脆弱性は、悪意のある個人や研究者によって絶えず検出されており、新しいソフトウェアによって広められています。システムコンポーネント、
プロセス、およびカスタムソフトウェアを頻繁にテストして、セキュリティ管理が変化する環境に継続的に対応できるようにする必要がありま す。
PCI DSS 要件 テスト手順 ガイダンス
11.1 四半期ごとにワイヤレスアクセスポイン トの存在をテストし (802.11)、すべての承 認されているワイヤレスアクセスポイントと 承認されていないワイヤレスアクセスポイン トを検出し識別するプロセスを実施する 注: プロセスで使用される方法には、ワイヤ レスネットワークのスキャン、システムコン ポーネントおよびインフラストラクチャの論 理的/物理的な検査、ネットワークアクセス制
御(NAC)、無線 IDS/IPS が含まれるがこれ
らに限定されるわけではない。
いずれの方法を使用する場合も、承認されて いるデバイスと承認されていないデバイスを 両方検出および識別できる機能を十分に備え ている必要がある。
11.1.a ポリシーと手順を調べ、四半期ごとに承認されているワイヤ レスアクセスポイントと承認されていないワイヤレスアクセスポイ ントを両方検出し識別するプロセスが定義されていることを確認す る。
ネットワーク内でのワイヤレステクノロジの実 装と利用は、悪意のある者がネットワークと カード会員データにアクセスするために使用す る最も一般的な経路の 1 つです。ワイヤレスデ バイスまたはネットワークが企業の知らない間 にインストールされた場合、攻撃者はネット ワークに容易に、かつ「認識されずに」侵入で きます。不正なワイヤレスデバイスはコン ピュータまたは他のシステムコンポーネント内 に隠れているか、接続している可能性がありま す。または、ネットワークポートや、スイッチ やルーターなどのネットワークデバイスに直接 接続している可能性もあります。このような不 正デバイスは環境内への不正なアクセスポイン トになる可能性があります。
どのワイヤレスデバイスが承認されているかが わかっていると、管理者は承認されていないワ イヤレスデバイスを素早く特定でき、承認され ていないワイヤレスアクセスポイントの ID に 対応することで、悪意のある者への CDE のそ れ以上の開示を予防することで被害を最小限に とどめることができます。
ワイヤレスアクセスポイントをネットワークに 簡単に接続できること、その存在を検出するの が困難なこと、および権限のないワイヤレスデ バイスがもたらすリスクの増加により、ワイヤ レステクノロジの使用を禁止するポリシーが存 在する場合でも、これらのプロセスを実行する 必要があります。
環境内に不正なワイヤレスアクセスポイントが インストールされていないことを確実にするた 11.1.b 方法が、少なくとも以下を含むすべての不正なワイヤレス
アクセスポイントを検出して識別するのに十分であることを確認す る。
システムコンポーネントに挿入された WLAN カード
ワイヤレスアクセスポイントを作成するためにシステムコン ポーネントに(USB などで)接続したポータブルやモバイル デバイス
ネットワークポートまたはネットワークデバイスに接続された ワイヤレスデバイス
11.1.c 最近のワイヤレススキャンの出力を調べて、以下を確認す る。
• 承認されているワイヤレスアクセスポイントと承認されていな いワイヤレスアクセスポイントが識別される
• すべてのシステムコンポーネントおよび施設に対し、このス キャンが少なくとも四半期ごとに実施されている
11.1.d 自動監視(ワイヤレス IDS/IPS や NAC など)が使用されて いる場合は、担当者に通知するための警告が生成されるように構成 されていることを確認する。
11.1.1 文書化されている業務上の理由を含 め、承認されているワイヤレスアクセスポイ ントのインベントリを維持する。
11.1.1 文書化されている記録を調べて、承認されているワイヤレス アクセスポイントのインベントリが維持されており、すべての承認 されているワイヤレスアクセスポイントに対して業務上の理由が文 書化されていることを確認する。
PCI DSS 要件 テスト手順 ガイダンス 11.1.2 不正なワイヤレスデバイスが検出され
た場合のインシデント対応計画を実装する。
11.1.2.a 組織のインシデント対応計画(要件12.9)を調べて、不正
