Oracleホワイト・ペーパー
2014年3月
クレジットカード業界の
データ・セキュリティ標準への
持続可能なコンプライアンス
はじめに ... 2
Oracle製品とPCIソリューションのマッピング ... 3
PCIデータ保護の課題 ... 18
危険にさらされているカード会員データ ... 18
暗号化の発達 ... 18
Oracle Databaseのリダクションおよび暗号化ソリューション ... 18
稼働中のデータの保護 ... 19
バックアップ・データの保護 ... 19
マスクされたデータの使用 ... 19
キー管理の解決 ... 21
暗号化の弱点 ... 21
キー管理に対するPCI要件 ... 21
Oracleのキー管理 ... 22
カード会員データの保護の構築 ... 22
強力な認証 ... 22
監視、追跡、および監査 ... 22
セキュアな構成の維持 ... 23
特権アカウントの管理 ... 24
内部の敵 ... 24
PCIがリスクを認識 ... 25
Oracleによる特権アカウントの管理 ... 25
ID管理によるコンプライアンスの実現とビジネスの強化 ... 26
セキュアで柔軟なIDおよびアクセス管理 ... 26
IDおよびアクセス管理に対するPCI要件 ... 27
ID管理の課題 ... 28
オラクルのID管理ソリューション ... 29
はじめに
多くの組織は、クレジットカード業界データ・セキュリティ標準(PCI DSS)の準拠に対して頭を悩
まし続けています。これは、クレジットカード業界で義務付けられているカード会員のデータ保護
と不正防止を目的としたものです。PIC DSSは大手5社のクレジットカード会社によって、各社のプ
ログラムを調整して1組の要件にまとめるために策定されました。それ以来、PCI Security Standards
Council(PCI SSC)は複数回の更新を発表しており、最新のバージョン3は2014年1月に有効になっ
ています。
標準は12の要件とサポート・ガイダンスからなり、ほとんどの政府や業界のセキュリティ指令より
も慣例に基づいているものの、これに準拠するには、多くの場合、本来あるべきレベルよりもはる
かに多くのリソースと高いコストが必要になり、エラーも多く発生します。担当者などが手動でロ
グ・データを収集・分析し、レポートを集計し、セキュリティ管理とポリシーを維持・検証する労力
について考えると、組織の階層レベルによっては、平均コストが1年あたり数十万ドルに達する場合も
あるでしょう。
アクセス制御、データ保護、構成管理のポリシーは実装が難しく、実際に維持、管理、および適用
するのはさらに困難です。コンプライアンスとセキュリティに関する手続きは時間がかかるか柔軟
性に欠けることが多く、現在のダイナミックなビジネス環境で変化するビジネス要件に対応できて
いません。手動制御、または不完全に実装され管理される制御はコストがかかりエラーも発生しや
すく、実際には、セキュリティを大幅に改善することなく、効率的なビジネスの妨げになっていま
す。結果として、個人、ときには部門でさえ、業務を"成し遂げる"ためにポリシーを避けて通ること
があります。驚くまでもなく、多くのデータ侵害は、技術的にはPCI DSSに準拠している組織で起こっ
ています。
組織は、PCIで義務付けられた技術的な要件を満たし、標準の策定目的であるカード会員のデータ保
護レベルを達成する、効率的で繰り返しと持続が可能なセキュリティ・プログラムを実現できます。
このホワイト・ペーパーでは、要件の中核の大半を構成する重要だが問題のある領域を中心に、PCI
コンプライアンス・プログラムの要点について説明します。
•カード会員データを不正使用から保護する
•特権ユーザーとデータ・アクセスに強力な制御を適用する
•一元化され自動化されたロールベースのアクセス制御、認可、および認証を実装する
•システムとデータベースの監査を提供し、データベース・アクティビティを監視する
データ・セキュリティ、ID管理、構成管理製品からなるオラクルの包括的ポートフォリオは、徹底
的なセキュリティ保護を提供することで、12の要件のうちの6つに対応します。残りの要件(1、4、
5、9、11、12)はそれぞれ、アンチウイルスとネットワーク・ファイアウォールの導入、パブリッ
ク・ネットワークを介したカード会員データの暗号化送信、物理的なセキュリティ管理、テスト、
管理者用ポリシーの維持に関係しています。
Oracle製品とPCIソリューションのマッピング
次の表に、顧客のコンプライアンス要件への対応に役立つ、データ・セキュリティ、ID管理、構成
管理の各ソリューションについてのオラクルのポートフォリオとPCI DSSの各セクションへのマッピン
グをまとめます。
章 PCI 3.0の要件 適合するオラクルの機能 セキュアなネットワークおよびシステムの構築と維持 2 システム・パスワードやその他のセキュリティ・パラメータに、ベンダー提供のデフォルト値を使用しないこと 悪意のある人物(企業の内外を問わず)は、ベンダー提供のデフォルト・パスワードやその他のデフォルト設定を使用して、システムに侵入する 場合があります。これらのパスワードや設定はハッカー・コミュニティでよく知られており、公開情報を通じて容易に特定できます。 2.1 システムをネットワーク上に導入する前に、ベンダー提供のデ フォルト値を必ず変更し、不要なデフォルト・アカウントは削 除または無効化します。これはすべてのデフォルト・パスワー ドにあてはまります。例としては、オペレーティング・システ ムやセキュリティ・サービスを提供するソフトウェア、アプリ ケーション・アカウントとシステム・アカウント、POS端末、 Simple Network Management Protocol(SNMP)コミュニティ ストリングなどが含まれますが、この限りではありません。Oracleデータベースのインストール中に、デフォルト・アカウン トはロックされ、デフォルト・パスワードは失効します。管理者 アカウントのパスワードは、インストール中に入力するようプロ ンプトが表示されます。
Oracle Access Managerには、PCI DSS 3.0の複雑さ要件を満た すポリシーが設定されたセルフサービス式のパスワード・リセッ ト機能が含まれています。 2.2 すべてのシステム・コンポーネントについて設定基準を作成し ます。これらの基準は、すべての既知のセキュリティ脆弱性に 対応しており、業界で認知されたシステム強化基準に準拠した ものでなければなりません。業界で認められたシステム強化基 準の提供元には次が含まれますが、この限りではありません。
Center for Internet Security(CIS)
International Organization for Standardization(ISO)
