WEPを禁止する新基準、クレジットカード業界が作成 - ITmedia
実は前々から話は聞いていたのですが、PCI DSSの新バージョンであるv1.2がリリースされたとの事なので、早速英語版の規格書、v1.1からの変更点サマリ(共に英語版)をダウンロードして軽く見てみた。
(規格書のフォーマットがA4縦からA4横に変更されていたのに、少しだけビックリしたのはココだけの秘密w)
以下雑感(適宜更新予定)
確かにWEP使用が禁止されている。ただし今すぐNGと言う訳ではなく、当然ながら一定の猶予期間が設けられている(項番4.4.1にて記述、新規敷設は2009/3末まで、既存敷設分は2010/6末までにリプレースが要求されている)。
v1.1における項番1.3と1.4が大幅に整理・統合されている(よってv1.1における項番1.5はv1.2では項番1.4と繰り上げになっていたりするので少し注意が必要)。
Appendix(付録)が大幅増量(v1.1は2つ→v1.2では6つに増量)。
詳細管理策(Build and Maintain a Secure Network)が、実際の現場で活用できるよう、対策済み/未対策の項目を記入するための箇所が用意された(In Place/Not In Place)。
詳細管理策(Build and Maintain a Secure Network)について、要求項目(PCI DSS Requirements)だけでなく、要求項目に対する確認に関する項目(Testing Procedures)が併記されるようになった……これで要求項目の意図が理解しやすくなった……のかな?
例のわふWAF(Web Application Firewall)に関する項目(項番6.6)については「Best Practice」というキーワードが抜けて、正式な要求項目となりますた。でもWAFの導入そのものについては必須ではない(アプリへの検査との選択が可能)事には変わりません(... by either of the following methods)。
同様に項番6.6について、Webアプリへの検査についても検査ツールの利用はOK。
実は前々から話は聞いていたのですが、PCI DSSの新バージョンであるv1.2がリリースされたとの事なので、早速英語版の規格書、v1.1からの変更点サマリ(共に英語版)をダウンロードして軽く見てみた。
(規格書のフォーマットがA4縦からA4横に変更されていたのに、少しだけビックリしたのはココだけの秘密w)
以下雑感(適宜更新予定)
