Microsoft Entra ID と PCI-DSS の要件 10
要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する
定義されたアプローチの要件
10.1 システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視するためのプロセスとメカニズムが定義され、文書化されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 10.1.1 要件 10 で特定されるすべてのセキュリティ ポリシーと運用手順は次のとおりです。 文書化されている 最新の状態に維持されている 使用中 すべての関係者に通知されている |
ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
| 10.1.2 要件 10 のアクティビティを実行するための役割と責任が文書化され、割り当てられ、理解されている。 | ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
10.2 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 10.2.1 すべてのシステム コンポーネントとカード所有者データに対して監査ログが有効かつアクティブである。 | Microsoft Entra 監査ログをアーカイブして、セキュリティ ポリシーと Microsoft Entra テナント構成の変更を取得します。 Microsoft Entra アクティビティ ログをセキュリティ情報およびイベント管理 (SIEM) システムにアーカイブして、使用状況を把握します。 Azure Monitor の Microsoft Entra のアクティビティ ログ |
| 10.2.1.1 個々のユーザーによるカード所有者データへのすべてのアクセスが監査ログにキャプチャされる。 | Microsoft Entra ID には適用されません。 |
| 10.2.1.2 アプリケーションまたはシステム アカウントの対話型使用を含め、管理アクセス権を持つ個人が実行したすべてのアクションが監査ログにキャプチャされる。 | Microsoft Entra ID には適用されません。 |
| 10.2.1.3 監査ログへのすべてのアクセスが監査ログにキャプチャされる。 | Microsoft Entra ID では、ログをワイプまたは変更できません。 特権ユーザーは、Microsoft Entra ID からログのクエリを実行できます。 Microsoft Entra ID のタスク別の最小特権ロール 監査ログが Azure Log Analytics ワークスペース、ストレージ アカウント、サード パーティの SIEM システムなどのシステムにエクスポートされる場合は、それらのアクセスを監視します。 |
| 10.2.1.4 すべての無効な論理アクセス試行が監査ログにキャプチャされる。 | ユーザーが無効な資格情報でサインインしようとすると、Microsoft Entra ID によってアクティビティ ログが生成されます。 条件付きアクセス ポリシーによってアクセスが拒否されると、アクティビティ ログが生成されます。 |
| 10.2.1.5 以下を含むがこれらに限定されない、識別および認証資格情報に対するすべての変更が監査ログにキャプチャされる: 新しいアカウントの作成 特権の昇格 管理アクセス権を持つアカウントに対するすべての変更、追加、または削除 |
Microsoft Entra ID により、この要件のイベントの監査ログが生成されます。 |
| 10.2.1.6 監査ログに以下がキャプチャされる: 新しい監査ログのすべての初期化 既存の監査ログのすべての開始、停止、または一時停止。 |
Microsoft Entra ID には適用されません。 |
| 10.2.1.7 システム レベル オブジェクトのすべての作成と削除が監査ログにキャプチャされる。 | Microsoft Entra ID により、この要件のイベントの監査ログが生成されます。 |
| 10.2.2 監査可能なイベントごとに次の詳細が監査ログに記録される: ユーザー ID。 イベントの種類。 日付と時刻。 成功と失敗の表示。 イベントの発生元。 影響を受けるデータ、システム コンポーネント、リソース、またはサービスの ID または名前 (例: 名前とプロトコル)。 |
「Microsoft Entra ID の監査ログ」を参照してください |
10.3 監査ログは、破棄および非認可の変更から保護されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 10.3.1 監査ログ ファイルへの読み取りアクセスが、ジョブに関連した必要性のあるユーザーに限定される。 | 特権ユーザーは、Microsoft Entra ID からログのクエリを実行できます。 Microsoft Entra ID のタスク別の最小特権ロール |
| 10.3.2 個人による変更を防ぐように監査ログ ファイルが保護されています。 | Microsoft Entra ID では、ログをワイプまたは変更できません。 Azure Log Analytics ワークスペース、ストレージ アカウント、サード パーティの SIEM システムなどのシステムに監査ログがエクスポートされるときに、ログのアクセスを監視します。 |
| 10.3.3 外部向けテクノロジのログを含む監査ログ ファイルが、セキュリティで保護された中央の内部ログ サーバー、または変更が困難なその他のメディアに迅速にバックアップされる。 | Microsoft Entra ID では、ログをワイプまたは変更できません。 Azure Log Analytics ワークスペース、ストレージ アカウント、サード パーティの SIEM システムなどのシステムに監査ログがエクスポートされるときに、ログのアクセスを監視します。 |
| 10.3.4 アラートを生成せずに既存のログ データを変更できないよう、監査ログに対してファイル整合性監視または変更検出メカニズムが使用されている。 | Microsoft Entra ID では、ログをワイプまたは変更できません。 Azure Log Analytics ワークスペース、ストレージ アカウント、サード パーティの SIEM システムなどのシステムに監査ログがエクスポートされるときに、ログのアクセスを監視します。 |
10.4 異常または疑わしいアクティビティを識別するために、監査ログがレビューされる。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 10.4.1 以下の監査ログが少なくとも 1 日 1 回レビューされる: すべてのセキュリティ イベント。 カード所有者のデータ (CHD) または機密性の高い認証データ (SAD) を保存、処理、または送信するすべてのシステム コンポーネントのログ。 すべての重要なシステム コンポーネントのログ。 すべてのサーバーとセキュリティ機能を実行するシステム コンポーネント (ネットワーク セキュリティ コントロール、侵入検知システム/侵入防止システム (IDS/IPS)、認証サーバーなど) のログ。 |
このプロセスに Microsoft Entra ログを含めます。 |