SysAdmin Audit Network Security(SANS)Institute
National Institute of Standards Technology(NIST)
Oracle Enterprise Managerは、オラクル、顧客ポリシー、業界で 広く受け入れられたプラクティスに基づく構成確認機能を提供 します。Enterprise ManagerはOracle Databaseの検出、プロビ ジョニング、パッチ適用機能を提供します。
2.2.4 誤用を防止するように、システムのセキュリティ・ パラメータを設定します。
Oracle Databaseのセキュリティ・ガイドラインに従います。 Oracle Configuration Managementを使用して監視します。 Oracle Audit Vault and Database Firewallは、Windowsおよび Linuxプラットフォームに加えて、Oracle、Microsoft SQL Server、 IBM DB2 for LUW、SAP Sybase ASE、Oracle MySQLの各デー タベースから取得した監査データも統合します。
Oracle Audit Vault and Database Firewallは監査データについて レポートおよびアラートを発行可能です。
2.3 強力な暗号化を使用して、コンソール以外からの管理用アクセ スはすべて暗号化します。Webベースの管理やその他のコン ソール以外からの管理アクセスについては、SSH、VPN、 SSL/TLSなどのテクノロジーを使用してください。 Oracle Databaseが提供するネットワーク暗号化(SSL/TLSおよ びネイティブ)では、中間層とデータベース間、クライアントと データベース間、複数のデータベース間でのSQL*Net経由の通信 がすべて暗号化されます。さらに、Oracle Enterprise Manager などの管理ツールでは、管理用通信を保護するために、使用制限 付きのSSLライセンスが提供されています。 2.6 共有ホスティング・プロバイダは、それぞれの事業体のホスト環 境およびカード会員データを保護しなければなりません。これら のプロバイダは、付録A"共有ホスティング・プロバイダ向けのPCI DSS追加要件"に詳述された要件を満たす必要があります。 付録Aを参照してください。 カード会員データの保護 3 保存されるカード会員データの保護 暗号化、切捨て、マスキング、ハッシングなどの保護方法は、カード会員データを保護するための重要な要素です。たとえ侵入者がセキュリ ティ制御を巧みに逃れて、暗号化されたデータにアクセスできたとしても、正しい暗号化キーがなければ、データを読み取り、使用すること はできません。保管したデータを保護するその他の効果的な方法は、潜在的なリスク軽減の機会として考える必要があります。たとえば、リ スクを最小化する方法には、必要でない限りカード会員データを保存しない、プライマリ・アカウント番号の全桁が必要でない場合はデータ の端を切り捨てる、エンドユーザーのメッセージング・テクノロジー(電子メールやインスタント・メッセージングなど)を使用して、保護 されていないプライマリ・アカウント番号を送信しないなどが挙げられます。"強力な暗号化"およびその他のPCI DSS用語の定義については、 『PCI DSS Glossary of Terms, Abbreviations, and Acronyms』を参照してください。
3.3 プライマリ・アカウント番号は全体を表示させないようにして (最大でも、最初の6桁と最後の4桁のみを表示)、業務におい て正当な必要性のある担当者のみがプライマリ・アカウント番 号全体を参照できるようにします。 注:この要件は、カード会員データの表示について、さらに厳 しい要件が適用されている場合(例:POSレシートに対する法 的要件やクレジットカード・ブランドの要件など)に、その要 件に取って代わるものではありません。
アプリケーションでVirtual Private Database(VPD)の列関連ポ リシーを利用して、番号全体を非表示にできます。 Oracle Advanced SecurityのData Redactionは、アプリケーショ ン内に表示されるデータを一貫してマスクします。 Oracle Data Masking and SubSettingは、非本番環境でテストや QAクオリティアシュアランスを目的として使用される本番 データを保護します。
Oracle Label Securityが提供するセキュリティ制御を使用する と、誰がプライマリ・アカウント番号にアクセスできるかを決定 できます。
Oracle Database Vaultのレルムを使用して、特権ユーザーによる アプリケーション・データへのアクセスを防止できます。
3.4 プライマリ・アカウント番号は、どこに保管されていても(携 帯デジタル・メディア、バックアップ・メディア、ログなど)、 次のいずれかの手段を使用して判読不可能な状態にしておき ます。
•
強力な暗号化技術に基づくワンウェイ・ハッシュ(プライ マリ・アカウント番号全体をハッシュする)•
切捨て(ハッシングを使用してプライマリ・アカウント番 号の切捨て部分を置換することはできない)•
インデックス・トークンおよびPAD(PADはセキュアに保存)•
関連するキー管理のプロセスと手順による強力な暗号化手法 注:悪意のある人物が切り捨てられた番号とハッシングされた番 号の両方にアクセスできる場合、元のプライマリ・アカウント番 号を復元することは比較的簡単でしょう。。同じプライマリ・ア カウント番号に対してハッシングされた番号と切り捨てられた 番号が同じ事業体の環境内に存在する場合、ハッシングされた番 号と切り捨てられた番号を関係付けて元の番号を復元できない ようにするため、追加の制御を適用する必要があります。Oracle Advanced SecurityのTransparent Data Encryption(TDE)、 列暗号化、表領域暗号化を使用すると、データベース内のプライ マリ・アカウント番号を透過的に暗号化してストレージ・メディ アにバックアップできます。
注:Advanced Securityは、ディスクの暗号化に対して別の論理 的なアクセスを義務付ける要件3.4.1の影響を受けません。 Oracle Advanced SecurityのTDEにはキー管理が組み込まれてい ます。暗号化されたデータは、データ・ファイル、REDOログ、 バックアップ内でも暗号化されたままです。
Oracle RMANをOracle Advanced Securityと併用すると、ディス クへのバックアップ時にディスク・バックアップ全体を暗号化 (および圧縮)できます。
