データまたはカード会員データを格納するシステムへの物理アクセスは、デバイスまたはデータにアクセスし、システムまたはハードコピーを 削除する機会をユーザに提供するため、適切に制限する必要があります。要件 9 において、「オンサイト要員」 とは、フルタイムおよびパート タイムの従業員、一時的な従業員、事業体の施設内に物理的に存在する請負業者やコンサルタントのことです。「訪問者」は、ベンダ、オンサ イト要員の客、サービス要員、または短期間(通常は 1 日以内)施設に入る必要がある人のことです。「媒体」は、カード会員データを含むす べての紙および電子媒体のことです。
PCI DSS 要件 テスト手順 ガイダンス
9.1 適切な施設入館管理を使用して、カード会 員データ環境内のシステムへの物理アクセスを 制限および監視する。
9.1 各コンピュータルーム、データセンター、およびカード会員 データ環境内のシステムを備えた物理的なエリアで、物理的なセ キュリティコントロールが存在することを確認する。
バッジ読み取り機または承認済みバッジ、施錠、鍵などのその他のデバ イスによってアクセスが管理されていることを確認する。
システム管理者がカード会員環境内のランダムに選択したシステムのコン ソールにログインするのを観察して、コンソールが不正使用を防止するよ うに「ロック」されていることを確認する。
バッジシステムや入室の管理などの物理的な アクセス制御がないと、権限のないユーザが 施設に容易に入り、重要なシステムやカード 会員データを無効化、中断、または破壊する ことができます。
コンソールのログイン画面をロックすること で、権限のない人々が機密情報にアクセスし たり、システム構成を変更したり、ネット ワークに脆弱性を導入したり、記録を破壊し たりすることができます。
9.1.1 ビデオカメラやアクセス制御メカニズ ムを使用して、機密エリアへの個々の物理ア クセスを監視する。収集されたデータを確認 し、その他のエントリと相関付ける。法律に
9.1.1.a ビデオカメラやアクセス制御メカニズムを使用して、機 密エリアへの入退場ポイントを監視する。
物理的な侵入の調査時、これらの管理は、機 密エリアに物理的にアクセスした個人および その侵入と退出時刻を特定するのに役立ちま
9.1.1.b ビデオカメラやアクセス制御メカニズムが改ざんや無効 す。
化から保護されていることを確認する。
PCI DSS 要件 テスト手順 ガイダンス よって別途定められていない限り、少なくと
も 3 カ月間保管する。
注: 「機密エリア」とは、データセンター、
サーバルーム、またはカード会員データを保 存、処理、または伝送するシステムが設置さ れているエリアのことである。これには、小 売店のレジなど、POS 端末のみが存在するエ リアは含まれない。
9.1.1.c ビデオカメラやアクセス制御メカニズムが監視され、カ メラやその他のメカニズムからのデータが少なくとも 3 カ月間 保管されていることを確認する。
機密エリアへの物理的なアクセスを試みる犯 罪者は、監視制御装置を無効にしたりバイパ スすることを試みようとします。これらの制 御装置の改ざんを防止するために、ビデオカ メラを設置して、改ざんを検出されないでは 装置にアクセスできなくすることができま す。同様に、アクセス制御メカニズムを監視 するか、物理的な保護を施し、悪意のある者 が破損したり無効にしたりすることを阻止で きます。
機密エリアの例として、社内データベース サーバルーム、カード会員データが保存され ている小売店舗のバックオフィスルーム 、大 量のカード会員データの保管エリアなどがあ ります。各組織で機密エリアを特定し、適切 な物理監視制御が実施されていることを確認 します。
9.1.2 物理/論理制御を実施することで、誰で もアクセス可能なネットワークジャックへの アクセスを制限する。
たとえば、公共の場や訪問者がアクセス可能 なエリアにあるネットワークジャックは、無 効にしておき、ネットワークへのアクセスが 明示的に承認されている場合にのみ有効にす ることができる。または、アクティブなネッ トワークジャックがあるエリアでは訪問者に 常に同行者をつけるプロセスを実施できる。
9.1.2 責任者をインタビューし、誰でもアクセスできる場所にあ るネットワークジャックの場所を観察して、物理/論理制御が備 わっており、誰でもアクセスできる場所にあるネットワーク ジャックへのアクセスを制限していることを確認する。
悪意のある者ネットワークジャック(または ネットワークポート)へのアクセスを制限す ると、悪意のある者が差し込み可能なネット ワークジャックを利用して内部ネットワーク リソースにアクセスするのを防ぐことができ ます。
論理制御か物理制御か、またはその組み合わ せかにかかわらず、明示的な許可を持つ個人 がデバイスをネットワークに接続するのを防 止できるものでなければなりません。
PCI DSS 要件 テスト手順 ガイダンス 9.1.3 ワイヤレスアクセスポイント、ゲート
ウェイ、ハンドヘルドデバイス、ネットワー ク/通信ハードウェア、および電気通信回線へ の物理アクセスを制限する。
9.1.3 ワイヤレスアクセスポイント、ゲートウェイ、ハンドヘル ドデバイス、ネットワーク/通信ハードウェア、および電気通信 回線への物理的なアクセスが適切に制限されていることを確認す る。
ワイヤレスコンポーネントおよびデバイスへ のアクセスに対するセキュリティがないと、
悪意のある者は、組織の無人ワイヤレスデバ イスを使用してネットワークリソースにアク セスしたり、さらには自身のデバイスをワイ ヤレスネットワークに接続して不正アクセス したりすることができます。また、ネット ワークと通信ハードウェアをセキュリティ保 護することにより、悪意のある者がネット ワークトラフィックを傍受したり、自身のデ バイスをワイヤード(有線)ネットワークリ ソースに物理的に接続したりすることを防止 できます。
