ログ記録メカニズムおよびユーザの行動を追跡する機能は、データへの侵害を防ぐ、検出する、またはその影響を最小限に抑えるうえで不可欠 です。すべての環境でログが存在することにより、何か不具合が発生した場合に徹底的な追跡、警告、および分析が可能になります。侵害の原 因の特定は、システムアクティビティログなしでは非常に困難です。
PCI DSS 要件 テスト手順 ガイダンス
10.1 システムコンポーネントへのすべての アクセスを各ユーザにリンクする監査証跡 を確立する
10.1 システム管理者の観察とインタビューを通じて、
• システムコンポーネントに対する監査証跡が有効になっていて アクティブであることを確認する
• システムコンポーネントへのアクセスを各ユーザにリンクする
ユーザアクセスをアクセス先のシステムコン ポーネントにリンクするプロセスまたはシステ ムを確立することが重要です。このシステム は、監査ログを生成し、疑わしいアクティビ ティを特定のユーザまで追跡する機能を提供し ます。
10.2 次のイベントを再現するために、すべ てのシステムコンポーネントの自動監査証 跡を実装する。
10.2 責任者のインタビュー、監査ログの調査、および監査ログ設 定の調査を通じて、以下を実行する。
疑わしいアクティビティの監査証跡の生成は、
システム管理者に警告を送信し、データを他の 監視メカニズム(侵入検知システムなど)に送 信し、インシデント後の追跡用の履歴証跡を提 供します。次のイベントをログに記録すること により、組織は悪意のある行為の可能性を識別 および追跡できます。
10.2.1 カード会員データへのすべての個人 アクセス
10.2.1 カード会員データへのすべてのアクセスがログに記録され ていることを確認する。
悪意のある者が CDE でシステムにアクセスでき るユーザアカウント情報を取得したり、カード 会員データにアクセスするために新しい不正な アカウントを作成する可能性があります。カー ド会員データへのすべての個人アクセスの記録 から、侵害または誤使用されている可能性があ るアカウントを識別できます。
10.2.2 ルート権限または管理権限を持つ個 人によって行われたすべてのアクション
10.2.2 ルートまたは管理者権限を持つ個人によって実施されたす べてのアクションが記録されていることを確認する。
高い権限を持つ「管理者」や「ルート」などの アカウントは、システムのセキュリティや本番 環境機能に多大な影響を及ぼす可能性がありま す。実行されたアクティビティのログがなけれ ば、組織は管理者権限の誤使用によって生じた 問題を追跡し、原因となる行為や個人を特定す ることができません。
PCI DSS 要件 テスト手順 ガイダンス
10.2.3 すべての監査証跡へのアクセス 10.2.3 すべての監査証跡へのアクセスがログ記録されることを確
認する。
悪意のある者は、多くの場合、自身の行為を隠 すために監査ログの変更を試みます。アクセス の記録があれば、組織はログの矛盾や改ざんの 可能性を追跡して個人のアカウントを特定でき ます。ログにアクセスして変更、追加、削除を 特定できることは、無許可の者が取ったステッ プを追跡するのに役立ちます。
10.2.4 無効な論理アクセス試行 10.2.4 無効な論理アクセス試行が記録されていることを確認す
る。
悪意のある者は、多くの場合、ターゲットとな るシステムに対する複数のアクセスを試みま す。無効なログインが何度も試行された場合、
不正ユーザが「総当たり」によるパスワードの 推測を試行している可能性があります。
10.2 5 識別と認証メカニズムの使用および 変更(新しいアカウントの作成、特権の上 昇を含むがこれらに限定されない)、およ びルートまたは管理者権限を持つアカウン トの変更、追加、削除のすべて
10.2.5.a 識別および認証メカニズムの使用がログに記録されるこ とを確認する。
インシデントの発生時点で誰がログオンしてい たかがわからなければ、使用された可能性があ るアカウントを特定できません。また、悪意の ある者が認証をバイパスしたり、有効なアカウ ントになりすましたりする目的で認証管理の操 作を試みる可能性もあります。
10.2.5.b 特権の上昇がすべてログに記録されることを確認する 10.2.5.c ルートまたは管理者権限を持つアカウントの変更、追 加、または削除がすべてログに記録されていることを確認する
10.2.6 監査ログの初期化、停止、一時停止 10.2.6 以下がログに記録されていることを確認する。
• 監査ログの初期化
• 監査ログの停止と一時停止
不正なアクティビティを実行する前に監査ログ を停止する(または一時停止する)ことは、悪 意のある者が検出から逃れるための一般的な手 法です。監査ログの初期化は、ユーザが自身の 行為を隠蔽するためにログ機能を無効にした可 能性を示します。
10.2.7 システムレベルオブジェクトの作成 および削除
10.2.7 システムレベルオブジェクトの作成および削除がログ記録 されることを確認する。
マルウェアなどの悪意のあるソフトウェアは、
多くの場合、システムの特定の機能や操作を制 御するためにターゲットシステム上のシステム レベルオブジェクトを作成または置換します。
データベーステーブルやストアドプロシージャ など、システムレベルのオブジェクトが作成ま たは削除されるたびにログに記録することで、
そのような変更が承認されたものであったかを 判断しやすくなります。
