PCI準拠証明（AoC）とは何ですか?

PCI Attestation of Compliance（AoC）は、Payment Card Industry Data Security Standard（PCI DSS）への準拠を表明する組織による宣言です。AoCは、資格のある評価者によって、または準拠の自己評価後に発行され、カード会員データを保護するために必要なセキュリティ管理および対策が実施されていることを証明する役割を果たします。

AoC の提出は、PCI DSS 準拠への最終ステップです。AoC には、組織に対して実施されたコンプライアンス評価の詳細、現在のコンプライアンス状況、評価方法、および現在実施されているセキュリティ管理が含まれます。AoC は 1 年間有効ですが、その後、組織は再度アセスメントと認証を受ける必要があります。

推奨図書：SIEMとは何か、なぜ重要なのか、そして13の主要機能。

誰がAoCを必要とするのか？

クレジットカード情報の処理、保管、または送信に関与する事業者は、PCI AoC を提供する必要があります。これには、あらゆる規模の加盟店、サービスプロバイダ、およびペイメントカード取引のセキュリティに影響を与えるその他の事業体が含まれます。業務にカード会員データの取り扱いが含まれる場合は、AoC を提供する必要があり、PCI DSS の枠組みの中で業務を行うことができます。

企業がPCI AoCを取得する方法

1.PCI DSS基準の遵守

組織は、PCI DSS 基準の要件を理解し、カード会員データを保護するために指定されたセキュリティ対策を実施する必要があります。これらの対策には、安全なネットワークの維持、カード会員データの暗号化、および定期的なセキュリティ評価の実施が含まれます。企業は、これらの対策を徹底的に文書化し、データセキュリティへの取り組みを実証する必要があります。

2.コンプライアンス・レベルとアセスメント・タイプの決定

PCI DSS 規格は 4 つの加盟店レベルを定義しており、それぞれが準拠を達成し、AoC を取得するための独自の要件を備えています：

• PCI DSS 準拠レベル 1：年間 600 万件以上のカード取引を処理する加盟店に適用されます。このレベルでは、加盟店は認定セキュリティ評価者（QSA）による外部監査を実施する必要があります。審査員は、調査結果をコンプライアンス報告書（RoC）に記載します。加盟店がRoCに合格した場合、QSAはコンプライアンス証明書を作成します。
• PCI DSS 準拠レベル 2：年間 100 万～600 万件のトランザクションを処理する加盟店に適用されます。このような加盟店の中には、QSA による外部監査と RoC が必要な場合もありますが、ほとんどの場合は内部アセスメントを実施し、自己評価質問票（SAQ）を提出することができます。RoCまたはSAQに基づいて、コンプライアンス証明書を提出することができます。
• PCI DSS 準拠レベル 3：年間 2 万件から 100 万件のトランザクションを処理する加盟店に適用されます。これらの加盟店はSAQを提出する必要があり、それに基づいて準拠証明書を作成できます。
• PCI DSS準拠レベル4：年間処理トランザクション数が20,000未満の加盟店に適用されます。このレベルの組織は、主に銀行の PCI 要件を満たす必要があります。SAQおよびAoCフォームが必要な場合もあれば、不要な場合もあります。

3.コンプライアンスに関する質問書または報告書の提出

外部監査または内部評価の後、組織はそれぞれ準拠報告書（RoC）または自己評価アンケート（SAQ）を提出する必要があります。これらの評価では、企業の PCI DSS 基準への準拠が評価され、その結果、完全な準拠または欠陥への対処計画が提示されます。

組織が PCI DSS 要件に準拠していない領域がある場合は、セキュリティ対策を改善し、評価を繰り返す必要があります。すべての問題に対処したら、最終的にコンプライアンス証明書（AoC）を提出できます。

有資格セキュリティ・アセッサー（QSA）とは？

QSA（Qualified Security Assessor）とは、PCI セキュリティ基準審議会（PCI Security Standards Council）によって認定された専門家で、Payment Card Industry Data Security Standard（PCI DSS）に準拠して組織を評価します。PCI DSS レベル 1（場合によってはレベル 2）の加盟店のみが、QSA による外部監査を受ける必要があります。

