Azure Local および PCI DSS

この記事では、支払いカード業界の組織が、クラウドとオンプレミス環境の両方で PCI DSS のセキュリティ制御要件を達成するのに、Microsoft Azure のローカル セキュリティ機能がどのように役立つかについて説明します。

PCI DSS

Payment Card Industry (PCI) Data Security Standard (DSS) は、クレジット カード データの制御を強化することで不正行為を防ぐために設計されたグローバルな情報セキュリティ標準です。 PCI DSS は、支払いカード ブランドによって義務付けされ、支払いカード業界セキュリティ基準委員会によって管理されます。

カード所有者データ (CHD) を格納、処理、または送信する組織では、PCI DSS への準拠が必要です。 PCI DSS コンプライアンスの対象となる組織には、販売者、支払い処理者、発行者、買収者、サービス プロバイダーが含まれます (ただし、これらに限定されません)。

この標準の詳細については、 PCI Security Standards Council のドキュメント ライブラリを参照してください。

共同責任

PCI DSS は単なるテクノロジと製品の標準ではなく、人とプロセスのセキュリティ要件にも対応していることを理解しておくことが重要です。 コンプライアンスに対する責任は、対象となるエンティティとしてお客様とサービス プロバイダーとしての Microsoft の間で共有されます。

Microsoft のお客様

対象となるエンティティとして、独自の PCI DSS 証明書を実現および管理するのはユーザーの責任です。 組織は、個別の環境、特にカード所有者データが格納、処理、送信されるサービスの支払いまたは支払いに関連するワークロードをホストする部分を評価する必要があります。 これはカード所有者データ環境 (CDE) と呼ばれます。 その後、組織は、公式のテスト プロセスを受ける前に、指定されたすべての要件を満たすために適切なセキュリティ制御、ポリシー、および手順を計画して実装する必要があります。 組織は最終的に、環境がすべての要件を満たしているかどうかを検証する認定セキュリティ 評価者 (QSA) と契約します。

Microsoft

PCI DSS 標準への準拠を維持するのはお客様の責任ですが、お客様だけがこの取り組みを行う必要はありません。 Microsoft では、PCI DSS 検証を完了するための関連する労力とコストを削減するために、ハイブリッド環境全体で補足資料とセキュリティ機能を提供しています。 たとえば、評価者は、すべてをゼロからテストする代わりに、Azure にデプロイされているカード所有者データ環境の一部に対して Azure Attestation of Compliance (AOC) を使用できます。 詳細については、次のコンテンツを参照してください。

Azure ローカル コンプライアンス

Azure Local を設計して構築する場合、Microsoft は Microsoft クラウドと顧客のオンプレミス環境の両方のセキュリティ要件を考慮します。

接続されたクラウド サービス

Azure Local では、Azure Monitor、Azure Backup、Azure Site Recovery など、さまざまな Azure サービスとの緊密な統合が提供され、ハイブリッド設定に新しい機能が提供されます。 これらのクラウド サービスは、サービス プロバイダー レベル 1 の PCI DSS バージョン 4.0 に準拠していることを証明されています。 Azure クラウド サービスのコンプライアンス プログラムの詳細については、 PCI DSS - Azure Compliance を参照してください。

重要

Azure PCI DSS コンプライアンスの状態は、組織が Azure プラットフォームで構築またはホストするサービスの PCI DSS 検証に自動的には変換されないことに注意してください。 お客様は、組織が PCI DSS 要件に準拠していることを確認する責任があります。

オンプレミス ソリューション

オンプレミス ソリューションとして、Azure Local は、組織が PCI DSS やその他の金融サービスのセキュリティ標準への準拠を満たすのに役立つさまざまな機能を提供します。

PCI DSS に関連する Azure ローカル機能

このセクションでは、組織が Azure ローカル機能を使用して PCI DSS の要件を満たす方法について簡単に説明します。 PCI DSS 要件は、カード所有者データ環境 (CDE) に含まれる、またはカード所有者データ環境に接続されているすべてのシステム コンポーネントに適用されることに注意してください。

次のコンテンツでは、カード所有者データを含むサービス支払いまたは支払いに関連するワークロードをホストする Azure Local プラットフォーム レベルに焦点を当てています。