10.3 イベントごとに、すべてのシステムコ ンポーネントについて少なくとも以下の監 査証跡エントリを記録する。
10.3 インタビューと監査ログの観察を通じて、監査可能なイベン ト(10.2 に記載)ごとに、以下を実行する。
10.2 に記載されている監査可能なイベントに対 してこれらの詳細を記録することにより、侵害 の可能性を迅速に識別し、人物、内容、場所、
PCI DSS 要件 テスト手順 ガイダンス
10.3.1 ユーザ識別 10.3.1 ユーザ識別がログエントリに含まれることを確認する。 方法に関する十分な詳細を把握することができ
ます。
10.3.2 イベントの種類 10.3.2 ログエントリにイベントの種類が含まれていることを確認
する。
10.3.3 日付と時刻 10.3.3 ログエントリに日付と時刻が含まれていることを確認す
る。
10.3.4 成功または失敗を示す情報 10.3.4 ログエントリに成功または失敗を示す情報が含まれること
を確認する。
10.3.5 イベントの発生元 10.3.5 ログエントリにイベントの発生元が含まれていることを確
認する。
10.3.6 影響を受けるデータ、システムコン ポーネント、またはリソースの ID または 名前。
10.3.6 影響を受けるデータ、システムコンポーネント、またはリ ソースの ID または名前がログエントリに含まれることを確認す る。
10.4 時刻同期技術を使用してすべての重要 なシステムクロックおよび時間を同期し、
時間を取得、配布、保存するために以下の 要件が実施されていることを確認する。
注: ネットワークタイムプロトコル(NTP) は、時刻同期技術の一例である。
10.4 構成基準とプロセスを調べることで、時刻同期技術が実装さ れ、PCI DSS の要件 6.1 と 6.2 に従って最新状態に保たれている ことを確認する。
時刻同期技術は複数のシステムのクロックを同 期するために使用されます。クロックが正しく 同期されていない場合、他のシステムとのログ ファイルの比較および正確なイベント順序の設 定が不可能にはならなくても、困難になります
(これらは侵害が発生した場合のフォレンジッ ク分析に不可欠です)。インシデント後のフォ レンジックチームにとって、すべてのシステム の時刻の正確性と一貫性、および各アクティビ ティの時刻は、システムがどのように侵害され たかを判断するうえで重要です。
•
10.4.1 重要なシステムが正確で一貫性のあ る時刻を持っている。
10.4.1.a 組織内で正しい時刻を取得、配布、保存するプロセスを 調べて、以下を確認する。
• 指定した中央タイムサーバが、外部ソースから時刻信号を受 信し、外部ソースからの時刻信号は国際原子時または UTC に 基づいている。
• 複数のタイムサーバがある場合、それらのタイムサーバが正 確な時刻を保つためにお互いに通信する。
• システムは時刻情報を指定した中央タイムサーバからのみ受 信する。
PCI DSS 要件 テスト手順 ガイダンス 10.4.1.b システムコンポーネントのサンプルに対して、時刻関係
のシステムパラメータ設定を観察して、以下を確認する。
• 指定した中央タイムサーバが、外部ソースから時刻信号を受 信し、外部ソースからの時刻信号は国際原子時または UTC に 基づいている
• 複数のタイムサーバが指定されている場合、指定した中央タ イムサーバが正確な時刻を保つためにお互いに通信する
• システムは時刻情報を指定した中央タイムサーバからのみ受 信する
10.4.2 時刻データが保護されている。 10.4.2.a システム構成および時刻同期設定を調べて、時刻データ
へのアクセスは、業務上時刻データにアクセスする必要のある担 当者のみに制限されていることを確認する。
10.4.2.b システム構成および時刻同期設定とプロセスを調べて、
重要なシステムの時刻設定への変更が、ログ記録、監視、および レビューされていることを確認する。
10.4.3 時刻設定は、業界で認知されている 時刻ソースから受信されている。
10.4.3 システム構成を調べて、タイムサーバが(悪意のある個人が 時計を変更するのを防ぐために)業界で認知されている特定の外部 ソースから時刻更新を受け付けることを確認する。(内部タイム サーバの不正使用を防ぐために)これらの更新を対称キーで暗号化 し、時刻更新が提供されるクライアントマシンの IP アドレスを指 定するアクセス制御リストを作成することもできる。
10.5 変更できないよう監査証跡をセキュリ ティで保護する。
10.5 システム管理者をインタビューし、システム構成とアクセス 権限を調べて、次のように、監査証跡が変更できないようにセキュ リティで保護されていることを確認する。
多くの場合、ネットワークに侵入した悪意のあ る者は、監査ログを編集して自身の行動を隠そ うとします。監査されていないと、完全性、正 確性、整合性が保証されず、侵害後の調査ツー ルとして役に立たないことがあります。
10.5.1 仕事関連のニーズを持つ個人に監 査証跡の表示を制限する。
10.5.1 仕事関連のニーズを持つ個人のみが監査証跡ファイルを表 示できる。
監査ログの適切な保護には、強力なアクセス制 御(ログへのアクセスを「必要な範囲」に基づ いて制限する)と、ログを検索および変更しに くくするための物理的またはネットワーク分離 の使用が含まれます。ログを変更するのが困難 な一元管理のログサーバやメディアに即座に バックアップしておくと、システムが生成する ログが悪用された場合でも、ログの保護を維持 できます。