PCI DSSのファイルセキュリティ対策では、エンドポイントだけでなく、すべての取り込みチャネルを通じてCDE(カード保有者データ環境)に入ってくるすべてのファイルについて、スキャン、クリーンアップ、および評価が行われます。PCI DSS 4.0.1では、マルウェア対策の対象範囲が、Web、電子メール、クラウドストレージ、管理型ファイル転送、リムーバブルメディア、およびソフトウェアの依存関係にまで拡大されています。
PCI DSS(ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード)のコンプライアンスを担当するセキュリティチームの多くは、すでに必要な対応を済ませています。EDR(Endpoint ・対応)が導入され、マルウェア対策ソフトも稼働しています。要件5の横にはチェックマークが付いています。これらは不可欠なセキュリティ対策ですが、規制要件のより広範な範囲を考えると、従来のセキュリティ対策では不十分である可能性があります。
PCI DSS 4.0.1 では、以前のバージョンでは解釈の余地が残されていた点について明確に規定されています。すなわち、マルウェア対策の対象範囲は、ファイルが CDE へ流入、CDE 内を移動、および CDE から流出するあらゆるチャネルに及ぶということです。ゼロデイ攻撃、Web トラフィック、電子メール、Cloud 、管理型ファイル転送、リムーバブルメディア、Software これに含まれます。
エンドポイントは、数ある対象領域の1つに過ぎません。他の領域が評価されていない場合、リスクが存在することになり、監査人はどこを点検すべきか把握しています。
この記事では、規格が求める要件の全範囲を網羅しているため、自社の対応状況を正直に評価することができます。要件ごとにさらに詳しく確認したい場合は、『PCI DSS マッピングガイドおよびスターター向けチェックリスト』を参照してください。ここでは、各コントロールについて具体的な推奨事項とともに詳しく解説しています。
主なポイント
PCI DSS 4.0.1 では、ファイルのセキュリティをマルチチャネル的な取り組みとして扱っています。マルウェア対策の 適用範囲は、エンドポイントだけでなく、Web、電子メール、クラウド、管理型ファイル転送、リムーバブルメディア、およびソフトウェアの依存関係にまで及ぶ必要があります。
単一のエンドポイント保護は、他のすべてのチャネルの下流に位置しています。ファイルがエンドポイントエージェントに到達するまでに、すでに6つの検査ポイントを通過しているか、あるいは不合格となっているのです。
シグネチャ検出だけでは、この基準を満たすことはできません。要件5では 、あらゆる種類のマルウェアを網羅すること、およびゼロデイ脅威に対する行動検知が求められています。
リムーバブルメディアには明確な義務が課されています。要件 5.3.3 では、リムーバブルメディアの挿入時に自動的にスキャンを行うことが義務付けられており、手動による対応は要件を満たしません。
Software 対象範囲に含まれます。要件6 .3.2では 、特注およびカスタムソフトウェアを安全に開発すること、ならびにサードパーティ製コンポーネントのインベントリを維持することが求められています。
PCI DSS 4.0.1 では、ファイルのセキュリティに関してどのような要件が定められているのでしょうか?
各チャネルについて詳しく説明する前に、まず仕様書そのものに立脚して議論を展開しておく価値があります。
要件 5 では、脅威の範囲について次のように明快に説明されています。「マルウェアは、従業員の電子メール(例えば、フィッシングを介して)や、インターネット、mobile 、ストレージデバイスの利用など、業務上認められた多くの活動を通じてネットワークに侵入し、システムの脆弱性を悪用する結果となる。」これが、決済環境におけるファイルベースの攻撃の主要な脅威モデルです。
また、この規格では、検知機能だけでは不十分であることも明記されています。「あらゆる種類のマルウェアに対処できるマルウェア対策ソリューションを使用することで、現在および進化し続けるマルウェアの脅威からシステムを保護することができます。」ここで重要なのは、「あらゆる種類」および「現在および進化し続ける」という表現です。既知の脅威のみを検知する仕組みでは、この規格が明示的に指摘しているような防御の隙間が生じてしまいます。
要件5.2.1はさらに踏み込んでおり、その「グッドプラクティス」ガイダンスでは、「組織は『ゼロデイ』攻撃(これまで知られていなかった脆弱性を悪用する攻撃)を認識し、行動特性に焦点を当て、予期せぬ行動に対して警告を発し対応するソリューションを検討することが有益である」と記されている。これは、完全なカバレッジを実現するためには、行動ベースおよびヒューリスティックな検知が重要であることを、本規格自体が認めていることを示している。
要件6および11は、その適用範囲をさらに拡大しています。要件6.3.2では、特注ソフトウェアおよびカスタムソフトウェアにおけるセキュリティ上の脆弱性を特定することが求められており、これはソフトウェアサプライチェーンのリスクに直接対処するものです。要件11.3.1.2では、認証済みの内部スキャンが義務付けられています。これら2つの要件を総合すると、PCI DSS準拠環境におけるファイルセキュリティは、単一の統制措置ではなく、アーキテクチャ全体に適用される一連の取り組みであることが明らかになります。
PCI DSSでは、どのような7つのファイル取り込みチャネルのSecure求められているのでしょうか?