要件 1: ネットワーク セキュリティ制御をインストールして維持する

Azure Local を使用すると、ネットワーク セキュリティ制御を適用して、プラットフォームとその上で実行されているワークロードを外部および内部のネットワークの脅威から保護できます。 また、このプラットフォームでは、ホストでの公平なネットワーク割り当てが保証され、負荷分散機能を使用してワークロードのパフォーマンスと可用性が向上します。 Azure Local のネットワーク セキュリティの詳細については、次の記事を参照してください。

• データセンター ファイアウォールの概要
• ソフトウェア定義ネットワーク (SDN) 用ソフトウェア ロード バランサー (SLB)
• SDN 用リモート アクセス サービス (RAS) ゲートウェイ
• Azure Local でホストされているワークロードのサービス品質ポリシー

要件 2: すべてのシステム コンポーネントにセキュリティで保護された構成を適用する

既定の安全性

Azure Local は、セキュリティ ツールとテクノロジを使用して既定で安全に構成され、最新の脅威から防御し、 Azure コンピューティング セキュリティ ベースラインに準拠します。 詳細については、 Azure Local のベースライン設定に関するページを参照してください。

ドリフト保護

プラットフォームの既定のセキュリティ構成とセキュリティで保護されたコア設定は、展開時と実行時の両方で、 ドリフト制御 保護によって保護されます。 ドリフト コントロール保護を有効にすると、セキュリティ設定が 90 分ごとに定期的に更新され、指定した状態からの変更が確実に修復されます。 この継続的な監視と自動修復により、デバイスのライフサイクル全体にわたって一貫した信頼性の高いセキュリティ構成を実現できます。 セキュリティ設定を構成するときに、デプロイ中にドリフト保護を無効にすることができます。

ワークロードのセキュリティ ベースライン

Azure Local で実行されているワークロードの場合は、コンピューティング リソースの構成基準を定義するためのベンチマークとして、Azure 推奨オペレーティング システム ベースライン ( Windows と Linux の両方) を使用できます。

要件 3: 保存されているアカウント データを保護する

BitLocker を使用したデータの暗号化

Azure ローカル インスタンスでは、保存データはすべて BitLocker XTS-AES 256 ビット暗号化を使用して暗号化できます。 既定では、BitLocker を有効にして、Azure ローカル デプロイ内のすべてのオペレーティング システム (OS) ボリュームとクラスター共有ボリューム (CSV) を暗号化することをお勧めします。 展開後に追加された新しいストレージ ボリュームの場合は、BitLocker を手動で有効にして新しいストレージ ボリュームを暗号化する必要があります。 BitLocker を使用してデータを保護することで、組織は ISO/IEC 27001 に準拠し続けることができます。 詳細については、「 クラスター共有ボリューム (CSV) での BitLocker の使用」を参照してください。

要件 4: オープンなパブリック ネットワーク経由の送信中に強力な暗号化を使用してカード所有者データを保護する

TLS/DTLS を使用した外部ネットワーク トラフィックの保護

既定では、ローカルおよびリモート エンドポイントへのすべてのホスト通信は、TLS1.2、TLS1.3、および DTLS 1.2 を使用して暗号化されます。 プラットフォームでは、TLS/DTLS 1.1 SMB1 などの古いプロトコル/ハッシュの使用が無効になります。 Azure Local では、NIST 曲線 P-256 と P-384 のみに限定された SDL 準拠の楕円曲線のような強力な暗号スイートもサポートされています。

要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する

Windows Defender ウイルス対策

Windows Defender ウイルス対策は、リアルタイムのシステム スキャンと定期的なスキャンを適用して、ウイルス、マルウェア、スパイウェア、その他の脅威からプラットフォームとワークロードを保護するユーティリティ アプリケーションです。 既定では、Microsoft Defender ウイルス対策は Azure Local で有効になっています。 Microsoft では、サード パーティのウイルス対策ソフトウェアやマルウェア検出ソフトウェアやサービスではなく、Azure Local でMicrosoft Defender ウイルス対策を使用することをお勧めします。これは、オペレーティング システムが更新プログラムを受信する機能に影響を与える可能性があるためです。 詳細については、Windows Server のMicrosoft Defender ウイルス対策を参照してください。

Windows Defender アプリケーション制御 (WDAC)

Windows Defender アプリケーション制御 (WDAC) は、各サーバーで直接実行できるドライバーとアプリケーションを制御するために、Azure Local で既定で有効になっており、マルウェアがシステムにアクセスするのを防ぎます。 Azure Local に含まれる基本ポリシーの詳細と、 Windows Defender Application Control for Azure Local で補足ポリシーを作成する方法について説明します。

