要件 7: 脆弱性に対応し、ペイメントアプリケーションのアップデートを維持するために、ペイメントアプリケーションをテストす
PA-DSS 要件 テスト手順 ガイダンス 7.1.2 ペイメントアプリケーションと共に提供される、また
はペイメントアプリケーションが必要とする基盤ソフトウェ アまたはシステムが関与する脆弱性を含め、識別された すべての脆弱性にリスクのランク分けを割り当てる。
注: リスクのランク分けは、業界のベストプラクティスと考え られる影響の程度に基づいている必要があります。たとえ ば、脆弱性をランク分けする基準は、CVSS ベーススコ ア、ベンダによる分類、アプリケーション機能への影響など を含む場合があります。
リスクのランクは、最小限、アプリケーションに対する「高リス ク」とみなされるすべての脆弱性を特定するものである必 要があります。リスクのランク分けに加えて、差し迫った脅 威をもたらす、重要なアプリケーションコンポーネントに影響 を及ぼす、対処しないと侵害される危険がある場合、脆 弱性は「重大」とみなされます。
7.1.2 責任者のインタビューを行い、プロセスを観察し、ペイメントアプリ ケーションと共に提供される、またはペイメントアプリケーションが必要と する基盤ソフトウェアまたはシステムが関与する脆弱性を含め、識別さ れたすべての脆弱性にリスクのランク分けが割り当てられていることを確 認する。
ベンダがアプリケーションに影響を及ぼす可能性が ある脆弱性を特定したら、その脆弱性のリスクを 評価およびランク分けする必要があります。これ は、脆弱性情報の業界情報源をアクティブに監 視するプロセスを必要とします。
リスクの分類(「高」、「中」、「低」など)により、ベン ダは優先順位のもっとも高いリスク項目をより迅速 に特定して対処し(たとえば、優先順位の高いパッ チをより迅速にリリースするなど)、最もリスクが高い 脆弱性を利用される可能性を低下させることがで きます。
7.1.3 リリース前に、脆弱性が存在しているかどうかにつ いて、ペイメントアプリケーションとアップデートをテストする
7.1.3 責任者のインタビューを行い、プロセスを観察し、ペイメントアプリ ケーションがリリース前に脆弱性の存在についてテストされていることを 確認する。
ペイメントアプリケーションベンダの脆弱性管理プロ セスには、十分なテストが含まれ、リリース前に特 定された脆弱性が正しく対処されていることを確 認する必要があります。
テスト方法の例には、不正な、または予期しない データを注入する、またはデータのビットサイズを変 更することにより、脆弱性の可能性を識別するた めの侵入テストおよび/またはファズテストテクニック が含まれます。
7.2 ソフトウェアベンダは、セキュリティパッチとアップグレード を適切なタイミングで開発および導入するためのプロセス を確立する必要がある。
7.2 セキュリティパッチとアップグレードの開発および配布のプロセスの文書 を調べて、プロセスに 7.2.1 〜 7.2.2 の手続きが以下のように含まれて いることを確認する。
重大な脆弱性が特定されたら可能な限り迅速 に、セキュリティの脆弱性に対処するためのソフトウ ェアアップデートを開発して顧客にリリースし、脆弱 性が悪用される期間と可能性を最小限に抑える 必要がある。
PA-DSS 要件 テスト手順 ガイダンス 7.2.1 パッチとアップデートは、既知の信頼チェーンを使
用して安全な方法で配信される。
7.2.1 責任者にインタビューを行い、プロセスを観察して、パッチとアップ デートが既知の信頼チェーンを使用して安全な方法で配信されること を確認する。
セキュリティパッチは、悪意のある個人がトランジッ トでアップデートを傍受すること、アップデートを変 更すること、疑うことを知らない顧客にそれらを再 配布しないことを防ぐ方法を配布する必要があり ます。
7.2.2 パッチとアップデートが、パッチとアップグレードコード の整合性を維持する方法で、顧客に配布される。
7.2.2.a 責任者のインタビューを行い、プロセスを観察して、パッチとアッ プデートが、パッチとアップグレードコードの整合性を維持する方法で、
顧客に配布されていることを確認する。
セキュリティのアップデートはアップデートプロセス内 のメカニズムに含め、アップデートコードが置き換え られたり、改ざんされていないかどうかを確認する。
整合性チェックの例には、チェックサム、デジタル署 名証明書などが含まれますが、これらに限定され るわけではない。
7.2.2.b 責任者のインタビューを行い、アプリケーションのアップデートプ ロセスを観察して、インストール前にターゲットシステムでパッチとアップデ ートの整合性がテストされることを確認する。
7.2.2.c パッチとアップデートコードの整合性が維持されていることを確 認するため、任意のコードでアップデートプロセスを実行し、システムで アップデートの実行が許可されないことを確認する。
7.2.3 パッチおよび更新プログラムの安全なインストール についての顧客向けの指示を提供する。
7.2.3 ベンダが準備する『PA-DSS 実装ガイド』に目を通し、顧客とイ ンテグレータ/リセラーのために、以下の情報が含まれていることを確認 する。
ベンダからの新しいパッチおよび更新プログラムの通知方法。
既知の信頼チェーンを使用してパッチとアップデートを安全な方 法で配信する方法。
パッチとアップグレードコードの整合性を維持する方法でのパッチ とアップデートのアクセスおよびインストール方法。
パッチを安全に入手してインストールすることが、ア ップデートプロセスとアプリケーションの整合性を保 護するために有益であることをプロセスの顧客とイ ンテグレータ/リセラーに伝える。
7.3 アップデートの詳細と影響、バージョン番号がアプリケ ーションのアップデートを反映するようどのように変更された か含むリリースノートを、すべてのアプリケーションアップデー トに含める。
7.3.a アップデートをリリースするプロセスを調査し、担当者のインタビュー を行い、アップデートの詳細と影響、バージョン番号がアプリケーションのア ップデートを反映するようどのように変更されたか含むリリースノートが、す べてのアプリケーションアップデートに含まれていることを確認する。
リリースノートは、どのファイルが変更されたか、どの アプリケーション機能が変更されたかに加え、影響 を受ける可能性があるセキュリティ関連の機能を 含む、ソフトウェアのアップデートの詳細を顧客に 提供します。リリースノートには、特定のパッチまた はアップデートが、パッチリリースに関連付けられて いる全体のバージョン番号にどのように影響するか を示す必要があります。
7.3.b アプリケーションのアップデートサンプルに関するリリースノートを調査 し、それらがアップデートで提供されたことを確認する。