モバイルコンピュータ、ストレージデバイスの使用など、業務上承認された活動を通じて、システムの脆弱性を利用してネットワークに侵入し ます。マルウェアの影響を受けやすいすべてのシステムで、ウィルス対策ソフトウェアを使用して、最新の進化するマルウェアソフトウェアの 脅威からシステムを保護する必要があります。追加のウィルス対策ソリューションの使用をウィルス対策ソフトウェアの補助として考慮するこ とはできますが、このようなウィルス対策ソリューションで、必要なウィルス対策ソフトウェア実装の必要性を置き換えるものではありません。
PCI DSS 要件 テスト手順 ガイダンス
5.1 悪意のあるソフトウェアの影響を受 け やすいすべてのシステム(特にパーソ ナルコンピュータとサーバ)に、ウィル ス対策ソフトウェアを導入する。
5.1 悪意のあるソフトウェアの影響を受けやすいすべてのオペレー ティングシステムタイプを含む、システムコンポーネントのサンプ ルについて、適用可能なウィルス対策テクノロジが存在する場合 は、ウィルス対策ソフトウェアが導入されていることを確認する。
広く報道されているセキュリティ上の弱点を使っ た「0 day」(これまでに知られていなかった脆弱 性を狙った攻撃)と呼ばれる、それ以外の攻撃に 対しては安全なシステムを狙う攻撃が次々に出現 しています。定期的にウィルス対策ソフトウェア を更新しないと、これらの新しい形式の悪意ある ソフトウェアにより、ネットワークが攻撃され、
使用できなくなる恐れがあります。
5.1.1 ウィルス対策プログラムが、既知 の悪意のあるソフトウェアの全タイプに 対して、検出、削除、保護が可能である ことを確認する。
5.1.1 ベンダ文書を読み、ウィルス対策構成を調べて、ウィルス対 策プログラムが以下を行うことを確認する
• 既知の悪意のあるソフトウェアの全タイプを検出する。
• 既知の悪意のあるソフトウェアの全タイプを削除する。
• 既知の悪意のあるソフトウェアの全タイプから保護する。
例として、ウィルス、トロイの木馬、ワーム、スパイウェア、アド ウェア、ルートキットなどがあります。
すべての種類および形式の、悪意のあるソフト ウェアから保護することが重要です。
5.1.2 一般的に悪意のあるソフトウェア に影響されないとみなされているシステ ムでは、定期的に評価を行って、進化を 続けるマルウェアの脅威を特定して評価 することで、システムにウィルス対策ソ フトウェアが依然として必要ないかどう かを判断する
5.1.2 担当者をインタビューすることで、システムにウィルス対策 ソフトウェアが依然として必要ないかどうかを判断するために、進 化を続けるマルウェアの脅威の、一般的に悪意のあるソフトウェア に影響されないとみなされているシステムに対する影響が監視され ていることを確認する。
現在では、通常、メインフレーム、ミッドレンジ コンピュータ(AS/400 など)、その他の類似シス テムは、マルウェアに狙われたり、侵害されるこ とはありません。しかしながら、悪意のあるソフ トウェアの傾向は急変する可能性があるため、組 織は自社のシステムを侵害する可能性のある新し いマルウェアについて常に警戒していることが重 要です。これには、たとえばベンダセキュリティ 通知やウィルス対策ニュースグループの動きを継
PCI DSS 要件 テスト手順 ガイダンス
続的に監視し、自社のシステムが新しいマルウェ アや進化を続ける脅威の影響を受けるか判断する ことなどが可能です。
悪意のあるソフトウェアの傾向を、新しいセキュ リティの脆弱性の識別に含め、必要に応じて、新 しい傾向への対応方法を企業の構成基準および保 護メカニズムに組み込む必要があります。
5.2 すべてのウィルス対策メカニズムが以 下のように維持されていることを確認す る。
• 最新の状態である
• 定期的にスキャンを行う
•
• PCI DSS 要件 10.7 に従って監査ロ
グを生成・保持する
