Gorka Vicente
今日のデジタル経済において、カード決済を取り扱う企業は、顧客データを保護し信頼を維持するためにセキュリティへの取り組みを強化しています。カード会員データを狙ったサイバー脅威は進化し続けており、強固なセキュリティ対策の導入は不可欠です。
PCI DSS(Payment Card Industry Data Security Standard)は、カード会員データを保護するためのベストプラクティスを定めた国際的なセキュリティ基準です。どのような規模の企業であれ、PCI DSS に準拠することで、機密性の高いカード会員データを保護できます。さらに、セキュリティ侵害のリスクを軽減し、財務的損失やレピュテーションリスクの発生を回避することにもつながります。
しかし、PCI DSS の要件を満たすことは容易ではありません。コンプライアンス基準が進化し続けていることに加え、従来のツール依存型アプローチから成果重視のセキュリティ手法へと移行が進んでいることも、その複雑さに拍車をかけています。 本記事では次の点について解説します:
PCI DSSへの準拠とは
PCI DSS準拠の重要性
PCI DSS v4.0.1の主な変更点
Datadogがセキュリティ強化とPCI DSS準拠を支援する方法
これらの要素を理解することで、組織はコンプライアンスの全体像を適切に把握し、PCI DSS 要件に対応するだけでなく、サイバーセキュリティ全体のレジリエンスを高めることもできます。
PCI DSS準拠の基本
PCI DSSは、カード会員データを窃盗や詐欺から保護するためのセキュリティ基準です。この基準は、カード会員データを処理・保存・送信するすべての企業に適用されます。
このフレームワークは、暗号化、アクセス制限、継続的な脆弱性管理などの強固なセキュリティ対策を確実に実施できるように設計されています。また、年次監査の受審または代替的な検証プロセスの実施が求められる場合もあります。
こうした要件への準拠を簡素化するために、脆弱性の自動検出、リアルタイムの脅威監視、防御の強化を行うセキュリティソリューションを活用できます。これらを統合的に活用することで、組織全体のサイバーセキュリティ体制を一層強化することが可能です。
PCI DSS準拠の重要性
PCI DSSへの準拠は、カード会員データを電子的に処理・保存・送信する組織にとって不可欠な要件です。Visa、Mastercard、Discover、American Express、JCBなど主要カードブランドの決済を取り扱う企業は、取引のセキュリティを高め、カード会員データを保護するために PCI DSS に準拠する必要があります。
PCI DSS への準拠は、多くの組織が想像するほどハードルが高いわけではありません。しかし、準拠を怠れば重大な財務的影響を招く可能性があります。非準拠に対する罰金はカードブランドごとに定められ、その重大性や期間に応じて決まります。PCI DSS に準拠することで、こうしたリスクを軽減できるだけでなく、組織全体のセキュリティを強化し、顧客からの信頼を高めることにもつながります。
PCI DSS v4.0.1における主な変更点
PCI DSS v4.0.1 では、v4.0 に軽微な修正が加えられており、主に要件の理解を容易にするための更新や明確化が行われています。しかし、いずれのバージョンも、特にアプリケーションセキュリティ(AppSec)の領域において、従来の基準から大きく方向転換しています。従来の基準では、組織が要件を満たすために特定のツールや技術を必要とすることが多くありましたが、その要件は現在変化しつつあります。
たとえば、旧バージョンのRequirement 6.6では、ウェブアプリケーションの脆弱性を特定・修正するために、動的アプリケーションセキュリティテスト(DAST)ソリューションの使用が義務付けられていました。
しかしこの明示的な要件はすでに廃止され、最新バージョンでは特定の技術を規定せず、代わりに安全なシステムやソフトウェアの開発・テストに関して以下の要件が求められています。
6.2: 個別およびカスタムソフトウェアが安全に開発されている
6.3: セキュリティの脆弱性が特定され、適切に対処されている
6.4: 公開ウェブアプリケーションが攻撃から保護されている
6.5: すべてのシステムコンポーネントに対する変更が安全に管理されている
