Microsoft Entra ID と PCI-DSS の要件 7
要件 7: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する
定義されたアプローチの要件
7.1 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 7.1.1 要件 7 で特定されるすべてのセキュリティ ポリシーと運用手順は次のとおり: 文書化されている 最新の状態に維持されている 使用中 すべての関係者に通知されている |
カード所有者データ環境 (CDE) アプリケーションへのアクセスを Microsoft Entra ID と統合して、認証と認可を行います。 リモート アクセス テクノロジの条件付きアクセス ポリシーを文書化します。 Microsoft Graph API と PowerShell を使用して自動化します。 条件付きアクセス: プログラムによるアクセス Microsoft Entra 監査ログをアーカイブして、セキュリティ ポリシーの変更と Microsoft Entra テナント構成を記録します。 使用状況を記録するには、Microsoft Entra サインイン ログをセキュリティ情報イベント管理 (SIEM) システムにアーカイブします。 Azure Monitor の Microsoft Entra のアクティビティ ログ |
| 7.1.2 要件 7 のアクティビティを実行するための役割と責任が文書化され、割り当てられ、理解されている。 | CDE アプリケーションへのアクセスを Microsoft Entra ID と統合して、認証と認可を行います。 - ユーザー ロールをアプリケーションまたはグループ メンバーシップに割り当てます。 - Microsoft Graph を使用してアプリケーションの割り当てを一覧表示します。 - Microsoft Entra 監査ログを使用して割り当ての変更を追跡します。 ユーザーに付与された appRoleAssignments を一覧表示する Get-MgServicePrincipalAppRoleAssignedTo 特権アクセス Microsoft Entra 監査ログを使用して、ディレクトリ ロールの割り当てを追跡します。 この PCI 要件に関連する管理者ロール: - グローバル - アプリケーション - 認証 - 認証ポリシー - ハイブリッド ID 最小特権アクセスを実装するには、Microsoft Entra を使用してカスタム ディレクトリ ロールを作成します。 Azure で CDE の一部を構築する場合は、所有者、共同作成者、ユーザー アクセス管理者などの特権ロールの割り当てと、CDE リソースがデプロイされているサブスクリプション カスタム ロールを文書化します。 Microsoft では、Privileged Identity Management (PIM) を使用してロールへの Just-In-Time (JIT) アクセスを有効にすることをお勧めします。 PIM を使用すると、グループ メンバーシップが CDE アプリケーションまたはリソースへの特権アクセスを表すシナリオで、Microsoft Entra セキュリティ グループへの JIT アクセスが可能になります。 Microsoft Entra の組み込みロール Microsoft Entra の ID およびアクセス管理の運用リファレンス ガイド Microsoft Entra ID でカスタム ロールを作成して割り当てる Microsoft Entra ID でのハイブリッドおよびクラウド デプロイ用の特権アクセスをセキュリティで保護する Microsoft Entra Privileged Identity Management とは すべての分離アーキテクチャに関するベスト プラクティス グループの PIM |
7.2 システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 7.2.1 アクセス制御モデルが定義され、次のアクセス権の付与が含まれている。 エンティティのビジネスとアクセスのニーズに応じた適切なアクセス権。 ユーザーのジョブの分類と機能に基づくシステム コンポーネントとデータ リソースへのアクセス権。 ジョブ機能を実行するために必要な最小限の特権 (ユーザー、管理者など)。 |
Microsoft Entra ID を使用して、直接またはグループ メンバーシップを介してアプリケーションのロールにユーザーを割り当てます。 標準化された分類が属性として実装されている組織では、ユーザーのジョブの分類と機能に基づいてアクセス許可を自動化できます。 グループ メンバーシップを持つ Microsoft Entra グループと、動的割り当てポリシーを使用した Microsoft Entra エンタイトルメント管理アクセス パッケージを使用します。 エンタイトルメント管理を使用して職務の分離を定義し、最小限の特権を示します。 PIM を使用すると、グループ メンバーシップが CDE アプリケーションまたはリソースへの特権アクセスを表すカスタム シナリオで、Microsoft Entra セキュリティ グループへの JIT アクセスが可能になります。 動的メンバーシップ グループの規則を管理する エンタイトルメント管理でアクセス パッケージの自動割り当てポリシーを構成する エンタイトルメント管理でアクセス パッケージに対する職務の分離を構成する グループの PIM |
