実は世間で言われているほど、そんなに具体的ではない＞PCIDSS

オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」？ - @IT
ヤマガタさんの処経由。
自分の方も本業の忙しさにかまけていて、なかなかチェックできていなかったんですが、v1.2がリリースされてから10ヶ月程過ぎ、色々と動きがあるようなので、時間を作って見ていきたいと思います。

PCI DSSはあくまで基準ですので、具体的な数値やパラメータで表せるものは記述されていますが、やはりOSに依存する部分、アプリケーションに依存する部分、もしくは業務や環境全体に依存している部分など、さまざまな部分にあいまいさが残っています。PCI DSSは時間がかかるしお金もかかる、準拠がすごく難しい、という声も耳にしますが、手を付けはじめてみると、その本当の難しさは、PCI DSSのあいまいな部分にあることに気付かれることと思います。
(「オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」？(@IT)」より引用)

あー、確かに読んでみると「あいまいな部分」が散見されますねぇ。
確かにISMS(ISO/IEC 27001)よりは具体的な項目が多いんですが、規格(と言うかベストプラクティス)という性質上どうしても曖昧な部分が残らざるを得ないですし、その部分は自分の処の状況と照らし合わせてみて、どこまでやるのかを自分で判断し、自分で示すしかないですね。

あと……

最もよくみられるミスは、脆弱性スキャンをもってペネトレーションテストとしてしまうことです。脆弱性スキャンとペネトレーションテストは、手法も目的も異なると考えるべきです。
(「オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」？(@IT)」より引用)

……うん、確かに勘違いしやすいかも。
ペネトレーションテストの「ペネトレーション(penetration)」には「貫通、侵入」などの意味があり……

穴(セキュリティホール)を見つけるまで……脆弱性テスト

見つけた穴(セキュリティホール)を使って実際に侵入できるかを確認するところまで……ペネトレーションテスト

……と覚えておくと良いでしょう(だから「手作業による確認(Exploit)が含まれているか」という言葉が出てくる訳ですね、機械的な検査だけだと、どうしても本当に侵入できるかまではなかなかできないので)。

●PCI DSSに準拠するための3つの重要なポイント

1. 文書化すること
2. 文書化すること
3. 文書化すること
(「オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」？(@IT)」より引用)

ウハハハハ、確かにその通りかも(笑)。これはPCIDSSに限った話じゃなくて、ISMSでもプライバシーマーク(JIS Q 15001)などの他のセキュリティ規格でも通じる話ですね。

[matcha445#08]今回は感想なし＞わんくまっちゃ4(ry

今回は本当に感想、雑感なしで。

「えー、何で？」と思われた方、実は……
途中で離脱(早退)しているから
……という理由のため。
体調が悪いのは完全に自分のミスなんですが、まぁ色々と、諸々とあったりした訳で(実際、今も体調が少し、いや、かなり悪いかも……とは言えそんなに休めないし)。

何せ2コマ目(おやつ休憩前)にはソッと離脱し、おかしなんて口にしていませんので「おいしかったですw」とも言えない訳で(写真を見る限りではWAFぢゃなくてワッフルだったみたいですが)。

次回は8/29(土)のようですが……先に言っておきます、完全に無理です。orz
(本業の方で3/4程死んでいる筈ですし、プライベートの方でも色々と用事が入ってるので。)