PCI DSS備忘録（1）|セキュリティ|ブログ|Computerworld

読者の皆様

お待たせしました。
暑くなったり寒くなったりと、忙しい気候に弱い蔵本です。

本日の一枚は、ご飯ではありませんｗ
これ京都の三条にあるポールスミスの店舗なんですよ！オシャレですよねー。

ということで、本日はPCI DSSのお話です。

最近、PCI DSSを参照する事が多く、備忘録もかねて、定量的に決まっている項目や、明確に決まっている項目に関して、項番とサマライズした内容を記載していきます。 正確な内容に関しては、実際のPCI DSSのドキュメントをご参照ください。

なお、参照しているPCI DSSは、v2.0です。
PCI DSSは下記URLの「Documents Library」からダウンロードできますので、見た事がない！という方は是非一度ご参照ください。

https://www.pcisecuritystandards.org/security_standards/

以前のブログでも少し触れましたが、PCI DSSはクレジットカード業界で使用される Security Standard です。

セキュリティ関連の規格は色々とあります。その中でもPCI DSSは、定量的、かつ明確に要件が書かれているため、もやっとしがちな他のセキュリティ規格と比べて、どこまでやれば良いのかでお悩みの方にとって役に立つ存在ではないでしょうか。

実際、クレジットカード業界以外の業界でも、この規格に準拠してセキュリティ対策を施す企業が増えてきています。

それでは、始めていきましょう。

●定量的、具体的に定義されている項目

1.1.6

　ファイアウォールおよびルータのルールセットは、少なくとも6カ月ごとにレビューされる必要がある。

4.1.1

　2010年6月30日をもって、WEPの使用が禁止された。

6.1

　重要なセキュリティパッチは、リリース後1カ月以内にインストールする。

6.6

　一般公開されているWebアプリケーションについて、少なくとも年に一回、脆弱性を評価する。

8.5.3

　初期パスワードは、初回使用後に直ちに変更する。

8.5.4

　過去6カ月間に契約終了したユーザーのサンプルを選択し、これらのユーザーIDが無効か、または削除されていることを確認する。

8.5.5

　少なくとも90日ごとに非アクティブのユーザーアカウントを削除／無効化する。

8.5.9

　少なくとも90日ごとにユーザーパスワードを変更する。

8.5.10

　パスワードに7文字以上が含まれることを要求する。

8.5.11

　数字と英文字の両方を含むパスワードを使用する。

8.5.12

　最後に使用した4つのパスワードを同じものを使用できないようにする。

8.5.13

　最大6回の試行後に、ユーザーIDをロックアウトする。

8.5.14

　ロックアウトの期間を、最小30分または管理者がユーザーIDを有効にするまで、に設定する。

8.5.15

　セッションが15分を超えてアイドル状態の場合、ユーザーに再認証を要求する。

今回はひとまずここまで。
残りに関しては次回以降で掲載していきます！

それでは次回をお楽しみに！