PA-DSS 要件 テスト手順 ガイダンス
4.1 インストールプロセスが完了したペイメントアプリケーシ ョンのデフォルトの "アウトオブボックス" インストールでは、す べてのユーザアクセスのログが記録され、すべての動作を 個々のユーザに関連付けられるようにする必要がある。
PCI DSS 要件 10.1 に対応
4.1.a ペイメントアプリケーションをインストールする。アプリケーションを テストし、インストール時に、ペイメントアプリケーションの監査証跡が 自動的に有効になっていることを確認する。
ペイメントアプリケーションは、ユーザをアクセスしたア プリケーションリソースにリンクし、監査ログを生成する プロセスまたはメカニズムを持ち、疑わしい活動を行 ったユーザを特定できる機能を適用することが重要 です。インシデント後のフォレンジックチームは、これら のログを頼りに調査を開始します。
4.1.b ベンダが作成する『PA-DSS 実装ガイド』を調べて、以下の 指示が含まれていることを確認する。
インストールプロセスの完了時に、ログが設定され、デフォルトで有 効にされるようにアプリケーションをインストールする方法。
インストール後、顧客によって構成可能なログオプションについて、
後述の PA-DSS 要件 4.2、4.3 および 4.4 に従い、PCI DSS 準拠のログ設定を設定する方法。
ログの無効化は PCI DSS に準拠しなくなるため行うべきではな いこと。
インストール後、顧客によって構成可能なログオプションについて、
ペイメントアプリケーションに付属している、または必要とされるサー ドパーティのソフトウェアコンポーネントで、PCI DSS 準拠のログ 設定を設定する方法。
4.2 ペイメントアプリケーションでは、次のイベントを再構築 するための自動監査証跡を記録する必要がある。
PCI DSS 要件 10.2 に対応
4.2 ペイメントアプリケーションの監査ログ設定と監査ログ出力を調 査してペイメントアプリケーションをテストし、次の事項を実行する。
4.2.1 から 4.2.7 のイベントをログに記録することに より、組織は悪意のある行為の可能性を識別およ び追跡できます。
4.2.1 ペイメントアプリケーションからカード会員データへ のすべての個人アクセス
4.2.1 ペイメントアプリケーションからのカード会員データへのすべての 個人アクセスがログ記録されることを確認します。
悪意のある個人が、アプリケーションを通してカード 会員データにアクセスできるユーザアカウント情報を 取得したり、カード会員データにアクセスするために 新しい不正なアカウントを作成する可能性がありま す。カード会員データへのすべての個人アクセスの記 録から、侵害または誤使用されている可能性がある アカウントを識別できます。
PA-DSS 要件 テスト手順 ガイダンス 4.2.2 ペイメントアプリケーションで管理権限が割り当て
られた個人によって行われたすべてのアクション
4.2.2 ペイメントアプリケーションに対する管理権限を持つ個人によ って行われたアクションがログ記録されることを確認します。
高い権限を持つ「管理者」などのアカウントは、アプリ ケーションのセキュリティや本番環境機能に多大な 影響を及ぼす可能性があります。実行されたアクテ ィビティのログがなければ、組織は管理者権限の誤 使用によって生じた問題を追跡し、原因となる行為 や個人を特定することができません。
4.2.3 アプリケーションによって、またはアプリケーション内 で管理される監査証跡へのアクセス
4.2.3 アプリケーションによって、またはアプリケーション内で管理され る監査証跡へのアクセスがログ記録されることを確認します。
悪意のある者は、多くの場合、自身の行為を隠す ために監査ログの変更を試みます。アクセスの記録 があれば、組織はログの矛盾や改ざんの可能性を 追跡して個人のアカウントを特定できます。
4.2.4 無効な論理アクセス試行 4.2.4 無効な論理アクセス試行が記録されていることを確認する。 悪意のある者は、多くの場合、ターゲットとなるシス
テムに対する複数のアクセスを試みます。無効なロ グインが何度も試行された場合、不正ユーザが「総 当たり」によるパスワードの推測を試行している可能 性があります。
4.2.5 アプリケーションの識別と認証メカニズムの使用お よび変更(新しいアカウントの作成、特権の上昇などを 含むがこれらに限定されない)、およびルートまたは管理 者権限を持つアプリケーションアカウントの変更、追加、
削除のすべて
