権限を与えられた担当者のみが重要なデータにアクセスできるように、システムおよびプロセスでは、職責に応じて必要な範囲にアクセスを制 限する必要があります。
「必要な範囲」とは、アクセス権が職務の実行に必要な最小限のデータ量および特権にのみ付与されることを示します。
PCI DSS要件 テスト手順 ガイダンス
7.1 システムコンポーネントとカード会 員データへのアクセスを、業務上必要な 人に限定する。
7.1.a アクセス制御に関する文書化されたポリシーを入手して検討 し、ポリシーが以下のように 7.1.1〜7.1.4 を含んでいることを確認 する。
• 各役割のアクセスニーズと特権割り当てを定義する
• 特権ユーザ ID に与えるアクセス権が、職務の実行に必要な最 小限の特権に制限されていること
• 特権の付与は、個人の職種と職務に基づくこと
• すべてのアクセスに対して、権限を持つ関係者による、許可 された特権のリストを含む、文書化された承認(書面または 電子的)
カード会員データにアクセスする人が増えるほ ど、ユーザのアカウントが不正に使用されるリス クが高まります。アクセスを、業務上必要とする 正当な理由がある人に限定すると、組織での経験 不足や悪意によるカード会員データの不適切な処 理を防ぐことができます。
7.1.1 以下を含む、各役割のアクセス ニーズを定義する
• 各役割が職務上アクセスする必要 のあるシステムコンポーネントと データリソース
• リソースへのアクセスに必要な特 権レベル (ユーザ、管理者など)
7.1.1 役割のサンプルを選択し、 各役割のアクセスニーズが定義 されており、以下を含むことを確認する。
• 各役割が職務上アクセスする必要のあるシステムコンポーネ ントとデータリソース
• 各役割が職務を遂行するために必要な特権の特定
カード会員データへのアクセスをそのアクセスを 必要とするユーザに限定するためには、まず、各 役割のアクセスニーズ(システム管理者、コール センタースタッフ、店員など)、各役割がアクセ スする必要のあるシステム/デバイス/データ、各役 割が割り当てられたタスクを効果的に遂行するた めに必要な特権レベルを定義する必要がありま す。役割が定義されたら、その役割に応じて各人 のアクセス権を付与できます。
7.1.2 特権ユーザ ID に与えるアクセス 権を職務の実行に必要な最小限の特権 に制限する。
7.1.2.a アクセス権の割り当ての責任者をインタビューすること で、特権ユーザ ID へのアクセスが以下を満たしていることを確 認する。
• そのようなアクセス権を特に必要とする役割にのみ割り当て られる
• 職務の実行に必要な最小限の特権に制限されている
特権 ID を割り当てるとき、各人が仕事を遂行する ために必要な特権を割り当てることが重要です
(「必要最小限の特権」)。たとえば、データ ベース管理者やバックアップ管理者には、システ ム全体の管理者と同じ特権を割り当てないことが 必要です。必要最小限の特権を割り当てること
PCI DSS要件 テスト手順 ガイダンス 7.1.2.b アクセス権を持つユーザ ID のサンプルを選択し、管理責
任者をインタビューすることで、割り当てられた特権が以下を満 たすことを確認する。
• そのユーザの職務に必要
• 職務の実行に必要な最小限の特権に制限されている
で、アプリケーションについて十分な知識のない ユーザが間違って、または知らないでアプリケー ションの構成を変更したり、セキュリティ設定を 変更することを防止できます。必要最小限の特権 を割り当てることはまた、無許可の人物がある ユーザ ID にアクセスできた場合の損害範囲を最小 限にとどめるためにも役立ちます。
7.1.3 個人の職種と職務に基づくアクセ ス権の割り当てる。
7.1.3 ユーザ ID のサンプルを選択し、管理責任者をインタビュー することで、割り当てられた特権がその個人の職種と職務に基づ いていることを確認する。
ユーザ役割のニーズが定義されたら(PCI DSS 要 件 7.1.1 に従って)、すでに作成されている役割を 使用し、各人の職種と職務に基づき簡単にアクセ ス権を付与することができます。
7.1.4適切な権限を持つ関係者による文
書化された変更承認を必要とする。
7.1.4 ユーザ ID を選択し、文書化された承認と比較することで、
以下を確認する。
• 割り当てられた特権に対する文書化された承認が存在する
• その承認は権限のある関係者によるものである
• 指定された特権がその個人に割り当てられた役割に一致して いる
文書化された承認(書面または電子的)により、
アクセス権を持つ個人が管理責任者に知られてお り、許可されていること、およびそのアクセスが 職務上必要であることが確認できます。
7.2 システムコンポーネントで、ユーザ の必要性に基づいてアクセスが制限さ れ、特に許可のない場合は「すべてを拒 否」に設定された、アクセス制御システ ムを確立する。
アクセス制御システムには以下の項目を 含める必要がある。
7.2 システムの設定とベンダの文書を検査し、アクセス制御システ ムが以下のように実装されていることを確認する。
ユーザが必要とする範囲に基づいてアクセスを制 限するメカニズムがないと、ユーザは知らないう ちにカード会員データへのアクセスを付与される 場合があります。アクセス制御システムは、アク セスの制限と特権の割り当てプロセスを自動化し ます。さらに、デフォルトの「すべてを拒否」設 定により、そのアクセス権を特に付与するルール が確立されるまで、誰にもアクセス権が付与され ないようになっています。
注: 一部のアクセス制御システムはデフォルトで
「すべてを許可」が設定されており、個別に拒否 するためのルールを記述しない限り、または記述 するまでは、アクセスが許可される。
7.2.1 すべてのシステムコンポーネント を対象に含む
7.2.1 アクセス制御システムがすべてのシステムコンポーネント に実装されていることを確認する。
7.2.2 職種と職務に基づく、個人への特 権の付与
7.2.2 アクセス制御システムが、職種と職務に基づいて個人に割 り当てられる特権を強制するよう構成されていることを確認す る。
7.2.3 デフォルトでは「すべてを拒否」
の設定
7.2.3 アクセス制御システムがデフォルトで「すべて拒否」が設 定されていることを確認する。
PCI DSS要件 テスト手順 ガイダンス 7.3 カード会員データへのアクセスを制
限するためのセキュリティポリシーと操 作手順が文書化されて使用されており、
影響を受ける関係者全員に知られている ことを確認する。
7.3 文書を調べ、担当者をインタビューすることで、カード会員 データへのアクセスを制限するためのセキュリティポリシーと操作 手順が以下の要件を満たしていることを確認する。
• 文書化されている
• 使用されている
• 影響を受ける関係者全員に知らされている
担当者はセキュリティポリシーと操作手順を認 識・順守して、アクセスが、知る必要性と必要最 小限の特権に基づいて継続的に制御されるように することが必要です。