なワイヤレスデバイスが検出された場合に要求される対応が含まれ ていることを確認する。
めの適切なツールとプロセスは、環境の規模と 複雑度によって決まります。
たとえば、ショッピングモール内の単独の小売 キオスクの場合、すべての通信コンポーネント を改ざん防止機能の付いたケースに収容し、キ オスクの詳細な物理検査を行うことで、不正な ワイヤレスアクセスポイントが接続またはイン ストールされていないことを十分に確認できま すが、複数のノードを持つ環境(大規模な小売 店、コールセンター、サーバルーム、データセ ンターなど)の場合、詳細な物理検査を行うこ とは困難です。この場合、物理的なシステム検 査とワイヤレスアナライザの結果を組み合わせ るなど、複数の方法を組み合わせることで要件 を満たすことが可能になります。
11.1.2.a 組織のインシデント計画を調べて(要件 12.10)、承認さ れていないワイヤレスアクセスポイントが検出された場合に、その 応答を定義し、要求していることを確認する。
11.1.2.b 責任者をインタビューし、最近のワイヤレススキャンと関 連応答を調べて、承認されていないワイヤレスアクセスポイントが 見つかった場合に対処されていることを確認する。
PCI DSS 要件 テスト手順 ガイダンス 11.2 内部と外部ネットワークの脆弱性スキャ
ンを少なくとも四半期に一度およびネット ワークでの大幅な変更(新しいシステムコン ポーネントのインストール、ネットワークト ポロジの変更、ファイアウォール規則の変 更、製品アップグレードなど)後に実行す る。
注: 四半期ごとのスキャンプロセスの複数の スキャンレポートをまとめて、すべてのシス テムがスキャンされ、すべての脆弱性に対処 されたことを示すことができる。未修正の脆 弱性が対処中であることを確認するために、
追加の文書が要求される場合がある。
初期の PCI DSS 準拠では、評価者が 1)最
新のスキャン結果が合格スキャンであったこ と、2)事業体で四半期に一度のスキャンを 要求するポリシーと手順が文書化されている こと、および 3)スキャン結果で判明した脆 弱性が再スキャンにおいて示されているとお りに修正されたことを確認した場合、初回の
PCI DSS 準拠のために、四半期に一度のス
キャンに 4 回合格することは要求されない。
初回 PCI DSS レビュー以降は毎年、四半期
ごとのスキャンに 4 回合格しなければならな い。
11.2 スキャンレポートと関連文書を調べて、 内部および外部脆弱 性スキャンが、次のように実行されていることを確認する。
脆弱性スキャンは、外部および内部のネット ワークデバイスとサーバに対して実行される自 動化ツールで、悪意のある者により発見されて 利用される可能性があるネットワーク内の脆弱 性の可能性を明らかにするよう設計されていま す。
PCI DSS には、3 種類の脆弱性スキャンが要求 されます。
• 四半期ごとの内部脆弱性スキャン(有資格者が実 施する、PCI SSC 認定スキャニングベンダ (ASV)
の使用は要求されない)
• 四半期ごとの外部脆弱性スキャン(ASV が実施す ることが必要)
• 大幅な変更後に行う内部と外部のスキャン これらの弱点が識別されたら、事業体はこれを 修正し、すべての脆弱性が修正されるまでス キャンを繰り返します。
脆弱性を遅滞なく特定して対処することで、脆 弱性が利用されてシステムコンポーネントや カード会員データが侵害される可能性は低下し ます。
11.2.1 すべての「高リスク」脆弱性(要件 6.1 で識別)が解決されるまで、必要に応 じて四半期ごとの内部脆弱性スキャンを繰 り返す。スキャンは有資格者が実施する必 要がある。
11.2.1.a スキャンレポートをレビューし、四半期ごとの内部ス キャンが過去 12 カ月間で 4 回行われたことを確認する。
インターネットシステム上の内部システムの脆 弱性を特定するために確立されたプロセスで は、四半期ごとの脆弱性スキャンを実施する必 要があります。環境に最大のリスクをもたらす 脆弱性(要件 6.1 に従って「高」にランク分け された脆弱性など)は、最優先で解決する必要 11.2.1.b スキャンレポートをレビューし、スキャンプロセスで再
スキャンを行ったこと、または PCI DSS 要件 6.1 で定義された すべての「高リスク」の脆弱性が解決されるまで再スキャンを 行ったことを確認する。