Microsoft Entra ID と PCI-DSS の要件 11
要件 11: システムおよびネットワークのセキュリティを定期的にテストする
定義されたアプローチの要件
11.1 システムとネットワークのセキュリティを定期的にテストするためのプロセスとメカニズムが定義され、理解されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 11.1.1 要件 11 で特定されるすべてのセキュリティ ポリシーと運用手順は次のとおり: 文書化されている 最新の状態に維持されている 使用中 すべての関係者に通知されている |
ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
| 11.1.2 要件 11 のアクティビティを実行するための役割と責任が文書化され、割り当てられ、理解されている。 | ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
11.2 ワイヤレス アクセス ポイントが特定されて監視され、認可されていないワイヤレス アクセス ポイントには対応が行われる。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 11.2.1 認可されたワイヤレス アクセス ポイントおよび認可されていないワイヤレス アクセス ポイントは、次のように管理される。 ワイヤレス (Wi-Fi) アクセス ポイントの存在がテストされる。 すべての認可されたワイヤレス アクセス ポイントと認可されていないワイヤレス アクセス ポイントが検出され、識別される。 テスト、検出、識別は、少なくとも 3 か月に 1 回行われる。 自動監視を使用すると、生成されたアラートを介して担当者に通知される。 |
組織で認証のためにネットワーク アクセス ポイントを Microsoft Entra と統合する場合は、「要件 1: ネットワーク セキュリティ制御をインストールして維持する」を参照してください |
| 11.2.2 文書化されたビジネス上の正当な理由など、認可されたワイヤレス アクセス ポイントのインベントリが管理される。 | Microsoft Entra ID には適用されません。 |
11.3 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 11.3.1 内部脆弱性スキャンは次のように実行される。 少なくとも 3 か月に 1 回。 高リスクと重大な脆弱性 (要件 6.3.1 で定義されているエンティティの脆弱性リスクの格付けに従う) が解決される。 再スキャンが実行され、リスクの高い脆弱性と重大な脆弱性 (前述のとおり) がすべて解決されたことを確認する。 スキャン ツールは、最新の脆弱性情報を使用して最新の状態に保たれる。 スキャンは資格のある担当者によって実行され、テスターの組織の独立性が存在する。 |
Microsoft Entra ハイブリッド機能をサポートするサーバーを含めます。 たとえば、内部脆弱性スキャンの一部として、Microsoft Entra Connect、アプリケーション プロキシ コネクタなどがあります。 フェデレーション認証を使用している組織: フェデレーション システム インフラストラクチャの脆弱性を確認して対処します。 Microsoft Entra ID とのフェデレーションとは Microsoft Entra ID 保護によって報告されたリスク検出を確認して軽減します。 シグナルを SIEM ソリューションと統合して、修復ワークフローや自動化とさらに統合します。 リスクの種類と検出 Microsoft Entra 評価ツールを定期的に実行し、結果に対処します。 AzureADAssessment インフラストラクチャに対するセキュリティ操作 Microsoft Entra ログと Azure Monitor ログを統合する |
| 11.3.1.1 その他すべての該当する脆弱性 (要件 6.3.1 で定義されているエンティティの脆弱性リスクの格付けで、高リスクまたは重大として格付けされていない脆弱性) は、次のように管理される。 エンティティの対象指定リスク分析で定義されているリスクに基づいて対処される。これは、要件 12.3.1 で指定されたすべての要素に従って実行される。 再スキャンは必要に応じて行われる。 |
Microsoft Entra ハイブリッド機能をサポートするサーバーを含めます。 たとえば、内部脆弱性スキャンの一部として、Microsoft Entra Connect、アプリケーション プロキシ コネクタなどがあります。 フェデレーション認証を使用している組織: フェデレーション システム インフラストラクチャの脆弱性を確認して対処します。 Microsoft Entra ID とのフェデレーションとは Microsoft Entra ID 保護によって報告されたリスク検出を確認して軽減します。 シグナルを SIEM ソリューションと統合して、修復ワークフローや自動化とさらに統合します。 リスクの種類と検出 Microsoft Entra 評価ツールを定期的に実行し、結果に対処します。 AzureAD/AzureADAssessment インフラストラクチャに対するセキュリティ操作 Microsoft Entra ログと Azure Monitor ログを統合する |
| 11.3.1.2 内部脆弱性スキャンは、認証されたスキャンを介して次のように実行される。 認証されたスキャンの資格情報を受け入れることができないシステムが文書化されている。 スキャン用の資格情報を受け入れるシステムには、十分な特権が使用される。 認証されたスキャンに使用されるアカウントを対話型ログインに使用できる場合は、要件 8.2.2 に従って管理される。 |