QSA の認定プロセスは厳しく、情報セキュリティに関する幅広い知識と経験を証明する必要があります。QSA は、組織のセキュリティ対策、ポリシー、および手順が PCI DSS 要件に適合していることを確認する包括的な評価を実施する責任を負います。

QSA 監査には、文書レビュー、インタビュー、および技術テストが含まれます。審査後、QSA は調査結果の詳細と組織が PCI DSS 基準を満たしているかどうかを記載した準拠報告書（RoC）を作成します。該当する PCI 要件がすべて「実施中」であることが確認されると、QSA は組織が PCI DSS に準拠していることを示す準拠証明書（AoC）を作成します。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、最小限の混乱で PCI 準拠証明（AoC）を取得および維持するための高度なヒントを紹介します：

スコープを精密に最適化する

カード会員データ環境（CDE）を明確に定義し、ネットワークセグメンテーションを使用して分離する。これにより、対象システムの数を最小限に抑え、評価とコンプライアンスに必要な労力を削減できます。

内部査定者との事前監査

情報セキュリティアセッサー（ISA）または内部チームを使用して、詳細な内部事前監査を実施する。これにより、ギャップを特定し、正式な監査の前に是正を行うことができ、QSA レビューの時間を節約することができます。

自動証拠収集の導入

自動化ツールを使用して、PCI 要件に関連するログ、構成、および管理証拠を収集します。これにより、手作業を減らし、監査時に正確な文書をタイムリーに入手できるようにします。

継続的なコントロール・バリデーションの実施

ファイル整合性モニタリング（FIM）、SIEM ソリューション、脆弱性スキャナなどのツールを採用して、セキュリティ管理を継続的に検証する。リアルタイムの検証により、年間を通じてコンプライアンスを維持することができます。

サードパーティリスクとAoCコンプライアンスを整合させる

CDEに影響を与えるすべての第三者プロバイダーが、自らのAoCまたは同様の証明書を提出することを確認する。組織に影響を及ぼす可能性のあるコンプライアンス違反のリスクを回避するため、定期的にコンプライアンス状況を確認する。

AoC文書には何が含まれているのか？

AoCの主なセクションの概要は以下の通り。

評価の範囲

このセクションでは、PCI DSS 評価で評価される特定のシステム、ネットワーク、およびプロセスを詳細に説明します。評価の境界を定義し、ペイメントカードデータの処理、保存、または送信に関与するすべてのコンポーネントが対象となるようにします。

また、このセクションは、組織がコンプライアンスへの取り組みの範囲を理解するのにも 役立ちます。範囲を明確に定義することで、企業は、カード会員データを保護するために重要な分野に重点を置いて、 環境をより適切に管理し、保護することができます。

コンプライアンス状況

このセクションでは、評価対象エンティティが PCI DSS 要件を満たしているかどうかを特定します。このセクションでは、PCI DSS 要件に準拠しているかどうか、または改善が必要な領域を明確に示します。企業にとって、このセクションは自社のセキュリティ態勢の概要を示し、PCI 基準に関する成功と強化のための領域を特定します。

評価方法

このセクションでは、PCI DSS への準拠を判断するために実施される手順とテストの概要を説明します。これには、必要なセキュリティ管理の実装を検証するために評価者が使用した方法が含まれます。これによって、評価の厳密性と徹底性についての洞察が得られ、利害関係者の評価が包括的なものであることが保証されます。

セキュリティ・コントロール

このセクションでは、PCI DSS 要件に準拠するために企業が実施した具体的な管理および対策を詳細に説明します。このセクションでは、暗号化やアクセス制御から監視やリスク管理の実践に至るまで、機密データがどのように保護されているかを明らかにします。これにより、関係者は組織のセキュリティ体制を明確に把握することができます。

アセッサ情報

このセクションには、アセスメントを実施したエンティティに関する詳細が含まれる。これらは、有資格セキュリティアセッサー（QSA）、認定スキャニングベンダー（ASV）、内部セキュリティアセッサー（ISA）である可能性があり、その証明書と連絡先の詳細を記載する。