Oracle Data PumpをOracle Advanced Securityと併用すると、 ソース・データベースのマスター暗号化キー、または受信者と安 全に共有できるパスフレーズのいずれかを使用して、データベー スのエクスポート・ファイル全体を暗号化(および圧縮)できま す。
Oracle Secure Backupは、テープ・ストレージに直接バックアッ プおよび暗号化するソリューションを提供しています。 サポートされる暗号化アルゴリズムは、256ビット、192ビット、 または128ビットのキー長を持つAESと3DES168です。 3.5 保存されたカード会員データを漏洩や誤用から保護するため に使用されたキーの保護手順をドキュメント化し、実装しま す。 注:この要件は、保存されたカード会員データの暗号化に使用 されたキーと、データ暗号化キーを保護するために使用された キー暗号化キーに適用されます。このようなキー暗号化キー は、少なくともデータ暗号化キーと同じ強度を持つ必要があり ます。
Oracle Advanced Security TDEの表キーおよび表領域キーは、別 のマスター・キーを使用して暗号化された状態でデータベースに 保管されます。このマスター・キーは、オペレーティング・シス テム上のPKCS#12ファイルであるOracle Wallet、またはハード ウェア・セキュリティ・モジュール(HSM)に保存されています。 Oracle Walletは、ウォレット・パスワード(PKCS#5に基づく) を使用して暗号化されています。データベース内からウォレット を開くには、'alter system'権限が必要です。
Oracle Database Vaultのコマンド・ルールを利用すると、さらに、 誰が、いつ、どこから、'alter system'コマンドを実行できる かを制限できます。 3.5.1 暗号化キーへのアクセスは、必要最小限の管理者に 制限します。 Oracleを使用する場合、個人がマスター暗号化キーにアクセスす る必要はありません。DBAやデータベース・セキュリティ管理者 (DSA)などの指定された担当者は、ウォレット・パスワードまたは HSMの認証文字列を把握し、'alter system'権限を持っていれ ば、ウォレットまたはHSMを開くことができます。そうすること で、データベースでマスター暗号化キーを使用できます。 Oracle Database Vaultのコマンド・ルールを実装すると、誰が、 いつ、どこから、'alter system'コマンドを実行できるかを制 限できます。
3.5.2 カード会員データの暗号化/復号化に使用する秘密 鍵は、常に次のいずれかの形式で保存します。
•
少なくともデータ暗号化キーと同じ強度を持 つ、キー暗号化キーで暗号化されており、こ のキー暗号化キーはデータ暗号化キーとは別 の場所に保管されている。•
セキュアな暗号化デバイス(ハードウェア・ セキュリティ・モジュール(HSM)やPTS認 可の加盟店端末装置など)。•
少なくとも2つの全長キー要素または鍵共有 は業界で認められた方式に従う。 注:公開鍵を上記の形式で保管する必要はありません。 マスター暗号化キーは、各データベースに1つだけ存在します。 一元的にマスター暗号化キーを管理するため、このキーをOracle WalletまたはHSMデバイスに保管します。3.6 3.6.1 強力な暗号化キーの生成 Oracle Advanced Security TDEは業界で定評のあるライブラリを利 用して、強力な暗号化キーを生成します。ハードウェア・セキュリ ティ・モジュール(HSM)を使用する場合、キーの生成と保管を含む マスター暗号化キーの管理はHSMによって行われます。
3.6.2 セキュアな暗号化キーの配布 Oracle Advanced Securityは、広く知られたDiffie-Hellman鍵交換 アルゴリズムを使用してセキュアなキーを配布します。
3.6.3 セキュアな暗号化キーの保管 Oracle Advanced Security TDEの列キーおよび表領域キーは、 Oracle WalletまたはHSMデバイスに保存されたマスター・キーを 使用して暗号化された状態で、データベースに保管されます。 3.6.4 関連するアプリケーション・ベンダーまたはキー所 有者によって定義された方法で、業界のベスト・プ ラ ク テ ィ ス と ガ イ ド ラ イ ン ( 例 : NIST Special Publication 800-57など)に従って、暗号有効期間の 期限に達した(例:規定された期間が経過した後や、 特定のキーによって一定量の暗号文が生成された 後)キーを暗号化キーが付け替えます。
Oracle Advanced Security TDEの列暗号化は、マスター暗号化 キーや表キーを個別にre-keyingする機能を提供しています。 Oracle Database 11g Release 2以降では、TDE表領域暗号化の マスター暗号化キーも同様にre-keyingできます。PCIコンプライ アンスでは、多くの場合、マスター暗号化キーのre-keying(ロー テーション)で十分です。 脆弱性管理プログラムの整備 6 セキュアなシステムとアプリケーションを開発し、保守すること 悪意を持った人々は、セキュリティの脆弱性を利用して、システムへの特権アクセスを手に入れます。このような脆弱性の多くは、ベンダー 提供のセキュリティ・パッチにより修正されます。セキュリティ・パッチは、システムを管理する事業体がインストールする必要があります。 悪意ある人々や悪意あるソフトウェアによるカード会員データの不正使用および侵害を阻止するため、すべてのシステムにすべての適切なソ フトウェア・パッチをインストールする必要があります。 注:適切なソフトウェア・パッチとは、そのパッチが既存のセキュリティ設定と矛盾しないことが十分に確認され、テストされたパッチを指 します。自社開発アプリケーションの場合、標準のシステム開発プロセスとセキュアなコーディング技術を使用することで、多くの脆弱性を 回避できます。
6.1 セキュリティ脆弱性に関する外部の信頼できる情報源を使用 して、セキュリティ脆弱性を特定するプロセスを確立し、新た に検出したセキュリティ脆弱性にリスク・ランキング(例:" 高"、"中"、"低")を割り当てます 注:リスク・ランキングは、業界のベスト・プラクティスと潜 在的な影響を考慮して決定する必要があります。
オラクルはCritical Patch Updates(CPU)でリリースされるバグ 修 正 の 重 大 度 を 評 価 す る 際 、 Common Vulnerability Scoring System(CVSS)に従っています。
http://www.oracle.com/technetwork/topics/security/cvssscoringsy stem-091884.html
