Microsoft Entra ID と PCI-DSS の要件 5
要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する
定義されたアプローチの要件
5.1 悪意のあるソフトウェアからすべてのシステムとネットワークを保護するためのプロセスとメカニズムが定義され、理解されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 5.1.1 要件 5 で特定されるすべてのセキュリティ ポリシーと運用手順は次のとおり: 文書化されている 最新の状態に維持されている 使用中 すべての関係者に通知されている |
ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
| 5.1.2 要件 5 のアクティビティを実行するための役割と責任が文書化され、割り当てられ、理解されている。 | ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。 |
5.2 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 5.2.1 すべてのシステム コンポーネントにマルウェア対策ソリューションがデプロイされている。ただし、要件 5.2.3 に従って定期的な評価で特定され、マルウェアの危険にさらされていないと結論付けられたシステム コンポーネントは除く。 | デバイス コンプライアンスを要求する条件付きアクセス ポリシーをデプロイします。 コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する デバイスのコンプライアンスの状態をマルウェア対策ソリューションと統合する。 Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する Intune との Mobile Threat Defense 統合 |
| 5.2.2 デプロイされたマルウェア対策ソリューション: すべての既知の種類のマルウェアを検出する。 すべての既知の種類のマルウェアを削除するか、ブロックするか、封じ込める。 |
Microsoft Entra ID には適用されません。 |
| 5.2.3 マルウェアの危険にさらされていないシステム コンポーネントが定期的に評価され、次のものが作成される: マルウェアの危険にさらされていないすべてのシステム コンポーネントの文書化された一覧。 これらのシステム コンポーネントに対する、進化するマルウェアの脅威の特定と評価。 そのようなシステム コンポーネントには今後もマルウェア対策保護が必要でないかどうかの確認。 |
Microsoft Entra ID には適用されません。 |
| 5.2.3.1 マルウェアの危険にさらされていないと特定されたシステム コンポーネントの定期評価の頻度が、要件 12.3.1 で指定されたすべての要素に従って実行される、エンティティの対象指定リスク分析で定義されている。 | Microsoft Entra ID には適用されません。 |
5.3 マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 5.3.1 マルウェア対策ソリューションが自動更新によって最新の状態に保たれる。 | Microsoft Entra ID には適用されません。 |
| 5.3.2 マルウェア対策ソリューション: 定期的なスキャンとアクティブまたはリアルタイム スキャンを実行する。 または システムまたはプロセスの継続的なビヘイビアー分析を実行する。 |
Microsoft Entra ID には適用されません。 |
| 5.3.2.1 要件 5.3.2 を満たすために定期的なマルウェア スキャンが実行される場合に、スキャンの頻度が、要件 12.3.1 で指定されたすべての要素に従って実行される、エンティティの対象指定リスク分析で定義されている。 | Microsoft Entra ID には適用されません。 |
| 5.3.3 リムーバブル電子メディアについて、マルウェア対策ソリューションが次の機能を備えている: メディアが挿入、接続、または論理的にマウントされたときに自動スキャンを実行する または メディアが挿入、接続、または論理的にマウントされたときに、システムまたはプロセスの継続的なビヘイビアー分析を実行する。 |
Microsoft Entra ID には適用されません。 |
| 5.3.4 要件 10.5.1 に従って、マルウェア対策ソリューションの監査ログが有効化および保持される。 | Microsoft Entra ID には適用されません。 |
| 5.3.5 具体的に文書化され、ケースバイケースかつ期間限定で管理者に認可された場合を除き、マルウェア対策メカニズムをユーザーが無効化または変更できない。 | Microsoft Entra ID には適用されません。 |
5.4 フィッシング詐欺対策メカニズムでは、フィッシング攻撃からユーザーを保護する。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 5.4.1 フィッシング攻撃を検出してユーザーを保護するためのプロセスと自動化されたメカニズムが用意されている。 | フィッシングに強い資格情報を使用するように Microsoft Entra ID を構成します。 フィッシングに強い MFA の実装に関する考慮事項 条件付きアクセスのコントロールを使用して、フィッシングに強い資格情報による認証を要求します。 条件付きアクセスの認証強度 ここでのガイダンスは、ID およびアクセス管理の構成に関連します。 フィッシング攻撃を軽減するには、Microsoft 365 にあるようなワークロード機能をデプロイします。 Microsoft 365 でのフィッシング対策保護 |
次のステップ
PCI-DSS 要件 3、4、9、12 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。
PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。
- Microsoft Entra PCI-DSS ガイダンス
- 要件 1: ネットワーク セキュリティ制御をインストールして維持する
- 要件 2: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する
- 要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する (表示中のページ)
- 要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
- 要件 7: 業務上の知る必要によってシステム コンポーネントとカード会員データへのアクセスを制限する
- 要件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する
- 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する
- 要件 11: システムおよびネットワークのセキュリティを定期的にテストする
- Microsoft Entra PCI-DSS 多要素認証ガイダンス