Microsoft Defender for Cloud

Microsoft Defender for Cloud with Endpoint Protection ( Defender for Servers プランで有効) は、高度な脅威保護機能を備えたセキュリティ体制管理ソリューションを提供します。 インフラストラクチャのセキュリティ状態を評価し、ワークロードを保護し、セキュリティ アラートを生成し、特定の推奨事項に従って攻撃を修復し、将来の脅威に対処するためのツールが提供されます。 これらのサービスはすべてクラウドで高速に実行され、Azure サービスを使用した自動プロビジョニングと保護によるデプロイのオーバーヘッドはありません。 詳細については、 Microsoft Defender for Cloud を参照してください。

要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する

プラットフォームの更新

オペレーティング システム、コア エージェントとサービス、ソリューション拡張機能など、Azure Local のすべてのコンポーネントは、ライフサイクル マネージャーを使用して簡単に管理できます。 この機能を使用すると、異なるコンポーネントを更新リリースにバンドルし、バージョンの組み合わせを検証して相互運用性を確保できます。 詳細については、 Lifecycle Manager for Azure Local ソリューションの更新プログラムを参照してください。

ワークロードの更新

Azure Kubernetes Service (AKS) ハイブリッド、Azure Arc、ライフサイクル マネージャーに統合されていないインフラストラクチャ仮想マシン (VM) など、Azure Local 上で実行されているワークロードについては、「更新プログラムのライフサイクル マネージャーを使用するPCI DSS の要件に合わせて更新して調整する」で説明されている方法に従ってください。

要件 7: ビジネス ニーズに応じてシステム コンポーネントとカード所有者データへのアクセスを制限する

組織のビジネス要件に基づいてロールとそのアクセスニーズを特定し、職務に基づいて特権を割り当てることによって、承認された担当者のみが機密システムとデータにアクセスできるようにする必要があります。 「 前提条件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する で説明されている機能を使用して、ポリシーと手順を実装します。

要件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する

Azure Local では、Azure Arc や Windows PowerShell などの複数のインターフェイスを介して、マシン上で実行されている基になるシステムに完全かつ直接アクセスできます。 ローカル環境の従来の Windows ツールまたは Microsoft Entra ID (旧称 Azure Active Directory) などのクラウドベースのソリューションを使用して、ID とプラットフォームへのアクセスを管理できます。 どちらの場合も、多要素認証 (MFA)、条件付きアクセス、ロールベースのアクセス制御 (RBAC)、特権 ID 管理 (PIM) などの組み込みのセキュリティ機能を利用して、環境がセキュリティで保護され、準拠していることを確認できます。

ローカル ID とアクセス管理の詳細については、Microsoft Identity Manager および Active Directory ドメイン Services の特権アクセス管理を参照してください。 クラウドベースの ID とアクセス管理の詳細については、 Microsoft Entra ID を参照してください。

要件 9: カード所有者データへの物理的なアクセスを制限する

オンプレミス環境の場合は、Azure Local の値とそのデータに見合った物理的なセキュリティを確保します。

要件 10: システム コンポーネントとカード所有者データへのすべてのアクセスをログに記録して監視する

ローカル システム ログ

既定では、Azure Local 内で実行されるすべての操作が記録されるため、プラットフォームで誰が何を、いつ、どこで実行したかを追跡できます。 Windows Defender によって作成されたログとアラートも含まれており、データ侵害の可能性と影響を防ぎ、検出し、最小限に抑えるのに役立ちます。 ただし、多くの場合、システム ログには大量の情報が含まれています。その多くは情報セキュリティの監視とは無関係であるため、セキュリティ監視の目的で収集および利用するイベントを特定する必要があります。 Azure 監視機能は、これらのログの収集、保存、アラート、分析に役立ちます。 詳細については、Azure Local の セキュリティ ベースライン を参照してください。

ローカル アクティビティ ログ

Azure Local Lifecycle Manager は、実行されたすべてのアクション プランのアクティビティ ログを作成して格納します。 これらのログは、より詳細な調査とコンプライアンスの監視をサポートします。

クラウド アクティビティ ログ

システムを Azure に登録すると、 Azure Monitor アクティビティ ログを使用して サブスクリプション レイヤーの各リソースに対する操作を記録し、サブスクリプション内のリソースに対して実行された書き込み操作 (配置、投稿、削除) を決定できます。