Oracle Critical Patch Updates 、 Security Alerts 、 Third Party Bulletinに関するRSSフィードに登録してください。 http://www.oracle.com/technetwork/topics/security/alerts-086861 .html 6.2 すべてのシステム・コンポーネントとソフトウェアを既知の脆 弱性から保護するため、ベンダーが提供するすべてのセキュリ ティ・パッチをインストールします。重要なセキュリティ・パッ チは、リリース後1カ月以内にインストールします。
Oracleデータベースを使用する場合、Oracle Enterprise Manager Grid Controlを使用して自動化できます。
顧客のポリシーとプロセスの問題。オラクルは四半期ごとに Critical Patch Updatesを提供しており、ほとんどの場合、顧客は 30日以内にこれを実装できます。
6.4 6.4.1 開発/テスト環境を本番環境から切り離し、アクセス 制御の分離を適用します。
Oracle Database Enterprise EditionのEnterprise User Security機 能をOracle Identity Managementと併用すると、データベース・ ユーザーとその認可を1カ所で集中管理できます。
Oracle Identity Governance Suiteに含まれるOracle Privileged Account Managerは、権限の分離を可能にし、特権カウントに対 するセルフサービス式のリクエストを管理し、パスワードの使用 に関する監査とレポート作成機能を提供します。
Oracle Database Vaultを使用すると、Oracleデータベース内の本 番データへのDBAによるアクセスを保護できます。
6.4.3 テストまたは開発環境では、本番データ(実際のプ ライマリ・アカウント番号)は使用しません。
Oracle Data Masking and SubSettingはテスト環境や開発環境向 けに、クレジットカード番号やその他の機密情報を識別不能にし ます。 6.4.5 セキュリティ・パッチとソフトウェア変更の実装に 対する変更管理手順には、次が含まれている必要が あります。 6.4.1 影響のドキュメント化 6.4.2 権限を持つ関係者によるドキュメント化され た変更の承認 6.4.3 該当する変更がシステム・セキュリティに悪 影響を与えないことを検証するための機能テ スト 6.4.4 バック・アウト手順
Oracle Change Managementを利用すると、データベース変更管 理手順を自動化できます。また、Oracle BPEL Process Manager を使用して、変更管理や一般的なセキュリティ手順のプロセス管 理を実行できます。 Change Managementは、変更を実装する前に変更の依存関係を 分析し、影響レポートを生成します。また、変更を取り消すため の情報を提供します。 Oracle Databaseに含まれる時間に関連する(Temporal)データベース 機能は、SQL:2011規格に準拠したトランザクション時間と有効時 間をサポートしています。フラッシュバック・データ・アーカイ ブの履歴表は改ざんを防止する設計になっているため、重要デー タの変更を含む、変更不可能で明確な履歴を監査担当者に提供で きます。
6.5 ソフトウェア開発プロセスにおける一般的なコーディング上 の脆弱性には、次のとおりに対処します。
•
一般的なコーディング上の脆弱性の回避を含むセキュア なコーディング手法を開発者に教育し、機密データがメモ リ内で処理される方法の理解を促します。•
セキュアなコーディングのガイドラインに基づいて、アプ リケーションを開発します。 注:6.5.1から6.5.10までに記載する脆弱性は、本バージョンの PCI DSSの公開時点で最新の業界ベスト・プラクティスに従っ ています。ただし、脆弱性管理に関する業界のベスト・プラク ティス(OWASPガイド、SANS CWE Top 25、CERT SecureCodingなど)は更新されるため、これらの要件に対して最新の
ベスト・プラクティスを使用する必要があります。
Oracle Audit Vault and Database Firewallは、OracleおよびOracle 以外のデータベースに対して、インバウンドSQL文にSQLイン ジェクションが含まれていないかどうかを調査します。 Oracle Advanced Security TDEのマスター暗号化キーは暗号化 ファイル(Oracle Wallet)に保管されており、Oracle Walletは PKCS#5標準に基づいて、パスフレーズ(ウォレットの'パスワー ド')によって暗号化されています。TDEマスター暗号化キーを HSMに保管すると、さらに高い確実性(FIPS 140-2 Level 3の検 証)が得られます。
Oracle Database Standard EditionおよびEnterprise Editionでは、 SSL/TLSを使用して、Oracleデータベースに対するネットワーク 接続を暗号化できます。 6.5.1 インジェクションを利用した不正、特にSQLイン ジェクション。また、OSコマンド・インジェクショ ンやLDAPインジェクション、Xpathインジェクショ ン、およびその他のインジェクションによる不正も 考慮に入れます。 6.5.3 セキュリティで保護されていない暗号化ストレージ。 6.5.4 セキュリティで保護されていない通信。
強固なアクセス制御手法の導入 7 カード会員データへのアクセスを業務上の必要範囲内に制限すること 権限を与えられた担当者のみが重要なデータにアクセスできるように、システムおよびプロセスを利用して、職責に応じたアクセスと必知事 項に基づくアクセスに制限する必要があります。 "必要な範囲"とは、職務の実行に必要な最小限のデータと権限に対してのみ、アクセス権が付与される状態を指します。 7.1 システム・コンポーネントとカード会員データへのアクセス を、業務上必要な担当者に限定します。 7.1.1 次を含むアクセス要件をロールごとに定義します。
•
各ロールが職務を遂行するためにアクセスを必 要とするシステム・コンポーネントとデータ・ リソース•
リ ソ ー ス へ の ア ク セ ス に 必 要 な 権 限 レ ベ ル (ユーザー、管理者など)Oracle Database Vault:
•
レルムは、特権ユーザーやDBAによるアプリケーション・デー タおよびカード会員データへのアクセスを制限します。•
変数を使用すると、動的にアクセス権を決定できます。•
ファクタとコマンド・ルールは、アプリケーション、デー タ、およびデータベースへのアクセスに対する厳密な制御 を適用します。•
