にあるのかを企業が理解す るのに役立ちます。

AWSセキュリティハブ

AWS Security Hubは、優先度の高いセキュリティアラートとAWSアカウント全体のコンプライアンスステータスを包括的に表示します。Security Hubを使用すると、複数のAWSサービスからセキュリティアラート（発見事項）を集約、整理、優先順位付けする場所を1つにまとめることができます。

PCI DSSでは、企業はセキュリティシステムとプロセスを定期的にテストするプロセスを実装する必要があります。AWS Security Hubは、継続的なセキュリティ・チェックや潜在的なセキュリティ問題の洞察を提供することで、企業がこの要件を満たすのを支援します。

AWSでPCI DSSの12要件に準拠する方法

では、12のステップを踏んでみよう。PCI DSSの要件そして、それぞれがAWS上で運用するインフラやワークロードにどのような影響を与えるかを確認する。

1.カード会員データを保護するためにファイアウォールを設置し、維持する。

ファイアウォールは、カード会員データを保護するための最初の防御手段です。ファイアウォールは、事前に確立された組織のセキュリティポリシーに基づいて、送受信されるネッ トワークトラフィックをフィルタリングします。ファイアウォールは、組織の事前に確立されたセキュリティポリシーに基づいて、送受信されるネッ トワークトラフィックを監視およびフィルタリングするネットワークセキュリティデバイスです。

AWSはSecurity Groups機能を通じてビルトインのファイアウォールルールを提供している。これらのルールにより、インスタンスレベルでインバウンドとアウトバウンドのトラフィックを制御できる。AWSはまた、サブネットレベルでステートレスのトラフィック制御を行うためのネットワークアクセス制御リスト（NACL）も提供している。

AWSはまた、AWS CloudTrailやAWS Configのようなサービスを通じてファイアウォールの詳細なロギングを提供し、セキュリティチームが変更を監視し、ファイアウォールの有効性を維持することを可能にします。

2.強力なパスワードと安全な設定

PCI DSS 準拠に不可欠なもう 1 つの側面は、強固なアクセス管理対策の確保です。これには、強力なパスワードの使用と安全な設定の維持が含まれます。

AWS Identity and Access Management (IAM) を使用すると、AWS リソースへのアクセスを管理できます。IAMを使用すると、AWSユーザーとグループを作成および管理し、権限を使用してAWSリソースへの権限を許可および拒否することができます。これには、強力なパスワードを要求するパスワードポリシーの実施も含まれます。例として、AWS Secrets Managerでリレーショナルデータベースサービス（RDS）のマスターユーザーパスワードの管理を実施するためにIAM条件キーを使用することができます。

データを保護するためには、安全な構成も不可欠です。AWSはこれを支援する様々なツールを提供しており、AWS ConfigはAWSリソースのコンフィグレーションを継続的に監視・記録し、記録されたコンフィグレーションの望ましいコンフィグレーションに対する評価を自動化することができます。

3.保存されたカード会員データの保護

AWSは複数のストレージオプションを提供しており、それぞれが独自のセキュリティ機能を備えているため、保存されたカード会員データを保護するのに役立ちます。

AWS S3は一つの選択肢だ。保存データのサーバー側での暗号化を可能にする。また、個人情報(PII)のような機密データを自動的に発見、分類、保護するために機械学習を使用するセキュリティサービス、Amazon Macieを使用することもできます。

もう一つの選択肢はAmazon RDSで、AWS Key Management Service (KMS)を使ってデータベースインスタンス内のアットレストデータを暗号化するためのいくつかのオプションを提供している。

4.公衆ネットワークを介したカード会員データ伝送の暗号化

カード会員データをパブリックネットワーク経由で送信する場合、暗号化はそのセキュリティを維持するための鍵となります。AWS は、転送中のデータを暗号化する組み込みのメカニズムを提供します。

AWS Certificate Manager (ACM) を使用して、アプリケーションの SSL/TLS 証明書を処理できます。これらの証明書により、HTTPS を使用してウェブサイトやアプリケーションを保護することができます。

