Microsoft Entra PCI-DSS ガイダンス
Payment Card Industry Security Standards Council (PCI SSC) は、Payment Card Industry データ セキュリティ基準 (PCI-DSS) などのデータ セキュリティ基準とリソースを開発および促進し、支払いトランザクションのセキュリティを確保する責任があります。 Microsoft Entra ID を使用している組織が PCI コンプライアンスを実現するには、こちらのドキュメントのガイダンスをご覧ください。 ただし、PCI コンプライアンスを確保する責任は組織にあります。 組織の IT チーム、SecOps チーム、ソリューション アーキテクトが、支払いカード情報を処理、処理、保存するセキュリティで保護されたシステム、製品、ネットワークの作成と保守を担当します。
Microsoft Entra ID は一部の PCI-DSS の制御要件を満たすのに役立ち、カード会員データ環境 (CDE) リソースに最新の ID およびアクセス管理プロトコルを提供しますが、カード会員データを保護する唯一のメカニズムとすることはできません。 したがって、このドキュメント セットとすべての PCI-DSS の要件を確認して、顧客の信頼を維持する包括的なセキュリティ プログラムを確立します。 要件の完全な一覧については、PCI Security Standards Council の公式 Web サイト (pcisecuritystandards.org) の「PCI Security Standards Council 公式サイト」をご覧ください。
制御の PCI 要件
グローバルな PCI-DSS v4.0 は、アカウント データを保護するための技術標準と運用標準のベースラインを確立します。 支払いカード アカウント データのセキュリティの推奨と強化を行い、一貫性のあるデータ セキュリティ基準の幅広い対応をグローバルに促進するために開発されました。 アカウント データの保護を目的とする技術要件と運用要件のベースラインです。 支払いカード アカウント データを使用する環境に重点を置いて設計されていますが、PCI-DSS は脅威から保護し、支払いエコシステム内の他の要素をセキュリティで保護するために使用することもできます。"
Microsoft Entra の構成と PCI-DSS
このドキュメントは、Payment Card Industry データ セキュリティ基準 (PCI DSS) に準拠した、Microsoft Entra ID での ID およびアクセス管理 (IAM) を管理している技術およびビジネス リーダー向けの包括的なガイドです。 このドキュメントで概説されている主な要件、ベスト プラクティス、アプローチに従うことで、組織はスコープ、複雑度、PCI 非準拠のリスクを軽減しながら、セキュリティのベスト プラクティスと基準のコンプライアンスを促進できます。 このドキュメントで提供されるガイダンスは、組織が必要な PCI DSS の要件を満たし、効果的な IAM プラクティスを促進する方法で Microsoft Entra ID を構成することを支援することを目的としています。
技術およびビジネス リーダーは次のガイダンスを使用して、Microsoft Entra ID での ID およびアクセス管理 (IAM) の責任を果たすことができます。 他の Microsoft ワークロードでの PCI-DSS の詳細については、「Microsoft クラウド セキュリティ ベンチマークの概要 (v1)」をご覧ください。
PCI-DSS の要件とテスト手順は、支払いカード情報の安全な処理を保証する 12 のプリンシパル要件で構成されています。 これらの要件全体は、組織が支払いカード トランザクションをセキュリティで保護し、機密性の高いカード会員データを保護するのに役立つフレームワークです。
Microsoft Entra ID は、PCI-DSS のコンプライアンスをサポートするためにアプリケーション、システム、リソースをセキュリティで保護するエンタープライズ ID サービスです。 次の表に、PCI の主な要件と、PCI-DSS のコンプライアンスに関する Microsoft Entra ID の推奨されるコントロールへのリンクを示します。
PCI-DSS の主な要件
PCI-DSS の要件 3、4、9、12 は Microsoft Entra ID が対応していないか、満たしていないため、対応する記事がありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。
PCI データ セキュリティ基準 - 概要 | Microsoft Entra ID 推奨の PCI-DSS コントロール |
---|---|
セキュリティで保護されたネットワークとシステムを構築して維持する | 1. ネットワーク セキュリティ コントロールをインストールして維持する 2. すべてのシステム コンポーネントにセキュリティで保護された構成を適用する |