コンプライアンス証明の有効期間は？

PCI AoC は発行日から 1 年間有効です。組織は、セキュリティ戦略の一環として定期的な評価を計画する必要があります。年 1 回の検証により、継続的な準拠が保証され、1 年間の環境または運用の変化から発生する可能性のある脆弱性に対処することができます。

査定をスムーズに行うために必要なものは？

PCI Attestation of Compliance（AoC）の取得プロセスを合理化し、審査をできるだけ円滑に進めるために、企業は特定の情報と文書を準備し、提供する必要があります。必要なものは以下のとおりです：

• IT 環境の詳細文書化:ネットワーク図、データフローチャート、カード会員データの処理、保存、または 送信に関与するすべてのシステムのインベントリなど、IT インフラストラクチャの包括的な文書を作成す る必要があります。カード会員データ環境（CDE）の境界を明確に示す必要があります。
• ポリシーと手順：情報セキュリティポリシー、アクセスコントロールポリシー、インシデント対応計画、および PCI DSS 要件に関連するその他の手順を作成し、アクセスできるようにします。
• 実施された管理の証拠:構成設定、スクリーンショット、ログ、または PCI DSS 要件への準拠を証明するその他の証拠を提示できるようにしておきます。この証拠を各要件に対応するように体系的に整理します。
• サードパーティのサービスプロバイダのリスト:カード会員データの処理、保存、または送信をサードパーティのサービ スプロバイダに依存している場合は、これらのプロバイダのリストを、それらのプロバイダが提供するサービ スの詳細とともに作成します。また、これらのプロバイダが PCI DSS に準拠していることを確認する契約書のコピーも用意する必要があります。
• 自己評価質問票（SAQ）：SAQは完全な評価の必要性に取って代わるものではないが、あなたの準備態勢について貴重な洞察を提供し、強みと改善点を浮き彫りにすることができる。

PCI DSS準拠Exabeam Fusion SIEM

結局のところ、PCI DSS コンプライアンスは、監査人に何を行っているかを証明することがすべてです。DLP、エンドポイント、脆弱性スキャン、ネットワーク、アイデンティティの各ベンダーがパズルのピースを提供する一方で、Exabeam Fusion SIEMは、イベントとアラートにコンテキストとリスクスコアリングを追加してエンドツーエンドの PCI DSS コンプライアンスの全体像を示すことで、すべてをまとめて攻撃の全体像を把握するのに役立ちます。

Exabeam Fusion SIEMは、PCI 資産で発見された脆弱性に関するレポートをセキュリティ・チームに提供します。このレポートでは、ファイアウォール、ルータ、スイッチ、および脆弱性データを生成するその他のデバイスが生成する脆弱性スキャンの詳細データを調べます。カード会員データ環境の脆弱性スキャンは、悪意のある個人によって発見され悪用される可能性のあるネットワーク内の潜在的な脆弱性を明らかにします。組織は、このレポートを使用して、修正が必要なカード会員システ ムの特定の高度な脆弱性または重要な脆弱性を特定します。

Fusion SIEMはまた、IDS、IPS、DLPシステムから動中または静止中に発見されたクレジットカード・データを調査し、ネットワーク経由または許可されていないリムーバブル・ストレージ・デバイスへのクレジットカード・データの不正送信の可能性を可視化します。顧客はこのレポートを使用して送信元を特定し、さらに調査して修正することができます。カード会員データ環境は、IDS、IPS、および DLP ベースのテクノロジを使用して、クレジットカードデータの不正な送信を監視する必要があります。

クレデンシャルの異常や異常なアクティビティや動きから、クレジットカード・データへのアクセスや送信に至るまで、Exabeamはあらゆるクレデンシャル、データの動き、アクティビティに対して「正常」という明確なビューを提供し、SOCのワークフローを合理化し、侵害された内部者や悪意のある内部者が発生した場合の対応を支援するだけでなく、エコシステム内でのマルウェアやランサムウェアの横方向の動きを検出します。