Microsoft Entra ID と PCI-DSS の要件 2
要件 2: すべてのシステム コンポーネントにセキュリティで保護された構成を適用する
定義されたアプローチの要件
2.1 セキュリティで保護された構成をすべてのシステム コンポーネントに適用するためのプロセスとメカニズムが定義され、理解されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 2.1.1 要件 2 で特定されるすべてのセキュリティ ポリシーと運用手順は次のとおり: 文書化されている 最新の状態に維持されている 使用中 すべての関係者に通知されている |
ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
| 2.1.2 要件 2 のアクティビティを実行するための役割と責任が文書化され、割り当てられ、理解されている。 | ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
2.2 システム コンポーネントは安全に構成され、管理されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 2.2.1 次の条件を満たすように構成標準が開発、実装、保守されている: すべてのシステム コンポーネントをカバーする。 すべての既知のセキュリティ脆弱性に対処する。 業界で受け入れられているシステム強化の標準またはベンダー強化の推奨事項に準拠している。 要件 6.3.1 で定義されているように、新しい脆弱性の問題が特定されると更新される。 システム コンポーネントが運用環境に接続される前または直後に、新しいシステムが構成され、インプレースで検証されると適用される。 |
「Microsoft Entra セキュリティ運用ガイド」を参照してください。 |
| 2.2.2 ベンダーの既定のアカウントが次のように管理される: ベンダーの既定のアカウントが使用される場合、要件 8.3.6 に従って既定のパスワードが変更される。 ベンダーの既定のアカウントが使用されない場合、アカウントは削除または無効化される。 |
Microsoft Entra ID には適用されません。 |
| 2.2.3 異なるセキュリティ レベルを要求する主要機能が、次のように管理される: システム コンポーネントには主要機能が 1 つだけ存在する または セキュリティ レベルが異なる主要機能が同じシステム コンポーネントに存在している場合、機能は互いに分離されている または セキュリティ レベルが異なる主要機能が同じシステム コンポーネントに存在している場合、すべての機能は、最も高いセキュリティが必要な機能に要求されるレベルのセキュリティで保護されている。 |
最小特権ロールの決定について説明します。 Microsoft Entra ID のタスク別の最小特権ロール |
| 2.2.4 必要なサービス、プロトコル、デーモン、機能のみが有効であり、不要な機能はすべて削除または無効化されている。 | Microsoft Entra の設定を確認し、使用していない機能を無効にします。 ID インフラストラクチャをセキュリティで保護するための 5 つのステップ Microsoft Entra セキュリティ オペレーション ガイド |
| 2.2.5 セキュリティで保護されていないサービス、プロトコル、またはデーモンが存在する場合: 業務上の正当な理由が文書化されている。 セキュリティで保護されていないサービス、プロトコル、またはデーモンを使用するリスクを軽減する追加のセキュリティ機能が文書化および実装されている。 |
Microsoft Entra の設定を確認し、使用していない機能を無効にします。 ID インフラストラクチャをセキュリティで保護するための 5 つのステップ Microsoft Entra セキュリティ オペレーション ガイド |
| 2.2.6 誤用や悪用を防ぐようにシステム セキュリティ パラメーターが構成されている。 | Microsoft Entra の設定を確認し、使用していない機能を無効にします。 ID インフラストラクチャをセキュリティで保護するための 5 つのステップ Microsoft Entra セキュリティ オペレーション ガイド |
| 2.2.7 コンソール以外からのすべての管理アクセスは、強力な暗号化を使用して暗号化されている。 | 管理ポータル、Microsoft Graph、PowerShell などの Microsoft Entra インターフェイスは、TLS を使用して転送中に暗号化される。 Microsoft Entra TLS 1.1 と 1.0 の非推奨に備えてお使いの環境で TLS 1.2 のサポートを有効にする |
2.3 ワイヤレス環境は安全に構成され、管理されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 2.3.1 CDE に接続する、またはアカウント データを送信するワイヤレス環境で、以下を含むがこれらに限定されない、ワイヤレス ベンダーの既定の設定はすべて、インストール時に変更されるか、安全であることが確認されている: 既定のワイヤレス暗号化キー ワイヤレス アクセス ポイントのパスワード SNMP の既定の設定 その他のセキュリティ関連のワイヤレス ベンダーの既定の設定 |
組織で認証のためにネットワーク アクセス ポイントを Microsoft Entra と統合する場合は、「要件 1: ネットワーク セキュリティ制御をインストールして維持する」を参照してください。 |
| 2.3.2 CDE に接続する、またはアカウント データを送信するワイヤレス環境で、次のようにワイヤレス暗号化キーが変更される: 会社または役職の業務に必要なキーを知っている担当者が退職または異動した場合は常に。 キーの侵害が疑われるか、侵害済みと判明した場合は常に。 |
Microsoft Entra ID には適用されません。 |
次のステップ
PCI-DSS 要件 3、4、9、12 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。
PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。
- Microsoft Entra PCI-DSS ガイダンス
- 要件 1: ネットワーク セキュリティ制御をインストールして維持する
- 要件 2: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する (表示中のページ)
- 要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する
- 要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
- 要件 7: 業務上の知る必要によってシステム コンポーネントとカード会員データへのアクセスを制限する
- 要件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する
- 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する
- 要件 11: システムおよびネットワークのセキュリティを定期的にテストする
- Microsoft Entra PCI-DSS 多要素認証ガイダンス