| 10.4.1.1 監査ログのレビューを実行するために、自動化されたメカニズムが使用されています。 | このプロセスに Microsoft Entra ログを含めます。 Microsoft Entra ログが Azure Monitor と統合されている場合に、自動化されたアクションとアラートを構成します。 Azure Monitor のデプロイ: アラートと自動アクション |
| 10.4.2 (要件 10.4.1 で指定されていない) 他のすべてのシステム コンポーネントのログが定期的にレビューされる。 | Microsoft Entra ID には適用されません。 |
| 10.4.2.1 (要件 10.4.1 で定義されていない) 他のすべてのシステム コンポーネントに対する定期的なログ レビューの頻度は、要件 12.3.1 で指定されているすべての要素に従って実行される、エンティティの対象指定リスク分析で定義されている。 | Microsoft Entra ID には適用されません。 |
| 10.4.3 レビュー プロセスで特定された例外と異常に対処している。 | Microsoft Entra ID には適用されません。 |
10.5 監査ログの履歴が保持され、分析に使用できる。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 10.5.1 監査ログの履歴を少なくとも 12 か月間保持し、少なくとも最近の 3 か月分はすぐに分析できるようにする。 | Azure Monitor と統合し、長期アーカイブのためにログをエクスポートします。 Microsoft Entra ログの Azure Monitor ログとの統合 Microsoft Entra ログのデータ保持ポリシーについて学習します。 Microsoft Entra データ保持 |
10.6 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 10.6.1 システム クロックと時刻は、時刻同期テクノロジを使用して同期される。 | Azure サービスの時刻同期メカニズムについて確認します。 Azure の金融サービスの時刻同期 |
| 10.6.2 次のように、正確で一貫した時刻にシステムが構成されている: 1 つ以上の指定されたタイム サーバーが使用中である。 指定された中央タイム サーバーのみが外部ソースから時刻を受信する。 外部ソースから受信する時刻は、国際原子時または協定世界時 (UTC) に基づいている。 指定されたタイム サーバーは、特定の業界で認められた外部ソースからのみ時刻の更新を受け入れる。 指定されたタイム サーバーが複数ある場合、タイム サーバーは互いにピアリングして正確な時刻を維持する。 内部システムは、指定された中央タイム サーバーからのみ時刻情報を受信する。 |
Azure サービスの時刻同期メカニズムについて確認します。 Azure の金融サービスの時刻同期 |
| 10.6.3 時刻同期の設定とデータが次のように保護される: 時刻データへのアクセスは、業務上の必要性がある担当者のみに制限されている。 重要なシステムの時刻設定の変更はすべてログに記録され、監視され、レビューされる。 |
Microsoft Entra ID は、Azure の時刻同期メカニズムに依存しています。 Azure の手順では、サーバーとネットワーク デバイスを、全地球測位システム (GPS) 衛星に同期された NTP Stratum ワンタイム サーバーと同期します。 同期は 5 分ごとに行われます。 Azure では、サービス ホストの同期時刻が保証されます。 Azure 内の金融サービス向けの時刻同期 Microsoft Entra Connect サーバーなどの Microsoft Entra ID 内のハイブリッド コンポーネントは、オンプレミスのインフラストラクチャとやり取りを行います。 オンプレミス サーバーの時刻同期はお客様の責任です。 |
10.7 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 10.7.2 "サービス プロバイダーのみの追加要件": 以下を含みこれらに限定されない重要なセキュリティ制御システムのエラーは迅速に検出され、警告され、対応される: ネットワーク セキュリティ制御 IDS/IPS ファイルの整合性の監視 (FIM) マルウェア対策ソリューション 物理アクセス制御 論理アクセス制御 監査ログ メカニズム セグメント化制御 (使用されている場合) |
Microsoft Entra ID は、Azure の時刻同期メカニズムに依存しています。 Azure では、その運用環境でのリアルタイム イベント分析がサポートされています。 内部 Azure インフラストラクチャ システムにより、侵害の可能性に関するほぼリアルタイムのイベント アラートが生成されます。 |
| 10.7.2 以下を含むがこれらに限定されない、重要なセキュリティ制御システムのエラーは迅速に検出され、警告され、対応される: ネットワーク セキュリティ コントロール IDS/IP 変更検出メカニズム マルウェア対策ソリューション 物理アクセス制御 論理アクセス制御 監査ログ メカニズム セグメント化制御 (使用されている場合) 監査ログ レビュー メカニズム 自動化されたセキュリティ テスト ツール (使用されている場合) |
「Microsoft Entra セキュリティ運用ガイド」を参照してください。 |
| 10.7.3 以下を含むがこれらに限定されない、重要なセキュリティ制御システムのエラーは迅速に対応される: セキュリティ機能の復元。 セキュリティ障害の期間 (開始から終了までの日付時刻) の識別および文書化。 エラーの原因の特定と文書化、および必要な修復の文書化。 障害中に発生したすべてのセキュリティ問題の識別および対処。 セキュリティ障害の結果、さらなる処置が必要かどうかの判断。 障害原因の再発防止策の実装。 セキュリティ制御の監視の再開。 |
「Microsoft Entra セキュリティ運用ガイド」を参照してください。 |
次のステップ
PCI-DSS 要件 3、4、9、12 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。
PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。
- Microsoft Entra PCI-DSS ガイダンス
- 要件 1: ネットワーク セキュリティ制御をインストールして維持する
- 要件 2: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する
- 要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する
- 要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
- 要件 7: 業務上の知る必要によってシステム コンポーネントとカード会員データへのアクセスを制限する
- 要件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する
- 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する (表示中のページ)
- 要件 11: システムおよびネットワークのセキュリティを定期的にテストする
- Microsoft Entra PCI-DSS 多要素認証ガイダンス