9.2 次のようにオンサイト要員と訪問者を容易 に区別できるような手順を開発する。
新しいオンサイト要因や訪問者を識別する
(バッジの使用など)
アクセス要件を変更する
契約が終了したオンサイト要員や期限切れの 訪問者の ID(バッジなど)を無効にする
9.2.a 文書化されたプロセスを調べて、オンサイト担当者と訪問 者を識別し、区別する手順が定義されていることを確認する。
手順に以下が含まれていることを確認します。
• 新しいオンサイト要員と訪問者を識別する(バッジの使用など)
• アクセス要件を変更する
• 契約が終了したオンサイト要員や期限切れの訪問者の ID(バッジ など)を無効にする
承認された訪問者を識別し、オンサイト要員 と容易に区別できるようにすることで、カー ド会員データが存在するエリアに不正な訪問 者が出入りを許可されることを防止します。
9.2.b オンサイト担当者と訪問者を識別し、区別するプロセスを観 察し、以下を確認する。
• 訪問者が明確に識別される
• オンサイト要員と訪問者を容易に区別できる
9.2.c 識別プロセス(バッジシステムなど)へのアクセスが、許可 された担当者に制限されていることを確認する。
9.2.d 使用されている識別方法(ID バッジなど)を調べて、訪問 者を明確に識別し、オンサイト担当者と訪問者を簡単に区別でき ることを確認する。
9.3 オンサイト要員の機密エリアへの物理アク セスを次のように制御する。
• アクセスが個々の職務に基づいて許可される
• 職務の終了後直ちにアクセスを無効とし、鍵、ア クセスカードなどすべての物理アクセスメカニズムを
9.3.a CDE への物理アクセス権を持つオンサイト要員のサンプル に対して、責任者をインタビューし、アクセス制御リストを見 て、以下を確認する。
• CDE へのアクセスが許可されている
• アクセスがその個人の職務に必要
CDE への物理アクセスの制御により、業務 上、正当な必要性のある承認された者だけが アクセスを許可されるようにすることができ ます。
担当者が組織を離れるとき、すべての物理ア
PCI DSS 要件 テスト手順 ガイダンス 返還するか無効にする 9.3.b 関係者による CDE へのアクセスを観察して、すべての関係
者は、アクセスを許可される前に、承認が必要であることを確認 する。
クセスメカニズムを、退職後できるだけ速や かに返すか無効にして、退職後に CDE に物理 的にアクセスできなくする必要があります。
9.3.c 最近退職した従業員のサンプルを選択し、アクセス制御リス トを調べ、その従業員が CDE への物理アクセスを持たないことを 確認する。
9.4 訪問者を識別し、承認する手順を実施す る。
手順には、以下を含める必要がある。
9.4 訪問者の承認とアクセス制御が次のように行われていることを 確認する。
訪問者管理は、権限のない人々や悪意のある 者が施設(さらにカード会員データ)にアク セスするリスクを削減するために重要です。
訪問者管理により、訪問者が入室を認められ ているエリアにのみ入室できること、担当者 が行動を監視できるように訪問者として識別 可能であること、およびアクセスが正当な訪 問時間内のみに制限されることを確実にでき ます。
期限が切れたか訪問が完了した時点で訪問者 バッジが確実に返還されるようにすること で、悪意のある者が前に承認されたパスを 使って訪問が終わった後に建物に侵入するこ とを防止できます。
訪問者に関する最小限の情報を文書化する訪 問者ログは、容易に低コストで維持できま す。また、建物または部屋への物理アクセ ス、およびカード会員データへのアクセスの 可能性の識別に役立ちます。
9.4.1 訪問者は、カード会員データが処理また は保守されているエリアに入る前に承認が行わ れ、そのエリアにいる間ずっと同行者に付き添 われている
9.4.1.a 手順を観察し、担当者をインタビューすることで、訪問 者は、カード会員データが処理または保守されているエリアに入 ることが許可される前に承認が行われ、そのエリアにいる間ずっ と同行者に付き添われていることを確認する。
9.4.1.b 訪問者 ID バッジまたは他のID の使用を観察して、物理
トークンのバッジがカード会員データの処理または保守がされて いる物理エリアに同行者なしでアクセスできないことを確認す る。
9.4.2 訪問者が識別され、オンサイト担当者か ら明確に区別するための有効期限付きバッジそ の他の ID を与えられる。
9.4.2.a 施設内にいる人を観察し、訪問者バッジが使用されてい て、訪問者とオンサイト担当者を明確に区別できることを確認す る。
9.4.2.b 訪問者のバッジその他の ID が有効期限を過ぎると無効に なることを確認する。
9.4.3 施設を出る前、または期限が切れる日に バッジその他の ID の返還を求められる
9.4.3 施設から出る訪問者を観察して、訪問者が退去時または期限 切れのときにバッジその他の ID の返還を求められていることを確 認する。
9.4.4 訪問者ログを使用して、カード会員デー タの保存または送信が行われているコンピュー タルームやデータセンターなどの施設への訪問 者の行動の物理的監査証跡を保持する。
訪問者の名前、所属会社、物理アクセスを承認 したオンサイト要員をログに記録する。
法律によって別途定められていない限り、この ログを少なくとも3カ月間保管する。
9.4. 4.a カード会員データが保存または伝送されるコンピュータ ルームやデータセンターだけでなく、施設への物理アクセスの記 録にも訪問者ログが使用されていることを確認する。
9.4. 4.b ログに以下が含まれていることを確認する。
• 訪問者名
• 所属会社
• 物理アクセスを承認したオンサイト担当者 9.4.4.c ログが 3 カ月以上保持されることを確認する。