11.3: 外部および内部の脆弱性が定期的に特定・優先付けされ、適切に対処されている
11.4: 外部および内部のペネトレーションテストが定期的に実施され、悪用可能な脆弱性やセキュリティ上の弱点が修正されている
このように、特定のツールに依存するのではなく、包括的なセキュリティ体制(ポスチャー)を重視する姿勢が明確に打ち出されています。一部の組織はいまだに、Web アプリケーションファイアウォール(WAF)や静的アプリケーションセキュリティテスト(SAST)スキャナーといった技術の導入が準拠の必須条件であると誤解しています。しかし、旧来のソリューションに頼るだけでは、最新の PCI DSS 基準を満たすことがかえって難しくなる場合もあります。過去の規制が硬直的なチェックリスト型のアプローチに基づいていたのに対し、現在のコンプライアンスは柔軟なセキュリティ実践と測定可能な成果に重点を置いています。
DatadogによるPCI DSS準拠への支援
PCI DSSに設定されている要件満たすことは容易ではありませんが、Datadogはセキュリティ体制とコンプライアンスの両方を強化するソリューションを提供しています。脆弱性検出の自動化、セキュリティ脅威の管理、継続的なモニタリングの実現を通じて、Datadogは組織が強力なセキュリティ体制を構築・維持することを支援します。具体的には以下のような製品がPCI DSS 準拠の実現を支援します。
アプリケーション開発ライフサイクルの早期段階で脆弱性を特定し、修正方法を提示。セキュアなソフトウェア開発を実現
Datadog App and API Protection (AAP) Threat Management
アプリケーションをリアルタイムで監視し、既知およびゼロデイの脅威を検出・軽減。WAFやRASP(Runtime Application Self-Protection)機能を搭載
Datadog は多様なセキュリティ機能を提供しており、アプリケーション、API、オープンソースライブラリを対象に、企業が PCI DSS の要件に対応できるよう支援します。セキュリティに関するインサイトを 単一のプラットフォームに統合することで、組織はより正確な意思決定を行い、脅威を検出し、コンプライアンスへの対応を効率化することが可能になります。
Datadog セキュリティプラットフォームの PCI DSS 対応状況
以下にPCI DSS v4.0.1 に対応する Datadog のコンプライアンス機能の詳細を示します。
| PCI DSS v4.0.1 の要件 | DATADOGのコンプライアンス対応機能 |
|---|---|
6.2.3: 本番環境へのリリースや顧客への提供の前に、個別開発およびカスタムソフトウェアがレビューされ、潜在的なコードの脆弱性が特定・修正されている
| Datadog Code Security は、ソフトウェア開発ライフサイクル(開発および CI/CD)の初期段階で脆弱性を検出し、チームがアプリケーションを本番環境にデプロイする前に特定します。この検出は、リポジトリ内のソースコードを分析し、ファーストパーティコードやサードパーティのオープンソースライブラリに含まれる脆弱性を見つけ出す Datadog のスキャン機能によって実現されます。手法としては、ファーストパーティコードには静的アプリケーションセキュリティテスト(SAST)、サードパーティ依存関係にはソフトウェア構成解析(SCA)が用いられます。検出された各脆弱性に対して、Datadog は 1 つ以上の修正案を提示し、開発チームや DevOps チームが効率的かつ効果的に問題に対応できるよう支援します。 |
6.2.3.1: 個別開発およびカスタムソフトウェアに対して、本番環境へのリリース前に手動でコードレビューを行う場合、コードの変更は以下の条件を満たしていなければならない:
| ソースコードリポジトリで検出されたすべての脆弱性に対して、Datadog Code Security は、修正案を含むプルリクエストコメント(PRコメント)を 生成します。これらのコメントは、脆弱なコードを書いた本人以外の開発者がレビューできるため、セキュリティ上の欠陥が本番環境にデプロイされるリスクを低減します。 |