アカウント データの保護 | 3. 保存されるアカウント データを保護する 4. 公衆ネットワークを介した転送での強力な暗号化を使用してカード会員データを保護する |
脆弱性管理プログラムを維持する | 5. 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する 6. セキュリティで保護されたシステムとソフトウェアを開発し、維持する |
強力なアクセスの制御手段を実装する | 7. 業務上の知る必要によってシステム コンポーネントとカード会員データへのアクセスを制限する 8. システム コンポーネントへのアクセスを識別して認証する 9. システム コンポーネントとカード会員データへの物理アクセスを制限する |
ネットワークを定期的に監視およびテストする | 10. システム コンポーネントおよびカード会員データへのすべてのアクセスを記録して監視する 11. システムおよびネットワークのセキュリティを定期的にテストする |
情報セキュリティ ポリシーを維持する | 12. 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする |
PCI-DSS の適用性
PCI-DSS は、カード会員データ (CHD) または機密認証データ (SAD) を保存、処理、または送信する組織に適用されます。 これらのデータ要素は、総称してアカウント データと呼ばれます。 PCI-DSS は、カード会員データ環境 (CDE) に影響を与える組織のセキュリティ ガイドラインと要件を提供します。 CDE を保護するエンティティは、顧客の支払い情報の機密性とセキュリティを確保します。
CHD は次の要素で構成されます。
- プライマリ アカウント番号 (PAN) - 発行元とカード会員のアカウントを識別する一意の支払いカード番号 (クレジット、デビット、プリペイド カードなど)
- カード会員名 – カードの所有者
- カードの有効期限 – カードの有効期限が切れる日と月
- サービス コード - 磁気ストライプに記載の、追跡データ上の支払いカードの有効期限に続く 3 桁または 4 桁の値。 サービス属性を定義して、国際インターチェンジと国内/地域インターチェンジの区別や、使用制限の識別を行います。
SAD は、カード会員の認証や支払いカード トランザクションの承認に使用されるセキュリティ関連の情報で構成されます。 SAD には次が含まれますが、これに限定されません。
- 詳細な追跡データ - 磁気ストライプまたはチップ等価
- カード認証コード/値 - カード検証コード (CVC) またはカード検証値 (CVV) とも呼ばれます。 支払いカードの表面または裏面に記載されている 3 桁または 4 桁の値です。 CAV2、CVC2、CVN2、CVV2、または CID とも呼ばれ、参加している支払いブランド (PPB) によって決定されます。
- PIN - 個人識別番号
- PIN ブロック - デビットまたはクレジット カード トランザクションで使用される PIN の暗号化された表現。 トランザクション中に機密情報が安全に転送されることを保証します
CDE の保護は、顧客の支払い情報のセキュリティと機密性に不可欠であり、次の点に役立ちます。
- 顧客の信頼を維持する - 顧客は、支払い情報が安全に処理され、機密性が保持されることを期待しています。 会社でデータ侵害が発生し、その結果、顧客の支払いデータが盗まれると、会社に対する顧客の信頼が低下し、評判が損なわれる可能性があります。
- 規制に準拠する - クレジット カードのトランザクションを処理する企業は、PCI-DSS に準拠する必要があります。 準拠しない場合、罰金、法的責任、評判の損害の原因となります。
- 財務リスクの軽減 - データ侵害は、財務上大きな影響を与えます。これには、フォレンジック調査のコスト、法的手数料、影響を受ける顧客に対する報酬などがあります。
- ビジネス継続性 - データ侵害はビジネスの運営を中断させ、クレジット カードのトランザクション プロセスに影響を与える可能性があります。 このシナリオは、収益の損失、運営の中断、評判の低下につながる可能性があります。
PCI 監査スコープ
PCI 監査スコープは、CHD や SAD またはその両方のストレージ、処理、または転送のシステム、ネットワーク、およびプロセスに関連します。 アカウント データがクラウド環境に保存、処理、または送信される場合、PCI-DSS はその環境に適用され、コンプライアンスには通常、クラウド環境の検証と使用が含まれます。 PCI 監査のスコープには、次の 5 つの基本的な要素があります。
- カード会員データ環境 (CDE) - CHD や SAD またはその両方が保存、処理、送信される領域。 これには、ネットワーク、ネットワーク コンポーネント、データベース、サーバー、アプリケーション、支払い端末など、CHD に触れる組織のコンポーネントが含まれます。
