Microsoft Entra ID と PCI-DSS の要件 1
要件 1: ネットワーク セキュリティ制御をインストールして保守する
定義されたアプローチの要件
1.1 ネットワーク セキュリティ制御をインストールして、維持するためのプロセスとメカニズムが定義され、理解されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 1.1.1 要件 1 で特定されるすべてのセキュリティ ポリシーと運用手順は次のとおり: 文書化されている 最新の状態に維持されている 使用中 すべての関係者に通知されている |
ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
| 1.1.2 要件 1 でアクティビティを実行するための役割と責任を文書化し、割り当て、理解する | ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
1.2 ネットワーク セキュリティ制御 (NSC) が構成され、維持されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 1.2.1 NSC ルールセットの構成標準は次のとおり: 定義されている 実装されている 維持されている |
アクセス テクノロジで先進認証がサポートされている場合は、VPN、リモート デスクトップ、ネットワーク アクセス ポイントなどのアクセス テクノロジを Microsoft Entra ID と統合して認証と認可を行います。 ID 関連の制御に関する NSC 標準に、条件付きアクセス ポリシー、アプリケーションの割り当て、アクセス レビュー、グループ管理、資格情報ポリシーなどの定義が含まれることを確かめます。Microsoft Entra 運用リファレンス ガイド |
| 1.2.2 ネットワーク接続と NSC の構成に対するすべての変更は、要件 6.5.1 で定義されている変更制御プロセスに従って承認および管理される | Microsoft Entra ID には適用されません。 |
| 1.2.3 カード所有者データ環境 (CDE) と他のネットワーク (あらゆるワイヤレス ネットワークを含む) の間のすべての接続を示す正確なネットワーク図が維持されている。 | Microsoft Entra ID には適用されません。 |
| 1.2.4 次の基準を満たす正確なデータフロー図が維持される。 システムとネットワーク全体のすべてのアカウント データ フローを示す。 環境の変更時に必要に応じて更新される。 |
Microsoft Entra ID には適用されません。 |
| 1.2.5 許可されているすべてのサービス、プロトコル、ポートが特定および承認され、ビジネス ニーズが定義されている | Microsoft Entra ID には適用されません。 |
| 1.2.6 セキュリティ機能は、使用中のすべてのサービス、プロトコル、ポートに対して定義および実装され、リスクが軽減されるように安全ではないと見なされる。 | Microsoft Entra ID には適用されません。 |
| 1.2.7 NSC の構成は、関連性が高く効果的であることを確認するために、少なくとも 6 か月に 1 回レビューされる。 | Microsoft Entra アクセス レビューを使用して、CDE のネットワーク セキュリティ制御に合わせた VPN アプライアンスなどのグループ メンバーシップ レビューとアプリケーションを自動化します。 アクセス レビューとは |
| 1.2.8 NSC の構成ファイルは次の要件を満たす。 不正アクセスから保護されている アクティブなネットワーク構成と一貫性を保つ |
Microsoft Entra ID には適用されません。 |
1.3 カード所有者データの環境との間のネットワーク アクセスが制限されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 1.3.1 CDE への受信トラフィックは次のように制限される。 必要なトラフィックのみに限定される。 その他のすべてのトラフィックは明示的に拒否される |
Microsoft Entra ID を使用して、条件付きアクセス ポリシーを作成するためにネームド ロケーションを構成します。 ユーザーとサインインのリスクを計算します。 Microsoft では、ネットワークの場所を使用して CDE の IP アドレスを設定し、維持することをお勧めします。 これらを使用して、条件付きアクセス ポリシーの要件を定義します。 条件付きアクセスポリシーでの場所の条件の使用 |
| 1.3.2 CDE からの送信トラフィックは次のように制限される。 必要なトラフィックのみに限定される。 その他のすべてのトラフィックは明示的に拒否される |
NSC 設計の場合は、アプリケーションの条件付きアクセス ポリシーを含めて、CDE の IP アドレスへのアクセスを許可します。 仮想プライベート ネットワーク (VPN) アプライアンス、キャプティブ ポータルなど、CDE への接続を確立するための緊急アクセスまたはリモート アクセスには、意図しないロックアウトを防ぐためのポリシーが必要な場合があります。 条件付きアクセス ポリシーでの場所の条件の使用 Microsoft Entra ID で緊急アクセス用アカウントを管理する |
