Oracle Enterprise Manager Application Configuration Console PCIコンプライアンス リリース5.3.2 B56957-01 |
|
戻る |
次へ |
この章では、PCIコンプライアンスと、そのコンプライアンスをサポートする上でのApplication Configuration Consoleの役割を定義します。
Payment Card Industry Data Security Standard(PCI DSS)は、VISA、MasterCardおよびAmerican Expressなどの主なクレジット・カード会社が、クレジット・カードのデータのセキュリティを向上するために策定した業界標準です。この標準は、次のような対策による一連のアカウント保護メカニズムへのコンプライアンスを規定しています。
情報セキュリティ・ポリシーの維持。
アンチウイルス・ソフトウェアの使用および更新。
カード所有者データの伝送の暗号化。
ファイアウォール構成の維持。
物理的なアクセス制御手法の導入。
セキュアではない構成管理の防止。
システム構成の追跡。
アクセスを承認済ユーザーのみに限定するための、ファイルおよびディレクトリ権限の監視。
システム・サービスへのアクセス変更の監視による、不要でセキュアではないすべてのサービスおよびプロトコルの無効化。
パスワード・エージングおよびパスワード複雑度などのユーザー・アカウント・ポリシーの監視。
この標準の対象となるのは小売店、処理業者、販売店、金融機関および支払会社ですが、標準の基本理念は、あらゆるビジネス関係者や個人を特定できる機密データの保護にも適用できます。この場合は、処置を必要とする体系化された規則が存在しない場合でも、実際に行われた処置の結果が重要な意味を持ちます。つまり、重要なことは、PCI要件8.5を満たすことではなく、適正なユーザー認証およびパスワード管理のために手段を講じるという事実です。
Application Configuration Consoleの主な機能は構成、変更およびリリース管理プロセスの自動化です。この主要機能の標準的な拡張機能として、オペレーティング・システムのセキュリティ設定に対する変更の監視があります。
Application Configuration ConsoleのPCIコンプライアンス自動化モジュールは、オペレーティング・システムのセキュリティ設定を取得するアセットの作成ツールを提供することで、Application Configuration Consoleの機能を拡張します。このツールは作成したアセットを、推奨標準へのコンプライアンスについて監査されるようにします。使用環境のベースラインが一度決定すると、変更の監視と検知された差異の修復は、Application Configuration Consoleの追跡機能に引き継がれます。
Security Standards Councilはその規定に一元的なソリューションを明言していません。PCIコンプライアンスは広範囲のイニシアチブを網羅しており、その中にはApplication Configuration Consoleのソフトウェアによるサポートの範囲外にあるものもあります。
表1-1に、前述のSecurity Standards Councilで規定されているアカウント保護メカニズムの一覧を、再度、Application Configuration ConsoleのPCIコンプライアンス自動化モジュールによるサポートの有無のチェックとともに示します。
表1-1 Application Configuration ConsoleでサポートされているPCI要件
PCI要件 | サポート |
---|---|
情報セキュリティ・ポリシーの維持 |
いいえ |
アンチウイルス・ソフトウェアの使用および更新 |
いいえ |
カード所有者データの伝送の暗号化 |
いいえ |
ファイアウォール構成の維持 |
いいえ |
物理的なアクセス制御手法の導入 |
いいえ |
セキュアではない構成管理の防止 |
はい |
システム構成の追跡 |
はい |
アクセスを承認済ユーザーのみに限定するための、ファイルおよびディレクトリ権限の監視 |
はい |
システム・サービスへのアクセス変更の監視による、不要でセキュアではないすべてのサービスおよびプロトコルの無効化 |
はい |
パスワード・エージングおよびパスワード複雑度などのユーザー・アカウント・ポリシーの監視 |
はい |