- ユーザー - 従業員、請負業者、サードパーティのサービス プロバイダーなど、CDE へのアクセス権を持つユーザーは、PCI 監査のスコープに含まれます。
- プロセス - 任意の形式のアカウント データの承認、認証、暗号化、保存など、CHD を含むプロセスは、PCI 監査のスコープに含まれます。
- テクノロジ - CHD を処理、保存、送信するテクノロジは、PCI 監査のスコープに含まれます。これには、プリンターなどのハードウェア、スキャン、印刷、FAX が可能な多機能デバイス、コンピューター、ラップトップ ワークステーション、管理ワークステーション、タブレット、モバイル デバイス、ソフトウェア、その他の IT システムなどのエンドユーザー デバイスがあります。
- システム コンポーネント - CHD/SAD 保存、処理、送信は行わないが、CHD/SAD の保存、処理、送信を行うシステム コンポーネントへの接続が無制限である可能性があるか、CDE のセキュリティに影響を与える可能性があるシステム コンポーネント。
PCI スコープが最小限に抑えられると、組織はセキュリティ インシデントの影響を効果的に軽減し、データ侵害のリスクを軽減できます。 セグメント化は、PCI CDE のサイズを縮小し、結果としてコンプライアンス コストを削減し、組織の全体的なメリットをもたらすための重要な戦略となる可能性があります。組織へのメリットには次が含まれますが、これらに限定されません。
- コスト削減 - 監査スコープを制限することで、組織は監査を受ける時間、リソース、経費を削減し、コスト削減につながります。
- リスクの露出を減らす - PCI 監査スコープを小さくすると、カード会員データの処理、保存、送信に関連する潜在的なリスクが軽減されます。 監査対象のシステム、ネットワーク、アプリケーションの数が限られている場合、組織は重要な資産をセキュリティで保護し、リスクへの露出を減らすことに集中します。
- コンプライアンスの合理化 - 監査スコープを縮小すると、PCI-DSS コンプライアンスの管理が容易になり、合理化されます。 その結果、監査の効率化、コンプライアンスの問題の減少、コンプライアンス違反のペナルティが発生するリスクの軽減を実現します。
- セキュリティ態勢の改善 - システムとプロセスのサブセットが小さいため、組織はセキュリティ リソースと作業を効率的に割り当てます。 セキュリティ チームが重要な資産をセキュリティで保護し、対象を絞った効果的な方法で脆弱性を特定することに集中するため、結果としてより強力なセキュリティ態勢を実現します。
PCI 監査スコープを減らすための戦略
組織の CDE の定義によって、PCI 監査スコープが決まります。 組織は、この定義を文書化し、監査を実行する PCI-DSS 認定監査機関 (QSA) に伝達します。 QSA は CDE のコントロールを評価し、コンプライアンスを判断します。 PCI 基準への準拠と効果的なリスク軽減策の使用は、企業が顧客の個人データと財務データを保護し、運営に対する信頼を維持するのに役立ちます。 次のセクションでは、PCI 監査スコープのリスクを軽減するための戦略について説明します。
トークン化
トークン化は、データ セキュリティの手法です。 トークン化を使用して、機密データを公開することなく、クレジット カード番号などの機密情報を、保存され、トランザクションに使用される一意のトークンに置き換えます。 トークンは、次の要件に対する PCI 監査のスコープを減らします。
- 要件 3 - 保存されるアカウント データを保護する
- 要件 4 - オープンな公衆ネットワークを介した転送での強力な暗号化を使用してカード会員データを保護する
- 要件 9 - カード会員データへの物理的なアクセスを制限する
- 要件 10 - システム コンポーネントおよびカード会員データへのすべてのアクセスを記録して監視する。
クラウドベースの処理手法を使用する場合、機密データとトランザクションへのリスクを考慮します。 これらのリスクを軽減するには、データを保護し、トランザクションの中断を防ぐために、関連するセキュリティ対策とコンティンジェンシー計画を実装することをお勧めします。 ベスト プラクティスとして、支払いトークン化を使用します。これは、データの分類を解除し、場合によっては CDE のフットプリントを削減するための手法です。 支払いトークン化では、機密データが一意の識別子に置き換えられます。これにより、データ盗難のリスクが軽減され、CDE 内の機密情報の公開が制限されます。
セキュリティで保護された CDE
PCI-DSS では、組織はセキュリティで保護された CDE を維持する必要があります。 効果的に構成された CDE を使用すると、企業はリスクへの露出を軽減し、オンプレミス環境とクラウド環境の両方に関連するコストを削減できます。 このアプローチは、PCI 監査の範囲を最小限に抑え、基準に準拠していることを簡単に示し、その際のコスト効率を高めるのに役立ちます。
CDE をセキュリティで保護するために Microsoft Entra ID を構成するには:
- ユーザーにパスワードレスの資格情報を使用する (Windows Hello for Business、FIDO2 セキュリティ キー、Microsoft Authenticator アプリ)
- ワークロード ID に強力な資格情報を使用する (証明書とAzure リソース用マネージド ID)。
- 該当する場合は、認証用に VPN、リモート デスクトップ、ネットワーク アクセス ポイントなどのアクセス テクノロジを Microsoft Entra ID と統合する
- Microsoft Entra ロール、特権アクセス グループ、Azure リソースの特権 ID 管理とアクセス レビューを有効にする
- 条件付きアクセス ポリシーを使用して、PCI 要件のコントロール (資格情報の強度、デバイスの状態) を適用し、場所、グループ メンバーシップ、アプリケーション、リスクに基づいて適用する
- DCE ワークロードのための最新の認証を使用する
- セキュリティ情報イベント管理 (SIEM) システムに Microsoft Entra ID ログをアーカイブする
アプリケーションとリソースが ID およびアクセス管理 (IAM) に Microsoft Entra ID を使用する場合、Microsoft Entra テナントは PCI 監査のスコープに含まれ、ここに記載されているガイダンスが適用されます。 組織は、最適なアーキテクチャを決定するために、PCI 以外のワークロードと PCI ワークロードの間で ID とリソースの分離要件を評価する必要があります。
詳細情報
- 委任された管理と分離された環境の概要
- Microsoft Authenticator アプリの使い方
- Azure リソースのマネージド ID とは
- アクセス レビューとは
- 条件付きアクセスとは
- Microsoft Entra ID の監査ログ
責任マトリックスを確立する
PCI へのコンプライアンスは、支払いカードのトランザクションを処理するエンティティの責任です。これらのエンティティには次が含まれますが、これらに限定されません。
- マーチャント
- カード サービス プロバイダー
- マーチャント サービス プロバイダー
- 承継銀行
- 支払処理業者
- 支払いカード発行元
- ハードウェア ベンダー
これらのエンティティは、支払いカードのトランザクションが安全に処理され、PCI-DSS に準拠するようにします。 支払いカードのトランザクションに関係するすべてのエンティティには、PCI コンプライアンスを確保するという役割があります。
Azure PCI DSS に準拠している状態が、自動的に Azure で構築またはホストするサービスに対する PCI-DSS 検証になるわけではありません。 PCI-DSS 要件に準拠していることを自分で確認します。
コンプライアンスを維持するための継続的なプロセスを確立する
継続的なプロセスには、継続的な監視とコンプライアンス態勢の改善が伴います。 PCI コンプライアンスを維持するための継続的なプロセスのメリット:
- セキュリティ インシデントとコンプライアンス違反のリスクの軽減
- データ セキュリティの強化
- 規制要件との整合性の向上
- 顧客と関係者の信頼度の向上
継続的なプロセスにより、組織は規制環境の変化と進化し続けるセキュリティ上の脅威に効果的に対応します。
- リスク評価 – このプロセスを実行して、クレジットカード データの脆弱性とセキュリティ リスクを特定します。 潜在的な脅威を特定し、脅威が発生する可能性を評価し、ビジネスに及ぼす潜在的な影響を評価します。
- セキュリティ意識向上トレーニング - クレジット カード データを処理する従業員は、カード会員データを保護することの重要性と、その対策を明確にするために、定期的なセキュリティ意識トレーニングを受けます。
- 脆弱性管理 - 定期的な脆弱性スキャンと侵入テストを実施して、攻撃者が悪用できるネットワークまたはシステムの弱点を特定します。
- アクセスの制御ポリシーの監視と管理 - クレジット カード データへのアクセスは、承認された個人に制限されます。 アクセス ログを監視して、未承認のアクセス試行を特定します。
- インシデント対応 – インシデント対応計画は、クレジット カード データが関係するセキュリティ インシデント中にセキュリティ チームがアクションを実行するのに役立ちます。 インシデントの原因を特定し、損害を封じ込め、通常の操作を適切なタイミングで復元します。
- コンプライアンスの監視 - コンプライアンスの監視と監査は、PCI-DSS 要件への継続的なコンプライアンスを確保するために行われます。 セキュリティ ログを確認し、定期的なポリシー レビューを実施し、システム コンポーネントが正確に構成および保守されていることを確認します。
共有インフラストラクチャに強力なセキュリティを実装する