Microsoft Entra ハイブリッド機能をサポートするサーバーを含めます。 たとえば、内部脆弱性スキャンの一部として、Microsoft Entra Connect、アプリケーション プロキシ コネクタなどがあります。 フェデレーション認証を使用している組織: フェデレーション システム インフラストラクチャの脆弱性を確認して対処します。 Microsoft Entra ID とのフェデレーションとは Microsoft Entra ID 保護によって報告されたリスク検出を確認して軽減します。 シグナルを SIEM ソリューションと統合して、修復ワークフローや自動化とさらに統合します。 リスクの種類と検出 Microsoft Entra 評価ツールを定期的に実行し、結果に対処します。 AzureADAssessment インフラストラクチャに対するセキュリティ操作 Microsoft Entra ログと Azure Monitor ログを統合する |
| 11.3.1.3 内部脆弱性スキャンは、次のような重大な変更の後に実行される。 (要件 6.3.1 で定義されているエンティティの脆弱性リスクの格付けによる) 高リスクと重大な脆弱性が解決された。 再スキャンは必要に応じて行われる。 スキャンは資格のある担当者によって実行され、テスターの組織の独立性が存在する (認定セキュリティ機関 (QSA) または認定スキャン ベンダー (ASV) である必要はない)。 |
Microsoft Entra ハイブリッド機能をサポートするサーバーを含めます。 たとえば、内部脆弱性スキャンの一部として、Microsoft Entra Connect、アプリケーション プロキシ コネクタなどがあります。 フェデレーション認証を使用している組織: フェデレーション システム インフラストラクチャの脆弱性を確認して対処します。 Microsoft Entra ID とのフェデレーションとは Microsoft Entra ID 保護によって報告されたリスク検出を確認して軽減します。 シグナルを SIEM ソリューションと統合して、修復ワークフローや自動化とさらに統合します。 リスクの種類と検出 Microsoft Entra 評価ツールを定期的に実行し、結果に対処します。 AzureADAssessment インフラストラクチャに対するセキュリティ操作 Microsoft Entra ログと Azure Monitor ログを統合する |
| 11.3.2 外部脆弱性スキャンは次のように実行される。 少なくとも 3 か月に 1 回。 PCI SSC ASV による。 脆弱性が解決され、合格スキャンの ASV プログラム ガイドの要件が満たされる。 再スキャンは、合格スキャンの ASV プログラム ガイドの要件に従って脆弱性が解決されたことを確認するために、必要に応じて実行される。 |
Microsoft Entra ID には適用されません。 |
| 11.3.2.1 外部脆弱性スキャンは、次のような重大な変更の後に実行される。 CVSS によって 4.0 以上のスコアが付いている脆弱性が解決される。 再スキャンは必要に応じて行われる。 スキャンは資格のある担当者によって実行され、テスターの組織の独立性が存在する (QSA または ASV である必要はない)。 |
Microsoft Entra ID には適用されません。 |
11.4 外部および内部の侵入テストが定期的に実行され、悪用可能な脆弱性とセキュリティ上の弱点が修正される。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 11.4.1 侵入テストの手法は、エンティティによって定義、文書化、実装され、次のものが含まれる。 業界で受け入れられている侵入テストのアプローチ。 カード所有者データ環境 (CDE) 境界と重要なシステム全体のカバレッジ。 ネットワークの内部と外部両方からのテスト。 任意のセグメント化およびスコープの縮小制御を検証するテスト。 少なくとも要件 6.2.4 に一覧表示されている脆弱性を識別するアプリケーション レイヤー侵入テスト。 ネットワーク機能とオペレーティング システムをサポートするすべてのコンポーネントを含むネットワーク レイヤー侵入テスト。 過去 12 か月間に発生した脅威と脆弱性のレビューと考慮事項。 侵入テスト中に見つかった悪用可能な脆弱性とセキュリティの弱点によってもたらされるリスクを評価して対処するための文書化されたアプローチ。 少なくとも 12 か月間の侵入テストの結果と修復アクティビティの結果の保有期間。 |
侵入テストの実施ルール、Microsoft Cloud |
| 11.4.2 内部侵入テストが次のように実行される。 エンティティの定義された手法に従う。 少なくとも 12 か月に 1 回。 重要なインフラストラクチャまたはアプリケーションのアップグレードまたは変更後。 資格のある内部リソースまたは資格のある外部サードパーティによる。 テスターの組織の独立性が存在する (QSA または ASV である必要はない)。 |
侵入テストの実施ルール、Microsoft Cloud |
| 11.4.3 外部侵入テストが次のように実行される。 エンティティの定義された手法に従う。 少なくとも 12 か月に 1 回。 重要なインフラストラクチャまたはアプリケーションのアップグレードまたは変更後。 資格のある内部リソースまたは資格のある外部サードパーティによる。 テスターの組織の独立性が存在する (QSA または ASV である必要はない)。 |
侵入テストの実施ルール、Microsoft Cloud |
| 11.4.4 侵入テスト中に見つかった悪用可能な脆弱性とセキュリティの弱点は、次のように修正される。 要件 6.3.1 で定義されているセキュリティ問題によってもたらされるリスクに関するエンティティの評価に従う。 侵入テストを繰り返して修正を検証する。 |