6.2.4: 個別開発およびカスタムソフトウェアに対する一般的なソフトウェア攻撃や関連する脆弱性を防止または軽減するために、ソフトウェアエンジニアリングの手法やその他の対策が開発担当者によって定義され、運用されていること。これには、以下に示す攻撃や脆弱性への対策が含まれる(以下は一部の例でありすべてを例示するものではありません):
| Datadog Code Security は、カスタムコード、オープンソースライブラリ、そしてそれらがアプリケーション内でどのように利用されているかを評価し、実行時のコンテキストで脆弱性を特定します。このアプローチにより、要件 6.2.4 に明示的に列挙されている脆弱性にとどまらず、さらに多くの脆弱性を検出できます。 Datadog の検出ルールには以下が含まれます: |
6.3.1: 脆弱性は以下の方法で特定・管理されている:
| Datadog のソリューションは、ソフトウェアの脆弱性を特定するために用いられる手法と連携します。Datadog Code Security および Datadog AAP Threat Management は、情報源とアプリケーション内での脆弱性の影響度を考慮し、その重大度に基づいてリスクの優先順位を付けます。 Datadog は、攻撃者に悪用される可能性のある脆弱性やコーディング上の弱点に関する知見を拡充するため、外部の信頼できる情報源を活用しています。さらに、HackerOne と連携した独自のバグバウンティプログラムを運営し、幅広いセキュリティコミュニティの専門知識を取り入れています。 |
| 6.3.2: 脆弱性やパッチの管理を容易にするため、個別開発およびカスタムソフトウェア、ならびにそれらに組み込まれたサードパーティ製ソフトウェアコンポーネントのインベントリが維持されている | Datadog Code Security は、リポジトリ、サービス、サードパーティコンポーネント(オープンソースライブラリ)のインベントリを作成し、それぞれに関連する脆弱性を可視化します。 |
6.4.1: インターネットに公開された Web アプリケーションに関しては、新たなセキュリティ脅威および脆弱性に継続的に対応し、既知の攻撃から保護されている:
| Datadog Code Security と Datadog AAP Threat Management は、アプリケーションに対する継続的なセキュリティ評価と保護を可能にします。アプリケーションがDatadog Tracing Libraryと統合されている場合、リアルタイムで自己評価と自動防御を行うことができます。
|
6.4.2: インターネットに公開された Webアプリケーションに対して、自動化された技術的ソリューションが導入されており、継続的に Web ベースの攻撃を検出・防止するとともに、少なくとも以下を満たしている
| Datadog AAP Threat Management は、既知の攻撃を継続的に検出・軽減し、自動的なセキュリティ保護を通じてコンプライアンス要件の達成を支援します。アプリケーションが Datadog Tracing Library と統合されている場合、常に自動で防御機能が働きます。攻撃が検出されるたびに、監査ログが生成されます。Datadog AAP Threat Management は、以下の 2 つのモードで動作します:
|
セキュリティ強化とPCI DSSへの準拠の両立
PCI DSSへの準拠は、カード会員データを処理・保存・送信する組織にとって極めて重要です。要件を満たさない場合、重大な財務的損失、セキュリティ侵害、そして顧客からの信頼の失墜といった深刻な結果を招く可能性があります。最新のPCI DSS v4.0.1では、特定のツールに依存するのではなく、強固なセキュリティ成果の達成に重点が置かれるようになっています。
Datadogのセキュリティソリューションを組み合わせて活用することで、組織はコンプライアンス対応を強化しつつ、サイバーセキュリティ体制全体を向上させることが可能になります。Datadog Code Security は、ソフトウェア開発ライフサイクルの初期段階で脆弱性を特定し、早期に修正できるよう支援することで、安全なアプリケーションの構築を後押しします。Datadog AAP Threat Management は、リアルタイムでの継続的な監視とプロアクティブな脅威検出を提供し、アプリケーションを保護します。