| 7.2.2 アクセス権は、次に基づいて、特権ユーザーを含むユーザーに割り当てられる。 ジョブの分類と機能。 ジョブの責任を実行するために必要な最小限の特権。 |
Microsoft Entra ID を使用して、直接またはグループ メンバーシップを通じてアプリケーションのロールにユーザーを割り当てます。 標準化された分類が属性として実装されている組織では、ユーザーのジョブの分類と機能に基づいてアクセス許可を自動化できます。 グループ メンバーシップを持つ Microsoft Entra グループと、動的割り当てポリシーを使用した Microsoft Entra エンタイトルメント管理アクセス パッケージを使用します。 エンタイトルメント管理を使用して職務の分離を定義し、最小限の特権を示します。 PIM を使用すると、グループ メンバーシップが CDE アプリケーションまたはリソースへの特権アクセスを表すカスタム シナリオで、Microsoft Entra セキュリティ グループへの JIT アクセスが可能になります。 動的メンバーシップ グループの規則を管理する エンタイトルメント管理でアクセス パッケージの自動割り当てポリシーを構成する エンタイトルメント管理でアクセス パッケージに対する職務の分離を構成する グループの PIM |
| 7.2.3 必要な特権は、認可された担当者によって承認される。 | エンタイトルメント管理では、リソースへのアクセスを許可するための承認ワークフローと、定期的なアクセス レビューがサポートされています。 エンタイトルメント管理でアクセス要求を承認または拒否する エンタイトルメント管理でのアクセス パッケージのアクセスのレビュー PIM では、Microsoft Entra ディレクトリ ロール、Azure ロール、クラウド グループをアクティブ化するための承認ワークフローがサポートされています。 PIM で Microsoft Entra ロールに対する要求を承認または拒否する グループのメンバーと所有者のアクティブ化要求を承認する |
| 7.2.4 すべてのユーザー アカウントと、サードパーティ/ベンダー アカウントを含む関連するアクセス特権は、次のように確認される。 少なくとも 6 か月に 1 回。 ジョブの機能に基づいて、ユーザー アカウントとアクセスが依然として適切であることを確認する。 不適切なアクセスに対処する。 管理者は、アクセスが依然として適切であることを確認する。 |
直接割り当てまたはグループ メンバーシップを使用してアプリケーションへのアクセスを許可する場合は、Microsoft Entra アクセス レビューを構成します。 エンタイトルメント管理を使用してアプリケーションへのアクセスを許可する場合は、アクセス パッケージ レベルでアクセス レビューを有効にします。 エンタイトルメント管理でアクセス パッケージのアクセス レビューを作成する サードパーティとベンダーのアカウントには、Microsoft Entra External ID を使用します。 サードパーティやベンダーのアカウントなど、External Identities を対象としたアクセス レビューを実行できます。 アクセス レビューを使用してゲスト アクセスを管理する |
| 7.2.5 すべてのアプリケーション、システム アカウント、関連するアクセス特権は、次のように割り当てと管理が行われる。 システムまたはアプリケーションの運用性に必要な最小限の特権に基づく。 アクセスは、特に使用を必要とするシステム、アプリケーション、またはプロセスに限定される。 |
Microsoft Entra ID を使用して、直接またはグループ メンバーシップを通じてアプリケーションのロールにユーザーを割り当てます。 標準化された分類が属性として実装されている組織では、ユーザーのジョブの分類と機能に基づいてアクセス許可を自動化できます。 グループ メンバーシップを持つ Microsoft Entra グループと、動的割り当てポリシーを使用した Microsoft Entra エンタイトルメント管理アクセス パッケージを使用します。 エンタイトルメント管理を使用して職務の分離を定義し、最小限の特権を示します。 PIM を使用すると、グループ メンバーシップが CDE アプリケーションまたはリソースへの特権アクセスを表すカスタム シナリオで、Microsoft Entra セキュリティ グループへの JIT アクセスが可能になります。 動的メンバーシップ グループの規則を管理する エンタイトルメント管理でアクセス パッケージの自動割り当てポリシーを構成する エンタイトルメント管理でアクセス パッケージに対する職務の分離を構成する グループの PIM |
| 7.2.5.1 アプリケーション、システム アカウント、関連するアクセス権限によるすべてのアクセスは、次のように確認される。 定期的 (要件 12.3.1 で指定されたすべての要素に従って実行されるエンティティの対象指定リスク分析で定義された頻度)。 アプリケーション/システム アクセスは、実行される機能に対して依然として適切である。 不適切なアクセスに対処する。 管理者は、アクセスが依然として適切であることを確認する。 |
サービス アカウントのアクセス許可を確認するときのベスト プラクティス。 Microsoft Entra サービス アカウントの管理 オンプレミス サービス アカウントを管理する |