また、AWSはVirtual Private Cloud (VPC)を提供しており、Webサーバー用のパブリックサブネットとデータベース用のセキュアなプライベートサブネットを持つ、隔離された仮想ネットワークでAWSリソースを起動することができる。

5.アンチウイルスソフトの使用と定期的な更新

ウイルス対策ソフトウェアを使用し、定期的に更新することもPCI DSSの要件です。AWSは独自のアンチウイルスソリューションを提供していませんが、AWS Marketplaceには複数のサードパーティのアンチマルウェアソリューションがあります。

マルウェアやその他のサイバー脅威から保護するもう一つの方法は、クラウド・アクセス・セキュリティ・ブローカー（CASB）ソリューションである。CASBは、クラウド・サービス・ユーザーとクラウド・サービス・プロバイダーの仲介役として、セキュリティとコンプライアンスの強化機能を提供する。CASBは、クラウド・アプリケーションの使用状況の可視化、データ保護、および脅威の防止を提供します。PCI DSS の文脈では、CASB はクラウド内の機密データの識別と管理、セキュリティ・ポリシーの実施、および組織で使用される SaaS サービスに対する高度な脅威防御を支援します。

6.安全なシステムとアプリケーションの開発と保守

セキュアなシステムとアプリケーションの開発と維持は、多面的なプロセスです。これには、システムの定期的なパッチ適用、監視、評価が含まれます。

AWSはこれを支援するためにいくつかのサービスを提供している。AWS Systems Manager Patch Managerは、マネージドインスタンスにパッチを適用するプロセスを自動化する。AWS CloudTrailは、AWS Management Console、AWS SDK、コマンドラインツール、および上位のAWSサービス経由で行われたAPIコールを含む、お客様のアカウントのAWS APIコールの履歴を提供します。

7.知る必要性」に基づいてカード会員データへのアクセスを制限する。

カード会員データへのアクセスは、常に「知る必要性」に基づいて制限されるべきである。これは、最小特権の原則の一部であり、各人が職務を遂行するために必要なデータのみにア クセスできるようにすることを意味します。

AWS IAMを使用すると、AWSユーザーとグループを作成および管理し、権限を使用してAWSリソースへのアクセスを許可および拒否することができます。これにより、"知る必要性 "に基づいてアクセスを制限できる。可能な限り、データマスキングとロールベースのアクセス制御を採用して、暴露を制限する。

8.コンピュータにアクセスできるすべての人の固有ID

PCI DSSでは、コンピュータにアクセスできる各人が固有のIDを持つ必要がある。AWS IAMを使用すると、AWSユーザーとグループを作成および管理し、権限を使用してAWSリソースへのアクセスを許可および拒否することができます。

AWSはまた、多要素認証（MFA）を可能にし、セキュリティの追加レイヤーを提供する。つまり、ユーザーの認証情報が漏洩しても、攻撃者はアカウントにアクセスするためにMFAデバイスを必要とする。

9.カード会員データへの物理的アクセスを制限する

AWSでは、カード会員データへの物理的なアクセスを制限することは、お客様のデータが保存されているデータセンターの物理的なセキュリティを意味します。これは一般的に、責任共有モデルにおけるアマゾンの責任に該当します。

AWSのデータセンターは、専門のセキュリティスタッフ、ビデオ監視、侵入検知システムなど、堅牢な物理的セキュリティ対策を備えています。AWSはまた、これらの施設へのアクセス者を強力に管理し、お客様のデータの物理的な安全性を保証します。

10.ネットワークおよびカード会員データへのアクセスの追跡と監視

ネットワークやカード会員データへのアクセスを追跡・監視することで、誰がいつどのデータにアクセスしているのかを可視化することができます。これは、AWS CloudTrail のようなサービスによって実現できます。このサービスは、AWS インフラストラクチャ全体のアクションに関連するアカウントのアクティビティをログに記録し、継続的に監視し、保持します。

