管理者のためのPCI DSS講座 第2回 PCI DSSのインフラを作る - ASCII.JP
エンタメ系記事が多いASCII.JPにしては珍しく(マテ)、至極真っ当なPCIDSSに関する記事。
以前まっちゃ445勉強会#03 めざまし勉強会でも少し触れましたが、セグメンテーション重要という話になります。
図が多用されているので、どういう具合に分けると幸せになれるのか?、というのを知る手がかりになると思います。
---
オール・ザッツ・PCI DSS 第5回 カード情報システムでのIIS、QSAはどう見る? - @IT
審査側の立場として、今回はIISに対してどのような点を見ているのかという解説記事。確認している項目は、別にPCIDSSじゃなくてもセキュアなWebサーバを構築する上で確認すべき点とほぼ同一なので、それについては特に目新しいものじゃありません。
が、重要なのはコッチの方。
この事は別にPCIDSSうんたらという話ではなく、シッカリとした運用を行う上でも、ドキュメントが残っていないようでは話にならない(※2)ので、まずはその辺から固めていく事が重要だと思います。
---
(※1)例えばメーカーから提供されているホワイトペーパー等の参考資料と突き合わせて確認するとか、著名なセキュリティ団体や学会が発行している資料と突き合わせるとか、そんな感じです。
(※2)トラブル(インシデント)発生時の対応や、担当者の引継ぎの際、資料が無くてどうするのさと小一時間(ry
エンタメ系記事が多いASCII.JPにしては珍しく(マテ)、至極真っ当なPCIDSSに関する記事。
以前まっちゃ445勉強会#03 めざまし勉強会でも少し触れましたが、セグメンテーション重要という話になります。
図が多用されているので、どういう具合に分けると幸せになれるのか?、というのを知る手がかりになると思います。
---
オール・ザッツ・PCI DSS 第5回 カード情報システムでのIIS、QSAはどう見る? - @IT
審査側の立場として、今回はIISに対してどのような点を見ているのかという解説記事。確認している項目は、別にPCIDSSじゃなくてもセキュアなWebサーバを構築する上で確認すべき点とほぼ同一なので、それについては特に目新しいものじゃありません。
が、重要なのはコッチの方。
QSAによる訪問調査では、いきなり設定の確認に入るわけではなく、文書の確認を行い、その文書に従ってセキュリティ設定が正しく実装されているかを確認することになります。つまり、設定を施せばよいわけではなく、どのような設定を行うべきか、業務や環境、システムの種類に合わせて検討、および標準の策定を行い、適用する必要があります。これはUNIX系OSであろうとWindows系OSであろうと同じことがいえます。これは各種監査・審査でも同様なのですが、いきなり設定を見る訳じゃなく、まずは基準となる文書(ベースライン)があるかどうかから始まり、ベースラインがある場合はその妥当性の確認(※1)をし、そこで問題が無いなら実際はどうなの?、という流れで見ていく事になります。
(「オール・ザッツ・PCI DSS 第5回 カード情報システムでのIIS、QSAはどう見る?(@IT)」より引用)
この事は別にPCIDSSうんたらという話ではなく、シッカリとした運用を行う上でも、ドキュメントが残っていないようでは話にならない(※2)ので、まずはその辺から固めていく事が重要だと思います。
---
(※1)例えばメーカーから提供されているホワイトペーパー等の参考資料と突き合わせて確認するとか、著名なセキュリティ団体や学会が発行している資料と突き合わせるとか、そんな感じです。
(※2)トラブル(インシデント)発生時の対応や、担当者の引継ぎの際、資料が無くてどうするのさと小一時間(ry