どのように優れたウィルス対策ソリューションで も、最新のセキュリティ更新、署名ファイル、マ ルウェアからの保護に合わせて保守管理されてい ないと、その効果は制限されます。
監査ログで、ウィルスやマルウェアの活動とアン チマルウェアの対応を監視することができます。
監査ログを生成するようにアンチマルウェアソフ トウェアを構成し、ログを要件 10 に従って管理す ることが不可欠です。
5.2.a ポリシーと手順を調べて、ウィルス対策ソフトウェアおよび 定義を最新状態に保つことが要求されていることを確認する。
5.2.b ソフトウェアのマスタインストールを含め、ウィルス対策 構成を調べることで、ウィルス対策メカニズムが以下を満たすこ とを確認する。
• 自動更新を行うように構成されている
• 定期的にスキャンを行うように構成されている
5.2.c 悪意のあるソフトウェアの影響を受けやすいすべてのオペ レーティングシステムタイプを含む、システムコンポーネントの サンプルについて、以下を確認する。
• ウィルス対策ソフトウェアと定義が最新である。
• 定期的なスキャンが実行される。
5.2.d ソフトウェアのマスタインストールを含め、ウィルス対策 構成を調べることで、ウィルス対策メカニズムが以下を満たすこ とを確認する。
• ウィルス対策ソフトウェアログの生成が有効になっている
• ログが PCI DSS 要件 10.7 に従って保持されている 5.3 ウィルス対策メカニズムがアクティブ
に実行されており、経営管理者からケース バイケースで期間を限って特別に許可され
5.3.a ソフトウェアのマスタインストールとシステムコンポーネン トのサンプルを含め、ウィルス対策構成を調べることで、ウィルス 対策ソフトウェアがアクティブに実行されていることを確認する。
連続的に実行され、変更できないウィルス対策 は、マルウェアに対する持続的なセキュリティを 提供します。
PCI DSS 要件 テスト手順 ガイダンス ない限り、ユーザが無効にしたり変更でき
ないことを確認する。
注: ウィルス対策ソリューションは、ケー スバイケースで経営管理者により許可され たことを前提に、正当な技術上のニーズが ある場合に限り、一時的に無効にすること ができます。特定の目的でアンチウィルス 保護を無効にする必要がある場合、正式な 許可を得る必要があります。アンチウィル ス保護が無効になっている間、追加のセ キュリティ手段が必要になる場合がありま す。
5.3.b ソフトウェアのマスタインストールとシステムコンポーネン トのサンプルを含め、ウィルス対策構成を調べることで、ウィルス 対策ソフトウェアがユーザによって無効化・変更できないことを確 認する。
すべてのシステムでポリシーベースの制御を使用 してアンチマルウェア保護の変更や無効化ができ なくすることは、システムの弱点から悪意のある ソフトウェアが侵害するのを防ぐのに役立ちま す。
ウィルス対策保護が無効になっている間、たとえ ば、ウィルス対策が無効になったときにインター ネットから非保護のシステムを切り離して、再び 有効にした後フルスキャンを実行するなど、追加 のセキュリティ手段が必要になる場合がありま す。
5.3.c 責任者をインタビューし、プロセスを観察することで、ウィ ルス対策ソフトウェアは、経営管理者からケースバイケースで期間 を限って特別に許可されない限り、ユーザが無効化・変更できない ことを確認する。
5.4 マルウェアからシステムを保護するた めのセキュリティポリシーと操作手順が文 書化されて使用されており、影響を受ける 関係者全員に知られていることを確認す る。
5.4 文書を調べ、関係者をインタビューすることで、マルウェアか らシステムを保護するためのセキュリティポリシーと操作手順が以 下の要件を満たしていることを確認する。
• 文書化されている
• 使用されている
• 影響を受ける関係者全員に知らされている
システムが継続的にマルウェアから保護されるよ うにするために、関係者はセキュリティポリシー と操作手順を認識・順守する必要があります。