クラウド ID ログ

Microsoft Entra ID を使用して ID とプラットフォームへのアクセスを管理している場合は、 Azure AD レポートでログを表示したり Azure Monitor、Microsoft Sentinel、またはその他の SIEM/監視ツールと統合して高度な監視と分析のユース ケースを実現したりできます。 オンプレミスの Active Directoryを使用している場合は、Microsoft Defender for Identity ソリューションを使用して、オンプレミスの Active Directoryシグナルを使用して、高度な脅威、侵害された ID、組織に向けられた悪意のあるインサイダー アクションを特定、検出、調査します。

SIEM 統合

Microsoft Defender for Cloud と Microsoft Sentinel は、Arc 対応の Azure Local マシンとネイティブに統合されています。 セキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション自動応答 (SOAR) 機能を提供する Microsoft Sentinel にログを有効にしてオンボードできます。 Microsoft Sentinel は、他の Azure クラウド サービスと同様に、PCI DSS、HITRUST、FedRAMP Authorization などの多くの確立されたセキュリティ標準に準拠しており、認定プロセスに役立ちます。 さらに、Azure Local には、システム イベントをサード パーティの SIEM ソリューションに送信するためのネイティブ Syslog イベント フォワーダーが用意されています。

Azure Local Insights

Azure Local Insights を使用すると、Azure に接続され、監視に登録されているシステムの正常性、パフォーマンス、使用状況の情報を監視できます。 Insights の構成中に、収集するデータを指定するデータ収集ルールが作成されます。 このデータは Log Analytics ワークスペースに格納され、Azure ブックを使用して事前構築済みの監視ダッシュボードを提供するために集計、フィルター処理、分析されます。 Azure ローカル リソース ページまたは Azure Monitor から、単一ノード システムとマルチノード システムの両方の監視データを表示できます。 詳細については、 Insights を使用した Azure Local の監視に関するページを参照してください。

Azure ローカル メトリック

メトリックは、監視対象のリソースの数値データを時系列データベースに格納します。 Azure Monitor メトリック ス エクスプローラーを使用して、メトリック データベース内のデータを対話形式で分析し、時間の経過と同時に複数のメトリックの値をグラフ化できます。 メトリックを使用すると、メトリック値からグラフを作成し、傾向を視覚的に関連付けることができます。

ログ アラート

リアルタイムで問題を示すために、平均サーバー CPU、使用可能なメモリ、使用可能なボリューム容量などの既存のサンプル ログ クエリを使用して、Azure ローカル インスタンスのアラートを設定できます。 詳細については、「 Azure ローカル インスタンスのアラートを設定するを参照してください。

メトリック アラート

メトリック アラート ルールでは、リソース メトリックの条件を定期的に評価することで、リソースが監視されます。 条件が満たされると、アラートが発生します。 メトリック時系列は、一定期間にキャプチャされた一連のメトリック値です。 これらのメトリックを使用して、アラート ルールを作成できます。 メトリック アラートを作成する方法の詳細については、 Metric alerts を参照してください。

サービスとデバイスのアラート

Azure Local では、接続、OS の更新、Azure 構成などのサービス ベースのアラートが提供されます。 クラスターの正常性エラーに対するデバイス ベースのアラートも使用できます。 PowerShellまたはヘルス サービスを使用して、Azure Local インスタンスとその基になるコンポーネントを監視することもできます。

要件 11: システムとネットワークのセキュリティを定期的にテストする

頻繁なセキュリティ評価と侵入テストを自分で実行するだけでなく、 Microsoft Defender for Cloud を使用して、クラウドとオンプレミスのハイブリッド ワークロード (仮想マシン、コンテナー イメージ、Arc 対応 SQL サーバーなど) 全体のセキュリティ状態を評価することもできます。

要件 12: 組織のポリシーとプログラムを使用して情報セキュリティをサポートする

組織のセキュリティ プログラムを確立し、カード所有者データ環境を保護する情報セキュリティ ポリシーとアクティビティを維持するのは、お客様の責任です。 Microsoft Entra ID などの Azure サービスによって提供される自動化機能と、PCI DSS 規制コンプライアンスの組み込みイニシアチブの詳細 で共有される情報 はこれらのポリシーとプログラムの管理の負担を軽減するのに役立ちます。