| 7.2.6 保存されているカード所有者データのリポジトリにクエリを実行するすべてのユーザー アクセスは、次のように制限される。 アプリケーションまたはその他のプログラムによる方法を介して、ユーザー ロールと最小限の特権に基づくアクセスと許可されたアクションを使用する。 保存されているカード所有者データ (CHD) のリポジトリに直接アクセスまたはクエリを実行できるのは、責任ある管理者のみである。 |
最新のアプリケーションでは、データ リポジトリへのアクセスを制限するプログラムによる方法が有効になります。 OAuth や OpenID Connect (OIDC) などの最新の認証プロトコルを使用して、アプリケーションを Microsoft Entra ID と統合します。 Microsoft ID プラットフォームにおける OAuth 2.0 と OIDC プロトコル 特権ユーザー アクセスと特権のないユーザー アクセスをモデル化するためのアプリケーション固有のロールを定義します。 ユーザーまたはグループをロールに割り当てます。 アプリケーションにアプリ ロールを追加してトークンで受け取る アプリケーションによって公開される API の場合は、OAuth スコープを定義して、ユーザーと管理者の同意を有効にします。 Microsoft ID プラットフォームでのスコープとアクセス許可 次の方法でリポジトリへの特権アクセスと非特権アクセスをモデル化し、リポジトリへの直接アクセスを回避します。 管理者とオペレーターがアクセスを必要とする場合は、基になるプラットフォームごとにアクセス権を付与します。 たとえば、Azure での ARM IAM の割り当て、アクセス制御リスト (ACL) ウィンドウなどです。 Azure でのサービスとしてのアプリケーション プラットフォーム (PaaS) とサービスとしてのインフラストラクチャ (IaaS) のセキュリティ保護を含むアーキテクチャ ガイダンスを参照してください。 Azure アーキテクチャ センター |
7.3 システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている。
| PCI-DSS で定義されたアプローチの要件 | Microsoft Entra のガイダンスとレコメンデーション |
|---|---|
| 7.3.1 ユーザーの知る必要に応じてアクセスを制限し、すべてのシステム コンポーネントをカバーするアクセス制御システムが用意されている。 | CDE 内のアプリケーションへのアクセスを、アクセス制御システムの認証と認可として Microsoft Entra ID と統合します。 アプリケーションの割り当てを使用した条件付きアクセス ポリシーによって、アプリケーションへのアクセスを制御します。 条件付きアクセスとは アプリケーションにユーザーとグループを割り当てる |
| 7.3.2 アクセス制御システムは、ジョブの分類と機能に基づいて、個人、アプリケーション、システムに割り当てられたアクセス許可を適用するように構成されている。 | CDE 内のアプリケーションへのアクセスを、アクセス制御システムの認証と認可として Microsoft Entra ID と統合します。 アプリケーションの割り当てを使用した条件付きアクセス ポリシーによって、アプリケーションへのアクセスを制御します。 条件付きアクセスとは アプリケーションにユーザーとグループを割り当てる |
| 7.3.3 アクセス制御システムは、既定で "すべて拒否" に設定されている。 | 条件付きアクセスを使用して、グループ メンバーシップ、アプリケーション、ネットワークの場所、資格情報の強度などのアクセス要求条件に基づいてアクセスをブロックします。条件付きアクセス: アクセスをブロックする ブロック ポリシーが正しく構成されていないと、意図しないロックアウトが発生する可能性があります。 緊急アクセス戦略を設計します。 Microsoft Entra ID で緊急アクセス用管理者アカウントを管理する |
次のステップ
PCI-DSS 要件 3、4、9、12 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。
PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。
- Microsoft Entra PCI-DSS ガイダンス
- 要件 1: ネットワーク セキュリティ制御をインストールして維持する
- 要件 2: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する
- 要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する
- 要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
- 要件 7: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する (表示中のページ)
- 要件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する
- 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する
- 要件 11: システムおよびネットワークのセキュリティを定期的にテストする
- Microsoft Entra PCI-DSS 多要素認証ガイダンス