職務の分離機能は、Oracle Databaseで不正な管理アクショ ンが実行されることを防止します。Oracle Label Securityは必要な範囲や最小権限の要件に基づく追 加のセキュリティ属性を提供します。
Oracle Virtual Private Databaseは基本的な実行時のマスキング 機能を提供します。
Oracle Data Redactionは、組織と規制に関するポリシーと要求者 の権限の組み合わせに基づいて、機密性の高いのアプリケーショ ン・データ・フィールドを削除またはマスクします。 Oracle Databaseのオブジェクト権限とデータベース・ロールに より、基本的なセキュリティが提供されます。
Oracle Identity Governance Suiteは、許可されたコンピューティ ング・リソースとアプリケーション・リソースおよびデータにの みエンタープライズ・ユーザー・プロビジョニングを提供します。 Oracle Identity Analyticsは、ジョブと機能の詳細な定義を提供す るためのロールと短期の割当てを定義します。
7.1.2 特権ユーザーIDに付与されるアクセスを、職責を果 たすために必要な最小限の権限に制限します。
7.1.2 個々の担当者の職種と職務に基づいてアクセスを割 り当てます。
7.2 複数のユーザーを持つシステム・コンポーネントの場合、ユー ザーの必知事項に基づいてアクセスを制限し、個別に許可され ない限り"すべて拒否"に設定するアクセス制御システムを確立 します。 このアクセス制御システムには以下が含まれる必要がありま す。 7.2.1 すべてのシステム・コンポーネントを対象に含める こと
Oracle Database Vaultのレルムを利用すると、特権ユーザーや DBAによるアプリケーション・データおよびカード会員データへ のアクセスを制限できます。
Oracle Database Vaultのファクタとコマンド・ルールは、アプリ ケーション、データ、およびデータベースへのアクセスに対する 厳密な制御を実現します。
Oracle Database Vault の 職 務 の 分 離 機 能 に よ り 、 Oracle Databaseで不正な管理アクションが実行されることを防止でき ます。 Oracle Databaseの必須レルム制御を利用すると、アプリケー ション・オブジェクトへのアクセス(オブジェクト所有者などの 直接付与されるオブジェクト・アクセス権限を含む)を制限でき ます。
Oracle Label Securityは、必要な範囲を決定する追加のセキュリ ティ属性を提供します。
Oracle Virtual Private Databaseは基本的な実行時のマスキング 機能を提供します。
Oracle Data Redactionは、組織と規制に関するポリシーと要求者 の権限の組み合わせに基づいて、機密性の高いアプリケーショ ン・データ・フィールドを削除またはマスクします。 Oracle Databaseのオブジェクト権限とデータベース・ロールに より、基本的なセキュリティが提供されます。
Oracle Access Management Suiteは、一元化されたアクセス制 御、認可、および認証を提供します。
Oracle Identity Governance Suiteは、ロール、職務、部門、場所、 その他の変数に基づき、許可されたコンピューティング・リソー スとアプリケーション・リソースおよびデータに対してのみエン タープライズ・ユーザー・プロビジョニングを提供します。この 機能はHR(HCM)システムから自動的に開始できます。 Oracle Identity Analyticsは、ジョブと機能の詳細な定義を提供す るためのロールと短期の割当てを定義します。
7.2.2 職種と職務権限に基づいて担当者に権限が割り当て られていること
7.2.3 デフォルトは"すべて拒否"に設定すること
アクセスを持つユーザーごとに一意の識別子(ID)を割り当てることで、各ユーザーが自分の行動に独自の責任を負うようにします。このよ うな責任が課されている場合、重要なデータやシステムに対する操作が、既知の認可ユーザーおよびプロセスによって実行されていることを 確認できるだけでなく、操作からユーザーにさかのぼって追跡できるようになります。 パスワードの有効性はおもに認証システムの設計と実装によって決まります。特に、攻撃者がパスワードを試行する頻度や、送信中、保存中 にエントリ・ポイントでユーザー・パスワードを保護するセキュリティ手法によって異なります。 注:これらの要件は、管理機能を持つすべてのアカウント(POSアカウントを含む)と、カード会員データの参照とアクセス、またはカード 会員データを含むシステムへのアクセスに使用されるすべてのアカウントに当てはまります。これには、ベンダーやその他の第三者(サポー トや保守用)によって使用されるアカウントも含まれます。ただし、1度に1つのカード番号のみにアクセスして単一トランザクションを実行 するPOS支払いアプリケーション内のユーザー・アカウント(レジ係のアカウントなど)に対して、要件8.1.1、8.2、8.5、8.2.3から8.2.5、8.1.6 から8.1.8は適用されません。
8.1 すべてのシステム・コンポーネント上で、非消費者ユーザーと 管理者に対して適切なユーザーID管理を徹底するためのポリ シーと手順を定義し、実装します。 8.1.1 システム・コンポーネントまたはカード会員データ へのアクセスを許可する前に、すべてのユーザーに 一意のIDを割り当てます。 Oracle Databaseの認証機能は、専用ユーザー・アカウントと Kerberosを含む強力な認証機能をサポートします。 Oracle Identity Governance Suiteは自動ワークフローと集中リポ ジトリを使用したエンタープライズ・ユーザー・プロビジョニン グを提供します。ユーザーがアクティブでなくなると、自動的に プロビジョニングが解除されます。特権アクセスはワンタイム・ パスワード(OTP)を使用した例外ベースで管理する必要があり ます。特権アクセスやサポート・アクセスを詳細に監視すること で、担当者が許可されたアクティビティのみを実行するように徹 底できます。
Oracle Access Management Suiteは、一元化されたアプリケー ション・レイヤーのアクセス制御、認可、および認証を提供しま す。