多くのコンプライアンス・プログラムには、まだ測定されていないこの点に課題があります。
摂取経路 | PCI DSSの要件 | Endpoint が見逃してしまう理由 | 何がそのギャップを埋めるのか |
ウェブトラフィック | 要件 5、6 | Webプロキシを経由して転送されるファイルは、エンドポイントエージェントには一切アクセスしません | ゲートウェイでのマルチエンジンスキャン |
メールと添付ファイル | 要件 1、5 | シングルエンジンのシグネチャスキャンでは、マクロ、アーカイブ、埋め込み型エクスプロイトが見逃される | Multiscanning、ファイルのクリーンアップ、データ漏洩防止 |
Cloud | 要件 5、6 | SharePoint、OneDrive、またはS3への直接アップロードは、エンドポイント検査をバイパスします | 保存中のファイルのスキャン + データ漏洩防止 |
管理されたファイル転送 | 要件 5、6 | 信頼できるパートナーからのファイルは、すでにワークフロー内に取り込まれている | 転送中のファイルのスキャン + ファイルのクリーンアップ |
リムーバブルメディア | 要件 1、5、9 | 手動スキャンの方針は、自動スキャンの義務要件を満たしていない | 外部デバイスからのマルウェア侵入を防ぐため、挿入時に自動スキャンを行う(キオスク) |
Software | 要件 6 | サードパーティ製コンポーネントに存在する既知のCVEは、マルウェアのシグネチャではありません | SDLCの各段階vulnerability detection ファイル(ソフトウェア成果物)vulnerability detection |
エンドポイント | 要件 5 | 他のすべてのチャネルよりも下流に位置し、脅威を最後に捕捉する | EDR/エンドポイント向けアンチウイルス |
- Webトラフィック:HTTPS経由でWebポータルからダウンロードまたはアップロードされたファイルは、エンドポイントに到達する前にネットワークを経由します。
- 電子メールと添付ファイル:電子メールは、依然としてファイルベースの脅威が拡散する最も一般的な手段です。添付ファイルのスキャンは、シグネチャ照合だけにとどまってはなりません。圧縮アーカイブ、マクロが有効な文書、エクスプロイトが埋め込まれたファイルなどは、いずれもこのスキャンを回避するように設計されています。
- ローカルおよびCloud :ファイルは、SharePoint、OneDrive、S3、および類似のプラットフォームと常時同期されます。
- 管理型ファイル転送:ベンダーとのデータ交換、パートナーとの連携、および顧客からのファイル提出により、それぞれ固有のリスクプロファイルを持つ受信ファイルの流れが生じます。
- リムーバブルメディア:要件 5.3.3 は、この規格の中でも特に具体的な義務の一つです。マルウェア対策ソフトウェアは、リムーバブルメディアが挿入された際に、自動的にスキャンを行わなければなりません。USB 、決済環境において活発な攻撃経路となっており、エアギャップ方式のシステムにおいても、多くの場合、唯一の外部データ経路となっています。
- Software と依存関係。要件 6.3.2 が設けられているのは、サードパーティ製ライブラリや組み込みコンポーネントが、CDE(共通脆弱性および露出)の重要な発生源となっているためです。依存関係に既知の CVE(Common Vulnerability and Exposure)が含まれているバイナリは、シグネチャベースのマルウェア検出では検知できないリスクをもたらします。これは、従来の意味でのマルウェアではなく、悪用されるのを待つだけの脆弱性です。
- エンドポイント。これは、ほとんどのチームが対応済みのチャネルです。Endpoint 、デバイスに到達した、実行された、あるいはデバイス上に残存しているものをスキャンします。この対応は必要不可欠ですが、このリストにある他のすべてのチャネルよりも下流に位置しています。ファイルがエンドポイントに到達するまでに、すでに他の6つの検査ポイントを通過しているか、あるいは不合格となっているのです。
単一のアンチウイルスEndpoint だけでは不十分な理由
EDRや単体のエンドポイント向けアンチウイルスソフトは優れたツールですが、その適用範囲は設計上、限られています。
Endpoint 、ディスクへのファイル書き込み、プロセスの実行、ネットワーク接続の確立など、マシン上で発生する動作を監視することでデバイスを保護します。一方、Webプロキシ、メールゲートウェイ、クラウドAPI、USB を経由して転送されるファイルについては検査を行いません。これは適用範囲の問題であり、製品の欠陥ではありません。
PCI DSS 4.0.1 は、その適用範囲に関する疑問に明確な答えを示しています。この規格では、脅威の攻撃対象領域を「ファイルがネットワークに流入するあらゆる経路」と定義しています。Endpoint 、CDE内にすでに存在するデータを保護するものです。一方、ファイルセキュリティは、ネットワークへの流入過程そのものを保護するものです。
この脆弱性は単なる理論上の問題ではありません。単一エンジンのゲートウェイでしかスキャンされないフィッシングメールの添付ファイル、ベンダー提供のソフトウェアパッケージに含まれる悪意のある依存関係、あるいはメンテナンス時間帯に接続USB などを通じて、攻撃者がペイロードを送り込んだ場合、手遅れになるまでエンドポイントエージェントに到達することはありません。この規格が閉鎖を求めているのは、まさにこうした経路なのです。
PCI DSS 4.0.1 における完全なファイルセキュリティとはどのようなものか?
