オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」? - @IT
ヤマガタさんの処経由。
自分の方も本業の忙しさにかまけていて、なかなかチェックできていなかったんですが、v1.2がリリースされてから10ヶ月程過ぎ、色々と動きがあるようなので、時間を作って見ていきたいと思います。
確かにISMS(ISO/IEC 27001)よりは具体的な項目が多いんですが、規格(と言うかベストプラクティス)という性質上どうしても曖昧な部分が残らざるを得ないですし、その部分は自分の処の状況と照らし合わせてみて、どこまでやるのかを自分で判断し、自分で示すしかないですね。
あと……
ペネトレーションテストの「ペネトレーション(penetration)」には「貫通、侵入」などの意味があり……
穴(セキュリティホール)を見つけるまで……脆弱性テスト
見つけた穴(セキュリティホール)を使って実際に侵入できるかを確認するところまで……ペネトレーションテスト
……と覚えておくと良いでしょう(だから「手作業による確認(Exploit)が含まれているか」という言葉が出てくる訳ですね、機械的な検査だけだと、どうしても本当に侵入できるかまではなかなかできないので)。
ヤマガタさんの処経由。
自分の方も本業の忙しさにかまけていて、なかなかチェックできていなかったんですが、v1.2がリリースされてから10ヶ月程過ぎ、色々と動きがあるようなので、時間を作って見ていきたいと思います。
PCI DSSはあくまで基準ですので、具体的な数値やパラメータで表せるものは記述されていますが、やはりOSに依存する部分、アプリケーションに依存する部分、もしくは業務や環境全体に依存している部分など、さまざまな部分にあいまいさが残っています。PCI DSSは時間がかかるしお金もかかる、準拠がすごく難しい、という声も耳にしますが、手を付けはじめてみると、その本当の難しさは、PCI DSSのあいまいな部分にあることに気付かれることと思います。あー、確かに読んでみると「あいまいな部分」が散見されますねぇ。
(「オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」?(@IT)」より引用)
確かにISMS(ISO/IEC 27001)よりは具体的な項目が多いんですが、規格(と言うかベストプラクティス)という性質上どうしても曖昧な部分が残らざるを得ないですし、その部分は自分の処の状況と照らし合わせてみて、どこまでやるのかを自分で判断し、自分で示すしかないですね。
あと……
最もよくみられるミスは、脆弱性スキャンをもってペネトレーションテストとしてしまうことです。脆弱性スキャンとペネトレーションテストは、手法も目的も異なると考えるべきです。……うん、確かに勘違いしやすいかも。
(「オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」?(@IT)」より引用)
ペネトレーションテストの「ペネトレーション(penetration)」には「貫通、侵入」などの意味があり……
……と覚えておくと良いでしょう(だから「手作業による確認(Exploit)が含まれているか」という言葉が出てくる訳ですね、機械的な検査だけだと、どうしても本当に侵入できるかまではなかなかできないので)。
●PCI DSSに準拠するための3つの重要なポイントウハハハハ、確かにその通りかも(笑)。これはPCIDSSに限った話じゃなくて、ISMSでもプライバシーマーク(JIS Q 15001)などの他のセキュリティ規格でも通じる話ですね。
1. 文書化すること
2. 文書化すること
3. 文書化すること
(「オール・ザッツ・PCI DSS : 第6回 PCI DSS対応の難しさは「あいまいさ」?(@IT)」より引用)