4.2.5 アプリケーションの識別と認証メカニズムの使用(新しいアカウ ントの作成、特権の上昇などを含むがこれらに限定されない)、およ びルートまたは管理者権限を持つアプリケーションアカウントの変 更、追加、削除のすべてが記録されることを確認する。
インシデントの発生時点で誰がログオンしていたかが わからなければ、使用された可能性があるアカウント を特定できません。また、悪意のある者が認証をバ イパスしたり、有効なアカウントになりすましたりする 目的で認証管理の操作を試みる可能性もありま す。新規アカウントの作成、権限の昇格、アクセス 権限の変更などのアクティビティは、システムの認証 メカニズムの不正使用を示す場合があります。
4.2.6 アプリケーション監査ログの初期化、停止、一時 停止
4.2.6 以下がログに記録されていることを確認する。
アプリケーション監査ログの初期化
アプリケーション監査ログの停止と一時停止
不正なアクティビティを実行する前に監査ログを停 止する(または一時停止する)ことは、悪意のある者 が検出から逃れるための一般的な手法です。監査 ログの初期化は、ユーザが自身の行為を隠蔽する ためにログ機能を無効にした可能性を示します。
PA-DSS 要件 テスト手順 ガイダンス 4.2.7 アプリケーションによるシステムレベルオブジェクトの
作成および削除
4.2.7 アプリケーションによるシステムレベルオブジェクトの作成および 削除がログ記録されることを確認する。
悪意のあるユーザは、多くの場合、システムの特定 の機能や操作を制御するためにターゲットシステム 上のシステムレベルオブジェクトを作成または置換し ます。データベーステーブルやストアドプロシージャな ど、システムレベルのオブジェクトが作成または削除さ れるたびにログに記録することで、そのような変更が 承認されたものであったかを判断しやすくなります。
4.3 ペイメントアプリケーションは、イベントごとに、少なくとも 以下の監査証跡エントリを記録する必要がある。
PCI DSS 要件 10.3 に対応
4.3 ペイメントアプリケーションをテストして監査ログ設定と監査ログ出 力を調査し、監査可能なイベント(4.2 に記載)ごとに、以下を実行 します。
4.2 に記載されている監査可能なイベントに対して 4.3.1 から 4.3.6 の詳細を記録することにより、侵 害の可能性を迅速に識別し、人物、内容、場所、
方法に関する十分な詳細を把握することができま
4.3.1 ユーザ識別 4.3.1 ユーザ識別がログエントリに含まれることを確認する。 す。
4.3.2 イベントの種類 4.3.2 ログエントリにイベントの種類が含まれていることを確認する。
4.3.3 日付と時刻 4.3.3 ログエントリに日付と時刻が含まれていることを確認する。
4.3.4 成功または失敗を示す情報 4.3.4 ログエントリに成功または失敗を示す情報が含まれることを確
認する。
4.3.5 イベントの発生元 4.3.5 ログエントリにイベントの発生元が含まれていることを確認す
る。
4.3.6 影響を受けるデータ、システムコンポーネント、ま たはリソースの ID または名前
4.3.6 影響を受けるデータ、システムコンポーネント、またはリソース の ID または名前がログエントリに含まれることを確認する。
PA-DSS 要件 テスト手順 ガイダンス 4.4 ペイメントアプリケーションではログの一元管理を強化
する必要がある。
注: この機能の実装例として以下が挙げられますが、これ らに限定されません。
ログの記録に Common Log File System
(CLFS)、Syslog、区切り文字テキストなどの業界 標準のログファイルメカニズムを使用する。
アプリケーション固有のログ形式を一元管理された迅 速なログ記録に適した業界標準のログ形式に変換す る機能とそのマニュアルを用意する。
PCI DSS 要件 10.5.3 に対応
4.4.a ベンダが準備する『PA-DSS 実装ガイド』に目を通し、顧客と インテグレータ/リセラーに以下が提供されていることを確認する。
サポートされているログの一元管理メカニズムに関する説明
一元管理されるログサーバにペイメントアプリケーションのログを統 合するための指示と手順。
監査ログが適切に保護されていないと、完全性、正 確性、整合性が保証されず、侵害後の調査ツール として役に立たないことがあります。一元管理される ログシステムでのペイメントアプリケーションのログは、
顧客がログを統合し、それらを相関させることがで き、環境で一貫したログを確保できる必要がありま す。
4.4.b 『PA-DSS 実装ガイド』に従ってペイメントアプリケーションをイ ンストールして構成し、指示が正確で、顧客がログを一元管理ログ サーバに統一するための機能があることを確認する。