| 1.3.3 NSC は、ワイヤレス ネットワークが CDE であるかどうかに関係なく、すべてのワイヤレス ネットワークと CDE の間に次のようにインストールされる。 ワイヤレス ネットワークから CDE へのワイヤレス トラフィックはすべて既定で拒否される。 CDE には、認可されたビジネス目的を持つワイヤレス トラフィックのみが許可される。 |
NSC 設計の場合は、アプリケーションの条件付きアクセス ポリシーを含めて、CDE の IP アドレスへのアクセスを許可します。 仮想プライベート ネットワーク (VPN) アプライアンス、キャプティブ ポータルなど、CDE への接続を確立するための緊急アクセスまたはリモート アクセスには、意図しないロックアウトを防ぐためのポリシーが必要な場合があります。 条件付きアクセス ポリシーでの場所の条件の使用 Microsoft Entra ID で緊急アクセス用アカウントを管理する |
1.4 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 1.4.1 信頼されたネットワークと信頼されていないネットワークの間で NSC が実装されている。 | Microsoft Entra ID には適用されません。 |
| 1.4.2 信頼されていないネットワークから信頼されたネットワークへの受信トラフィックは、以下に制限される。 パブリックにアクセス可能なサービス、プロトコル、ポートを提供する権限を持つシステム コンポーネントとの通信。 信頼されたネットワーク内のシステム コンポーネントによって開始された通信に対するステートフル応答。 その他のトラフィックはすべて拒否される。 |
Microsoft Entra ID には適用されません。 |
| 1.4.3 偽造されたソース IP アドレスを検知して、信頼されたネットワークに入るのをブロックするために、スプーフィング対策が実装されている。 | Microsoft Entra ID には適用されません。 |
| 1.4.4 カード所有者データを格納するシステム コンポーネントには、信頼されていないネットワークから直接アクセスすることができない。 | ネットワーク層の制御に加えて、Microsoft Entra ID を使う CDE 内のアプリケーションでは、条件付きアクセス ポリシーを使用できます。 場所に基づいてアプリケーションへのアクセスを制限します。 条件付きアクセス ポリシーでのネットワークの場所の使用 |
| 1.4.5 内部 IP アドレスとルーティング情報の開示は、認可された当事者のみに限定される。 | Microsoft Entra ID には適用されません。 |
1.5 信頼されていないネットワークと CDE の両方に接続できるコンピューティング デバイスからの CDE に対するリスクが軽減されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 1.5.1 信頼されていないネットワーク (インターネットを含む) と CDE の両方に接続するコンピューティング デバイス (会社所有および従業員所有のデバイスを含む) で、次のようにセキュリティ制御が実装されている。 エンティティのネットワークに脅威が導入されるのを防ぐために、特定の構成設定が定義されている。 セキュリティ制御がアクティブに実行されている。 具体的に文書化され、ケースバイケースかつ期間限定で管理者に認可された場合を除き、コンピューティング デバイスのユーザーはセキュリティ制御を変更できない。 |
デバイス コンプライアンスを必要とする条件付きアクセス ポリシーをデプロイします。 コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する デバイスのコンプライアンスの状態をマルウェア対策ソリューションと統合する。 Intune で条件付きアクセスを使用して Microsoft Defender for Endpoint に対するコンプライアンスを適用する モバイル脅威防御の Intune との統合 |
次のステップ
PCI-DSS 要件 3、4、9、12 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。
PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。
- Microsoft Entra PCI-DSS ガイダンス
- 要件 1: ネットワーク セキュリティ制御をインストールして維持する (表示中のページ)
- 要件 2: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する
- 要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する
- 要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
- 要件 7: 業務上の知る必要によってシステム コンポーネントとカード会員データへのアクセスを制限する
- 要件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する
- 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する
- 要件 11: システムおよびネットワークのセキュリティを定期的にテストする
- Microsoft Entra PCI-DSS 多要素認証ガイダンス