Oracle Identity Governance Suiteに含まれるOracle Privileged Account Managerは、パスワードの生成、パスワードのプロビ ジョニング、パスワードへのアクセス管理を行うセキュアなパス ワード管理ソリューションです。アクセス試行が繰り返された場 合はアカウントのロックアウトを起動でき、試行回数と修正プロ セスは設定が可能です。 8.1.2 ユーザーID、証明書、その他の識別子オブジェクト の追加、削除、および変更を管理します。 8.1.3 離職したユーザーのアクセスはただちに取り消し ます。 8.1.4 少なくとも90日ごとに、休眠状態にあるユーザー・ アカウントを削除または無効にします。 8.1.5 リモート・アクセスを介してシステム・コンポーネ ントのアクセス、サポート、保守を行うためにベン ダーによって使用されるIDを、次のように管理しま す。
•
必要な期間のみ有効にし、使用しないときは 無効にします。•
使用中はIDを監視します。 8.1.6 ユーザーIDをロックアウトすることにより、連続し たアクセス試行を6回以内に制限します。 8.1.7 ロックアウト時間は最低で30分間、または管理者が ユーザーIDを有効にするまでとします。 8.1.8 セッションのアイドル時間が15分を超えた場合、 ターミナル・セッションを再びアクティブ化するに は、ユーザーが再認証を行う必要があります。 8.2 一意のIDの割当てに加えて、次の方法のうち少なくとも1つを 導入してすべてのユーザーを認証することで、すべてのシステ ム・コンポーネント上での非消費者ユーザーと管理者に対する 適切なユーザー認証管理を実現します。•
パスワードやパスフレーズなどのユーザーが知っている 要素•
トークン・デバイスやスマート・カードなどのユーザーが 持っている要素 バイオメトリックなどのユーザー自身に関する要素 Oracle Databaseは2つの要素による認証を提供します。 Oracle Access Management Suiteは、強力な認証(トークン、ス マート・カード、X.509証明書、フォーム)とパスワードをサポー トします。さまざまなレベルのセキュリティ要件に対応する認証 の階層を提供します。Oracle Adaptive Access Managerは、ソフトウェア形式で2つの 要素による認証を提供します。また、リアルタイム・リスク分析 を実行し、さらなる認証が必要かどうかを判断します。
8.1.2 送信中やすべてのシステム・コンポーネントに保管 中のあらゆる認証資格証明(パスワードやパスフ レーズなど)は、強力な暗号化を使用して判読不可 能な状態にします。 Oracle DatabaseはデータベースのユーザーIDとパスワードを組 み合わせたハッシュを作成し、このハッシュは認証プロセス内で レコード・ハッシュと比較されます。
Oracle Privileged Account Managerによって管理されるパスワー ドとメタデータ情報は、Oracleデータベース内に暗号化された状 態で永続化されます。
Oracle Databaseは、Oracle Advanced SecurityとTransparent Data Encryptionを使用して暗号化できます。 Oracle Databaseはネットワーク暗号化(SSL/TLS)と強力な認 証を提供します。 8.2.3 パスワード/パスフレーズは次の条件を満たす必要が あります。
•
最小の長さは、少なくとも7文字以上にします。•
数字と英字の両方を含みます。 別の方法として、パスワード/パスフレーズが、上記 で指定したパラメータと少なくとも同等の強度およ び複雑さを持つ必要があります。Oracle Access Managerには、PCI DSS 3.0の複雑さ要件を満た すポリシーが設定されたセルフサービス式のパスワード・リセッ ト機能が含まれています。
Oracle Databaseパスワードの複雑さのチェック:http://docs.oracle.com/ cd/B28359_01/server.111/b28337/tdpsg_user_accounts.htm#TDPSG2 0022
8.2.4 ユーザー・パスワード/パスフレーズは、少なくとも 90日ごとに変更します。
Oracle Databaseのプロファイル Oracle Identity Manager Oracle Access Manager
8.2.5 直近4回で使用されたパスワード/パスフレーズは、新 しいパスワード/パスフレーズとして使用できないよ うにします。
Oracle Databaseのプロファイル Oracle Identity Manager Oracle Access Manager
8.3 担当者(ユーザーと管理者を含む)とすべての第三者による ネットワーク外部からのリモート・ネットワーク・アクセス(サ ポートまたは保守用のベンダー・アクセスを含む)には、2つ の要素による認証を実装します。 注:2つの要素による認証では、3つの認証方式(認証方式の説 明については要件8.2を参照)のうちの2つを使用して認証を行 う必要があります。1つの要素を2回使用する(例:2つの異な るパスワードの使用)ことは、2つの要素による認証とは見な されません。 2 つ の 要 素 に よ る 認 証 テ ク ノ ロ ジ ー の 例 に は 、 Remote Authentication and Dial-In Service(RADIUS)またはTerminal Access Controller Access Control System(TACACS)とトー クンの組合せに加えて、2つの要素による認証を実現するその 他のテクノロジーが含まれます。
Oracle Advanced Securityは、Kerberos、PKI、およびRADIUSを 利用した強力な認証機能を提供します。
Oracle Access Management Suiteは、強力な認証(トークン、ス マート・カード、X.509証明書、フォーム)とパスワードをサポー トします。さまざまなレベルのセキュリティ要件に対応する認証 の階層を提供します。
Oracle Adaptive Access Managerは、ソフトウェア形式で2つの 要素による認証を提供します。また、リアルタイム・リスク分析 を実行し、さらなる認証が必要かどうかを判断します。
8.7 カード会員データを保管しているデータベースへのアクセス (アプリケーション、管理者、その他すべてのユーザーによる アクセスを含む)は次のとおりに制限します。
•
データベースに対するすべてのユーザー・アクセスとユー ザー問合せ、ユーザー・アクションは、プログラム的な手 法を介して実施します。•