侵入テストの実施ルール、Microsoft Cloud |
| 11.4.5 セグメント化を使用して CDE を他のネットワークから分離する場合、セグメント化コントロールに対して侵入テストを次のように実行する。 少なくとも 12 か月ごとに 1 回、セグメント化コントロール/メソッドの変更後。 使用中のすべてのセグメント化コントロール/メソッドをカバーする。 エンティティの定義された侵入テスト手法に従う。 セグメント化コントロール/メソッドが運用可能かつ効果的であることを確認し、CDE をスコープ外のすべてのシステムから分離する。 分離の使用の有効性を確認して、異なるセキュリティ レベルを持つシステムを分離する (要件 2.2.3 を参照)。 資格のある内部リソースまたは資格のある外部サードパーティが実行する。 テスターの組織の独立性が存在する (QSA または ASV である必要はない)。 |
Microsoft Entra ID には適用されません。 |
| 11.4.6 "サービス プロバイダーのみの追加要件": セグメント化を使用して CDE を他のネットワークから分離する場合、セグメント化コントロールに対して侵入テストを次のように実行する。 少なくとも 6 か月ごとに 1 回、セグメント化コントロール/メソッドの変更後。 使用中のすべてのセグメント化コントロール/メソッドをカバーする。 エンティティの定義された侵入テスト手法に従う。 セグメント化コントロール/メソッドが運用可能かつ効果的であることを確認し、CDE をスコープ外のすべてのシステムから分離する。 分離の使用の有効性を確認して、異なるセキュリティ レベルを持つシステムを分離する (要件 2.2.3 を参照)。 資格のある内部リソースまたは資格のある外部サードパーティが実行する。 テスターの組織の独立性が存在する (QSA または ASV である必要はない)。 |
Microsoft Entra ID には適用されません。 |
| 11.4.7 "マルチテナント サービス プロバイダーのみの追加要件": マルチテナント サービス プロバイダーは、要件 11.4.3 および 11.4.4 に従って外部侵入テストのために顧客をサポートする。 | 侵入テストの実施ルール、Microsoft Cloud |
11.5 ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 11.5.1 侵入検出/侵入防止手法を使用して、次のようにネットワークへの侵入を検出または防止する。 CDE の境界ですべてのトラフィックが監視される。 CDE の重要なポイントですべてのトラフィックが監視される。 セキュリティ侵害の疑いがある場合は、担当者にアラートが送信される。 すべての侵入検出および防止エンジン、ベースライン、署名が最新の状態に維持される。 |
Microsoft Entra ID には適用されません。 |
| 11.5.1.1 "サービス プロバイダーのみの追加要件": 侵入検出/侵入防止手法によって、マルウェアの隠れ通信チャネルを検出、警告、防止、対処する。 | Microsoft Entra ID には適用されません。 |
| 11.5.2 変更検出メカニズム (ファイル整合性監視ツールなど) が次のようにデプロイされる。 重要なファイルの認可されていない修正 (変更、追加、削除を含む) を担当者に警告する。 重要なファイルの比較を毎週少なくとも 1 回実行する。 |
Microsoft Entra ID には適用されません。 |
11.6 支払ページでの認可されていない変更は検出され、対応が行われる。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 11.6.1 変更と改ざんの検出メカニズムが次のようにデプロイされる。 コンシューマー ブラウザーが受け取った支払ページの HTTP ヘッダーと内容に対する認可されていない修正 (侵害のインジケーター、変更、追加、削除を含む) を担当者に警告する。 このメカニズムは、受信した HTTP ヘッダーと支払ページを評価するように構成される。 メカニズム関数は次のように実行される。少なくとも 7 日に 1 回 または エンティティの対象指定リスク分析で定義されている頻度で定期的に、すべての要素に従って実行される |
Microsoft Entra ID には適用されません。 |
次のステップ
PCI-DSS 要件 3、4、9、12 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。
PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。
- Microsoft Entra PCI-DSS ガイダンス
- 要件 1: ネットワーク セキュリティ制御をインストールして維持する
- 要件 2: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する
- 要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する
- 要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
- 要件 7: 業務上の知る必要によってシステム コンポーネントとカード会員データへのアクセスを制限する
- 要件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する
- 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する
- 要件 11: システムおよびネットワークのセキュリティを定期的にテストする (表示中のページ)
- Microsoft Entra PCI-DSS 多要素認証ガイダンス