クラウド環境でシングルサインオンを活用しPCI DSS準拠を推進する
業務におけるクラウド活用は、いわゆる一般事務領域にとどまらず、決済情報など極めて高い機密性を求められる領域にも及んでいます。以下では、PCI DSSに準拠する上で、クラウドサービスに対するログイン・シングルサインオンについて考えてみたいと思います。
PCI DSSについて改めて理解する
PCI DSSとは “Payment Card Industry Data Security Standard” の略で、クレジットカード情報ならびクレジットカード会員情報の保護のため、クレジットカードの国際ブランド(VISA, Master, AMEX, Discover, JCB)が策定したセキュリティの国際基準です。
この国際基準は PCI Security Standard Council (PCI SSC)により運営されており、「要件とセキュリティ評価基準」に関するドキュメントが公開、また更新されています。ちなみに、2019年4月時点でのPCI DSSの最新版は Version 3.2.1となります。
なお、2019年4月末現在でPCI SSCには797の会員が登録されており、日本からは「パナソニックモバイルコミュニケーションズ」「日立オムロンターミナルサービス」「GMOペイメントゲートウェイ」が加入しています。
また、PCI SSCとは別に、日本国内でのPCI DSSの導入推進を進めるためのシステムベンダーにより「日本カード情報セキュリティ協議会」が設立されており、こちらには244社の国内システムベンダーが加盟しています。
クラウドサービスに関するガイドラインでは認証をどう規定しているか
では、PCI DSSの最新版ドキュメントである Version 3.2.1では、クラウドサービス利用についてどのような記載があるのでしょうか。
実は、ドキュメント内には「クラウド」という言葉は一言も使われていません。PCI DSSのドキュメントでは、クラウド環境でもオンプレミスでも共通する要件を記載しています。具体的な内容をいくつか抜粋いたします。
- 8.1.2 ユーザーID、資格情報、およびその他の識別オブジェクトの追加、削除、変更を管理する。
- 8.1.3 契約終了したユーザーのアクセスを直ちに取り消す。
- 8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントで送信と保存中に認証情報(パスワード/パスフレーズなど)をすべて読み取り不能とする。
- 8.2.3 パスワード/パスフレーズは以下を満たす必要がある。
- パスワードに7文字以上が含まれる。
- 数字と英数の両方を含む。
- あるいは、上記のパラメータに等しい強度を持つパスワード/パスフレーズ
- 8.3 CDEに対する、すべての非コンソール管理アクセス、ならびにすべてのリモートアクセスについて、多要素認証を使用して安全に保護する。
上記は、一般的なシステム利用の際に必要とされる内容とほぼ同じとなります。
なお、クラウド利用に限定した内容については、別に「PCI SSC Cloud Computing Guidelines」というガイドラインがあり、こちらを参照する必要があります。2019年4月時点のガイドラインの最新版はVersion 3.0となります。
このドキュメントでは、「強力な、二要素認証」の必要性について言及されているとともに、サービス提供者は認証情報が漏えいした際にはすぐに顧客に通知しなければならないと規定されています。
- 必要事項の解説箇所には以下の内容が記載されており、一部抜粋してお伝えします。
- 前提としてIaaSとPaaSの認証管理については、PCI DSSに準拠した運用を行う企業自体に責任がある(クラウド事業者には責任がない)。そしてSaaSについてはクラウド事業者に最終的な責任があるが、クラウド利用企業がシステム利用者レベルで管理する認証については利用企業側に責任がある。
- APIは、強力な暗号化と認証を必須とするよう構成されている必要がある。
- クラウド事業者とクラウド利用者間の相互認証が構築されている必要がある。
- 異なるシステムレベルごとにユーザー認証が行われている必要がある。
- クラウド利用企業のアクセス時に二要素認証が行われている必要がある。
旧来型のシングルサインオン製品の多くがクラウド対応に問題がある
PCI DSSに準拠する企業が、認証情報の安全かつ効果的な管理のために、シングルサインオンを検討することは、以前から行われてきました。しかし、従来型のシングルサインオン製品には問題があります。つまり、オンプレミスの環境での利用を想定したシングルサインオン製品がほとんどで、クラウドサービスのシングルサインオンに対応していない製品が多くあります。
クラウド非対応のシングルサインオン製品は、自社が独占的に利用できる環境内であれば問題なく利用できますが、部分的にクラウドサービスを利用するような場合になると、クラウドサービスへのログインを行う部分が弱点となりかねません。つまり、製品の対象範囲外となるため、ユーザーが手作業でログインを行う必要が生じ、結果脆弱性となってしまう可能性があるためです。
トラスト・ログインでクラウドサービス活用とPCI DSS準拠を推進
クラウドサービスへの安全かつ効率的なログインを提供するサービスとして、GMOインターネットグループが提供する「トラスト・ログイン」があります。
日本で開発された国産のクラウド向けシングルサインオンサービスであるため、日本企業が運営するSaaSの多くに対応していること、海外で開発された製品と違い、全ての資料が日本語で提供されること、未対応のクラウドサービスがある場合は最速で即日対応可能というサポート力が支持され、現在5,000社の導入実績を誇ります。
PCI DSS準拠の対策の一環として、ぜひ一度資料請求頂き、製品についてご理解いただければ幸いです。