データベース管理者のみが、データベースへの直接アクセ スまたは問合せを実行できます。 データベース・アプリケーションのアプリケーションIDを使用 できるのはアプリケーションのみです(個人ユーザーやその他 の非アプリケーション・プロセスは使用できません)。 Oracle Databaseの認証機能Oracle Advanced SecurityのKerberos、PKI、RADIUSサポート、 Oracle Identity Governance Suite、Oracle Database Valid Node Checking 定期的なネットワークの監視およびテスト 10 ネットワーク・リソースおよびカード会員データへのすべてのアクセスを追跡し、監視すること データの検出を阻止したり、データ侵害の影響を最小化したりするために、ロギング・メカニズムとユーザー・アクティビティの追跡機能は 重要です。すべての環境にログが存在することにより、何らかの不都合が起きても詳しい追跡、アラート通知、分析が実行できます。システ ム・アクティビティ・ログがない場合、セキュリティ侵害の原因解明が不可能になるか、または非常に難しくなります。 10.1 監査証跡を実装して、システム・コンポーネントに対するすべ てのアクセスを各個人ユーザーに関連付けます。 (顧客の内部ポリシー)、専用のDBAアカウントをデータベース に作成します。
Oracle Audit Vault and Database Firewallはデータベースとシス テムの監査データを収集し、企業レポートとアラート用に一元化 します。
Oracle Database Vault の 監 査 証 跡 は Oracle Audit Vault and Database Firewall内で収集できます。
Oracle Database Fine Grained Auditing(Oracle FGA)では、監 査レコードを生成するために必要となる条件とともに、監査ポリ シーをアプリケーション表の列に関連付けることができます。 Oracle Audit Vault and Database Firewall内で監査証跡を収集し てレポートを作成できます。
Oracle Database Conditional Auditingはデータベース・セッショ ンのコンテキストに基づいてレコードを作成することで、厳選さ れた効果的な監査を提供します。ポリシーから外れた接続は全面 的に監査され、データは生成されません。
Oracle Identity Governance Suite はエンタープライズ・ユー ザー・プロビジョニング機能を提供し、ユーザーのアクセス・レ ベルと認可レベルを決定するロールの定義を支援します。 Oracle Access Management Suiteは、システム・コンポーネント に対するアクセス、認可、および認証の権限を制御します。
10.2 次のイベントを復元できるように、すべてのシステム・コン ポーネントに対して自動監査証跡を導入します。
10.2.1 カード会員データに対する、個人ユーザーによるす べてのアクセス
Oracle Database Auditing、カード会員データに対するOracle Databaseの監査機能とOracle Databaseのファイングレイン監 査(FGA)、Oracle Audit Vault and Database Firewallのレポー トおよびアラート
Oracle Database Conditional Auditingは選ばれたイベントに焦点 を合わせることで、監査に関する負荷を軽減します。 Oracle Identity Governance Suite
Oracle Access Management Suite監査レポート
10.2.2 root権限または管理者権限を持つ個人が行ったすべ ての操作
データベースに専用のDBAアカウントを作成します。任意でプロ キシ認証を使用すると、DBA権限を持つアカウントの数を制限し ながら監査を実現できます。
Oracle Database Vaultのレルムと職務の分離機能により、データ ベース管理をより厳格に制御できます。
Oracle Database Vaultのレルム・レポート。
Oracle Audit Vault and Database Firewallの監査データ統合によ り、エンタープライズ・レポートとエンタープライズ・アラート が提供されます。
Oracle Identity Governance Suite
Oracle Access Management Suite監査レポート Oracle Identity Analytics
10.2.3 すべての監査証跡へのアクセス データベースの監査データはAudit Vault内に保管できます。 Oracle Access Management Suite、Oracle Identity Analytics、お よびOracle Identity Governance Suite監査レポート
10.2.4 無効な論理的アクセス試行 Oracle Access Management Suiteはn回の不正なログイン試行後 にロックアウトを実行し、監査証跡を作成します。 Audit Vault and Database Firewallは、特権ユーザーによる無効な 論理アクセス試行に対してアラートを通知します。 標準のデータベース監査は、失敗したログイン試行を監査します。 10.2.5 IDおよび認証メカニズムの使用と変更(新規アカウ ントの作成とより高い権限の付与などが含まれま すが、この限りではありません)、ルート権限や管 理者権限を使用したアカウントの変更、追加、削除 のすべて Oracle Databaseの認証と監査
Oracle Advanced SecurityのKerberos、PKI、RADIUS認証 Oracle Access Management Suite監査レポート、Oracle Identity and Access Management Suite、Oracle Audit Vault and Database Firewall
10.2.7 システムレベル・オブジェクトの作成と削除 Oracle Databaseの監査機能
10.3 すべてのシステム・コンポーネントで、イベントごとに少なく とも次の監査証跡を記録します。
10.3.6 影響を受けたデータ、システム・コンポーネント、 リソースの識別子または名前
10.5 監査証跡は、改変できないように保護します。 Oracle Audit Vault and Database Firewallの監査データ統合は、 送信中と保管中の監査データを保護し、刑事訴追での使用に対す る一連の保管要件を満たします。
10.5.1 監査証跡の閲覧は、それが業務上必要なユーザーに 制限します。
Oracle Audit Vault and Database Firewallの職務の分離機能によ り、監査データへのアクセスが制限されます。
10.5.2 監査証跡ファイルは、改ざんされないように保護し ます。
Oracle Audit Vault and Database Firewallの職務の分離機能は、管理者 (DBA)による監査データへのアクセスと変更を防止します。