ファイルセキュリティに関する4.0.1監査で問題なしと判定された組織には、共通のアーキテクチャが見られます。それは、すべての取り込みポイントで検査を行い、多層的な防御体制を構築しているという点です。
つまり、ゲートウェイレベルでのマルチエンジンによるスキャンが実現されます。ファイルを複数のアンチウイルスエンジンで同時にスキャンすることで、検出率が劇的に向上し、規格で求められる「あらゆる種類」という表現にふさわしい広範なカバー範囲が確保されます。また、アンチウイルスでは検出できない脅威を無害化するファイルのサニタイズも実現されます。Deep CDR™ テクノロジーは、まだカタログ化されていないゼロデイ攻撃を含む、悪意のある可能性のあるコンテンツを排除し、ファイルを安全で利用可能な形式に再構築します。 また、ソフトウェアパッケージやバイナリが本番システムに到達する前に、既知のCVEに対するファイルレベルの脆弱性評価を行うことも意味します。さらに、エンドポイントのテレメトリだけでなく、すべてのチャネルにわたる一元化されたログ記録を行うことで、要件11の監査要件を実際に満たすことも可能になります。
MetaDefender™ は、OPSWATファイルセキュリティプラットフォームであり、ファイルが CDE に到達する前に、あらゆる取り込みチャネルにわたってファイルをスキャン、クリーンアップ、評価するように設計されています。
OPSWATコンプライアンスガイドには次のように記載されています。「OPSWAT MetaDefender 要件5に対して業界屈指の強力な機能MetaDefender 。Metascan™Multiscanning 、30種類以上の商用アンチウイルスエンジンをMultiscanning 、既知のマルウェアを極めて高い精度で検出します。一方、Deep CDR™テクノロジーは、ファイルを安全かつ利用可能な形式に再構築することで、ゼロデイ攻撃や埋め込み型脅威を予防的に無力化します。」
このギャップが生じているのは、セキュリティチームが不注意だったからではなく、PCI DSS 4.0.1 がより広範な対応を求めているためです。監査の前にこのギャップを解消したチームは、規格で求められている以上のことを行っているわけではありません。単に、求められていることをすべて実行しているに過ぎないのです。
次のステップ
4.0.1で求められる要件の全範囲に照らして、現在の対応状況を評価する準備はできていますか?
「PCI DSS マッピングガイド」と「PCI DSS 初心者向けチェックリスト」をダウンロード これにより、既存の管理措置を7つのファイル取り込みチャネルそれぞれに照らし合わせてマッピングし、ギャップがある箇所を特定できます。
よくある質問
PCI DSS 4.0.1への準拠には、単一のエンドポイント保護だけで十分でしょうか?
いいえ。PCI DSS 4.0.1 では、マルウェア対策の対象範囲が、ファイルが CDE に入ってくるあらゆるチャネルにまで拡大されています。従来のエンドポイント保護はデバイスを保護しますが、Web プロキシ、メールゲートウェイ、クラウド同期、またはリムーバブルメディアを経由して移動するファイルは検査しません。OPSWAT MetaDefender 、多層的な技術と統合することで、このギャップを埋めます。
PCI DSSでは、リムーバブルメディアに対するマルウェアスキャンが義務付けられていますか?
はい。リムーバブルメディアが挿入、接続、または論理的にマウントされた場合、要件 5.3.3 では、自動スキャン、あるいはシステムまたはプロセスの継続的な動作分析のいずれかを実施することが義務付けられています。手動によるスキャン方針では、この要件を満たしません。
PCI DSS 4.0.1に関連するファイル取り込みチャネルにはどのようなものがありますか?PCI DSS 4.0.1に関連するファイル取り込みチャネルにはどのようなものがありますか?
Webトラフィック、電子メールおよび添付ファイル、クラウドストレージ、マネージドファイル転送、リムーバブルメディア、ソフトウェアの依存関係、およびエンドポイント。
PCI DSS 4.0.1 では、ソフトウェアのサプライチェーンリスクについて規定されていますか?
はい。要件6.3.2では、特注およびカスタムソフトウェアが安全に開発され、セキュリティ上の脆弱性が特定・対処され、脆弱性およびパッチ管理を円滑に行うために、サードパーティ製ソフトウェアコンポーネントのインベントリが維持されることが求められています。
カードホルダーデータ環境(CDE)とは何ですか?
CDEとは、カード会員データを保存、処理、または送信する人員、プロセス、技術、およびこれらに関連するすべてのシステムを指します。PCI DSSのファイルセキュリティ管理措置は、CDEへ流入するファイル、CDE内で処理されるファイル、およびCDEから流出するファイルに適用されます。