AWSはまた、お客様のAWSアカウントとワークロードの保護を支援するために、悪意のあるまたは不正な動作を継続的に監視する脅威検出サービスであるAmazon GuardDutyを提供しています。

11.セキュリティシステムとプロセスを定期的にテストする

セキュリティシステムとプロセスの定期的なテストは、それらが効果的であり続けることを保証するための鍵である。AWS は、AWS Config を含む、これを支援するいくつかのツールを提供しており、これにより、記録された構成と希望する構成との評価を自動化することができます。

また、AWSはAWS Security Hubを提供しており、AWSアカウント全体で優先度の高いセキュリティアラートとコンプライアンスのステータスを包括的に確認することができます。

12.全職員に適用される情報セキュリティポリシーの維持

最後に、情報セキュリティポリシーの維持は PCI DSS の要件です。このポリシーはセキュリティのあらゆる側面をカバーし、すべての担当者に周知する必要があります。

AWSはAWS Artifactというポータルを提供しており、このポータルからAWSのセキュリティとコンプライアンスに関するレポートや選択したオンライン契約書にアクセスすることができます。これらの文書は、企業の情報セキュリティポリシーのAWS部分の基礎として使用することができます。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験では、AWS 上で PCI DSS コンプライアンスを達成するには、組み込みのツールを活用するだけでなく、 熟慮を重ねたアプローチが必要です。ここでは、コンプライアンスとセキュリティを最適化するための主な戦略を紹介します：

カード会員データ環境（CDE）に専用VPCを使用する

CDE を専用の Amazon Virtual Private Cloud (VPC) に展開することで、CDE を分離します。これにより、PCI 以外のワークロードがカード会員データと相互作用するのを防ぎ、リスクを最小限に抑えます。

暗号化キーのローテーションの自動化

AWS Key Management Service (KMS)は鍵管理を簡素化しますが、手作業によるローテーションはエラーの原因となります。暗号鍵管理のPCI DSSベストプラクティスに準拠し、すべての暗号化データの鍵ローテーションを自動化します。

AWS Security HubとSIEMを統合して可視化する

AWS Security Hubを使用して、GuardDuty、Config、およびその他のツールからの調査結果を集約し、これらをSIEMにフィードして包括的に監視します。これにより、AWSインフラストラクチャ全体のコンプライアンスに関する洞察がリアルタイムで得られるようになります。

シミュレーションでIAMポリシーを定期的にテストする

IAM ポリシーシミュレータを使用して、変更を展開する前にアクセス制御をテストし、検証する。これにより、機密データを公開する可能性のある誤った設定を避けることができます。

NACLとセキュリティグループによるネットワークセグメンテーションの実装

サブネット・レベルのネットワーク・アクセス制御リスト（NACL）とインスタンス・レベルのセキュリティ・グループを使用して、階層化されたネットワーク・セキュリティを実施する。最新の要件を反映するために、定期的にルールを見直し、更新する。

Exabeamを使用したAWS上でのPCIコンプライアンス

PCI 規格に準拠しない場合、州や国によっては事業や営業許可の喪失など、重い罰金やその他の結果を招く可能性があります。Ponemon Institute の調査によると、顧客の半数以上がデータ侵害を受けた組織に対する信頼を失い、31%がデータ侵害後にその組織との関係を解消しています。

AI-Driven Exabeam Fusion Enterprise Edition Incident Responderは、PCI コンプライアンスの報告を容易にするためにタグ付けされたダッシュボードをあらかじめ提供しています。NISTまたはMITRE ATT&CK ^{ⓇExabeamの}ようなフレームワークを使用しているかどうかにかかわらず、コンプライアンスとガバナンスの要求ニーズを追跡するための明確な経路を提供します。

エクサビーム・プラットフォームのアウトカムナビゲーター機能は、検知カバレッジと改善点を継続的に可視化し、ログ解析の改善案を提供するだけでなく、ATT&CKフレームワークのどの部分に対してどのソースと検知が最も効果的かを示し、ネットワーク侵入、永続性、横の動きを示すユースケースを示します。