10.5.3 監査証跡ファイルは、集中ログ・サーバーまたは改 ざんが難しいメディアにすみやかにバックアップ します。
Oracle Audit Vault and Database Firewallの監査データ統合は、 スケーラブルでセキュアな監査ウェアハウスを提供します。
10.5.5 既存のログ・データが変更された場合、必ずアラー トが発せられるように、ファイルの整合性監視や変 更検出を行うソフトウェアを使用します(新しい データの追加に対してアラートは発生しません)。
Oracle Audit Vault and Database Firewallの監査データ統合によ り、監査データは送信中も保護されます。
Oracle Audit Vault and Database Firewallの職務の分離機能は、 管理者(DBA)による監査データへのアクセスと変更を防止しま す。 10.6 すべてのシステム・コンポーネントのログとセキュリティ・イベ ントを調査して、異常や疑わしいアクティビティを特定します。 注:要件に準拠するために、ログの収集ツール、解析ツール、 アラート・ツールを使用することもできます。
Oracle Audit Vault and Database Firewallは、監査データを監視 するために、標準提供のレポート、カスタマイズ可能なアラート、 アラート・ダッシュボードを提供します。
カスタマイズしたレポートは、Oracle Application Express、Oracle Business Intelligence Publisher、またはサード・パーティ製のツー ルを使用して生成できます。Oracle Access Management Suiteお よびOracle Identity Managerは、すべてのユーザー・アクティビ ティおよびプロビジョニング/デプロビジョニングのログを提供 します。 10.7 監査証跡の履歴は、少なくとも1年間は保管しておき、最低3カ 月間は分析のためにすぐに閲覧できるようにします(たとえ ば、オンライン、アーカイブ、またはバックアップからリスト ア可能な形式)。
Oracle Audit Vault and Database Firewallが提供するスケーラブ ルでセキュアな監査ウェアハウスを使用すると、大容量(テラバ イト)の監査データを保管できます。 付録A:共有ホスティング・プロバイダ向けのPCI DSS追加要件 A 共有ホスティング・プロバイダは、カード会員データ環境を保護すること 要件12.8および12.9の記述のとおり、カード会員データにアクセスできるすべてのサービス・プロバイダ(共有ホスティング・プロバイダを 含む)は、PCI DSSを遵守しなければなりません。さらに、要件2.6には、共有ホスティング・プロバイダはそれぞれの事業体のホスト環境や データを保護しなければならない、とあります。したがって、共有ホスティング・プロバイダは、この付録に記載されている要件についても 遵守しなければなりません。 A.1 A.1.1からA.1.4にあるとおり、それぞれの事業体(加盟店、サービス・プロバイダ、その他の事業体)のホスト環境とそのデータを 保護します。 ホスティング・プロバイダは、PCI DSSにおけるその他の該当部分に加えて、これらの要件を満たす必要があります。 注:ホスティング・プロバイダがこれらの要件を満たしていても、そのホスティング・プロバイダを利用している事業体の準拠が 保証されるわけではありません。それぞれの事業体が、PCI DSSに準拠し、その準拠状況を検証しなければなりません。
A.1.1 それぞれの事業体は、その事業体のカード会員デー タ環境にアクセスするプロセスのみを実行します。
Oracle Database Vault:
•
レルムは、高特権ユーザーやDBAによるアプリケーショ ン・データおよびカード会員データへのアクセスを制限し ます。•
ファクタとコマンド・ルールは、アプリケーション、デー タ、およびデータベースへのアクセスに対する厳密な制御 を適用します。•
職務の分離機能は、Oracleデータベースで不正な管理アク ションが実行されることを防止します。Oracle Label Securityは、必要な範囲を決定するための行レベル の特権ユーザー制御を提供します。
Oracle Virtual Private Databaseは、必要な範囲に基づいた基本的 な実行時マスキング機能を提供します。
Oracle Advanced Security Data Redactionはアプリケーションに 表示される機密データを削除します。
Oracle Databaseのオブジェクト権限とデータベース・ロールに より、基本的なセキュリティが提供されます。
Oracle Identity Governance Suiteは、コンピューティング・リソー スへのエンタープライズでのユーザー・プロビジョニング(IDラ イフサイクル管理)を提供します。
A.1.2 それぞれの事業体のアクセスと権限を、その事業体 に属するカード会員データ環境のみに制限します。
上記に加えて:
Oracle Access Management Suiteは、一元化されたアクセス制 御、認可、および認証を提供します。
Oracle Identity Analyticsは、詳細なジョブ割当てとアクセスのた めのロール定義を提供します。
A.1.3 それぞれの事業体のカード会員データ環境ごとに、 ロギングと監査証跡が有効化され、PCI DSS要件10 に準拠していることを確認します。
Oracle Audit Vault and Database Firewallのポリシーはエンター プライズ・データベースへの導入が容易なため、カード会員デー タへのアクセスに対する一貫した監査を実現できます。監査管理 者のみが監査ポリシーおよびプロセスを変更できます。 Oracle Access Management Suiteは、すべてのユーザー・アク ティビティに関する監査レポートを提供します。
A.1.4 ホスティングする加盟店やサービス・プロバイダに セキュリティ侵害が発生した場合、タイムリーに フォレンジック調査が実行できるように手順を確 立します。
Oracle Audit Vault and Database Firewallは、監査データを監視 するために、標準提供のレポート、カスタマイズ可能なアラート、 アラート・ダッシュボードを提供します。
カスタマイズしたレポートは、Oracle Application Express、 Oracle Business Intelligence Publisher、またはサード・パーティ 製のツールを使用して生成できます。Oracle Audit Vault and Database Firewallでは、ウェアハウス・スキーマが公開されてい ます。