通常、Azure などの Web サービスには共有インフラストラクチャがあり、同じ物理サーバーまたはデータ ストレージ デバイスに顧客データが保存される可能性があります。 このシナリオでは、承認されていない顧客が所有していないデータにアクセスするリスクと、悪意のあるアクターが共有インフラストラクチャを標的にするリスクが発生します。 Microsoft Entra のセキュリティ機能は、共有インフラストラクチャに関連するリスクを軽減するのに役立ちます。
- 最新の認証プロトコル (仮想プライベート ネットワーク (VPN)、リモート デスクトップ、ネットワーク アクセス ポイント) をサポートするネットワーク アクセス テクノロジへのユーザー認証。
- ユーザー コンテキスト、デバイス、場所、リスクなどのシグナルに基づいて、強力な認証方法とデバイス コンプライアンスを適用するアクセスの制御ポリシー。
- 条件付きアクセスは、意思決定を行うために ID 主導のコントロール プレーンを提供してシグナルをまとめ、組織のポリシーを適用します。
- 特権ロール ガバナンス - アクセス レビュー、Just-In-Time (JIT) アクティブ化など。
詳細情報: 条件付きアクセスとは
データの保存場所
PCI-DSS は、クレジット カード データ ストレージに特定の地理的な場所を指定しません。 ただし、カード会員データが安全に保存されている必要があります。これには、組織のセキュリティと規制の要件に応じて、地理的な制限が含まれる場合があります。 さまざまな国と地域に、データ保護とプライバシーに関する法律があります。 該当するデータ所在地の要件を判断するには、法律またはコンプライアンス アドバイザーにご相談ください。
詳細情報: Microsoft Entra ID とデータ所在地
サードパーティのセキュリティ リスク
PCI に準拠していないサードパーティ プロバイダーは、PCI コンプライアンスに対するリスクを引き起こす可能性があります。 サード パーティのベンダーとサービス プロバイダーを定期的に評価および監視し、カード会員データを保護するために必要なコントロールを維持していることを確認します。
データ所在地の Microsoft Entra の機能は、サードパーティのセキュリティに関連するリスクを軽減するのに役立ちます。
ログ記録と監視
正確なログと監視を実装して、セキュリティ インシデントをタイムリーに検出して対応します。 Microsoft Entra ID は、監査およびアクティビティ ログ、SIEM システムと統合できるレポートに対する PCI コンプライアンスを管理するのに役立ちます。 Microsoft Entra ID にはロールベースのアクセスの制御 (RBAC) と MFA があり、機密性の高いリソース、暗号化、脅威保護機能へのアクセスをセキュリティで保護し、組織を未承認のアクセスやデータの盗難から保護します。
詳細情報:
マルチアプリケーション環境: CDE の外部でホストする
PCI-DSS により、クレジット カード情報の受け入れ、処理、保存、送信する企業がセキュリティで保護された環境を確実に維持できます。 CDE の外部でホストすると、次のようなリスクが発生します。
- アクセスの制御と ID 管理が不十分な場合、機密データとシステムへの未承認のアクセスが発生する可能性があります
- セキュリティ イベントの不十分なログと監視により、セキュリティ インシデントの検出と対応が妨げられます
- 不十分な暗号化と脅威に対する保護により、データの盗難と未承認のアクセスのリスクが高まります
- ユーザーへのセキュリティ意識やトレーニングが不十分なため、フィッシングなどの回避可能なソーシャル エンジニアリング攻撃が発生する可能性があります
次のステップ
PCI-DSS 要件 3、4、9、12 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。
PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。
- Microsoft Entra PCI-DSS ガイダンス (本記事)
- 要件 1: ネットワーク セキュリティ制御をインストールして維持する
- 要件 2: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する
- 要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する
- 要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
- 要件 7: 業務上の知る必要によってシステム コンポーネントとカード会員データへのアクセスを制限する
- 要件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する
- 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する
- 要件 11: システムおよびネットワークのセキュリティを定期的にテストする
- Microsoft Entra PCI-DSS 多要素認証ガイダンス