PCI DSS 4.0 と MySQL 

金融サービス業界とその顧客の間では、デジタル・バンキングをますます活用する傾向にあり、デジタル決済取引も急増しています。この急速な増加は、絶えず進化する脅威と相まって、データ侵害のリスクを大幅に高めています。このような環境では、顧客データを保護することが最も重要です。


PCI DSS(Payment Card Industry Data Security Standard)は、カード会員データを扱う組織にとって極めて重要なフレームワークです。ペイメントカードのセキュリティをグローバルに強化するために開発されたPCI DSSは、機密情報を保護するためのセキュリティ要件とテスト手順の概要を示しています。

PCI DSS の原則は、主にペイメントカードのデータにフォーカスしていますが、より広範なペイメントエコシステムおよびテクノロジーエコシステム内の組織のセキュリティ体制を全体的に強化するために適用することができます。

目的

要件

安全なネットワークとシステムの構築と維持
  1. ネットワークのセキュリティコントロールを導入し、維持します。
  2. すべてのシステムコンポーネントに安全な設定を適用します。

アカウントデータの保護
  1. 保存されたアカウントデータを保護します。
  2. オープンな公共ネットワークでカード会員データを伝送する場合、強力な暗号化技術でカード会員データを保護します。

脆弱性管理プログラムの維持
  1. すべてのシステムとネットワークを悪意のあるソフトウェアから保護します。
  2. 安全性の高いシステムおよびソフトウェアを開発し、保守します。

強力なアクセス制御手法の導入
  1. システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲に制限します。
  2. ユーザを識別し、システムコンポーネントへのアクセスを認証します。
  3. カード会員データへの物理的なアクセスを制限します。

ネットワークの定期的な監視およびテスト
  1. システムコンポーネントおよびカード会員データへのすべてのアクセスを記録し、監視します。
  2. システムおよびネットワークのセキュリティを定期的にテストします。

情報セキュリティポリシーの維持
  1. 事業体のポリシーとプログラムにより、情報セキュリティを維持します。

 

時間の経過とともに、脅威と技術は進化します。これに対処するため、PCI セキュリティ基準審議会(SSC)はデータセキュリティ基準(DSS)のバージョン 4.0 をリリースしました。

PCI DSS 4.0は、カード会員データのセキュリティを強化するために次のように設計されています:

  • 全体的なセキュリティアプローチの促進: 自社のセキュリティ態勢をより広い視野で捉えることが奨励されています。
  • 新たな脅威への対応: 技術の進歩によって進化する脅威の状況に対応しています。

PCI DSS 4.0の主な強化ポイントは以下の通りです:

  • 業界のニーズの進化: ペイメント業界の進化するセキュリティニーズに対応
  • 継続的なセキュリティ: セキュリティに対する継続的かつプロアクティブなアプローチを促進
  • テストの強化: より効果的なセキュリティ評価のためのテストおよび検証方法を改善
  • 柔軟性の向上: 強力なセキュリティ成果を維持しながら、実装アプローチの柔軟性を向上

PCI DSS 4.0 は、規範的な方法から強力なセキュリティ成果の達成に重点を移しています。

PCI DSS 4.0 の中心となるのは以下の6点です:

  1. 柔軟性: セキュリティの成果を達成することに重点を置き、カスタマイズまたは標準化された実装アプローチのいずれかを選択できる柔軟性を提供
  2. セキュリティ: データのライフサイクル(処理、保管、および伝送)を通して継続的かつ管理されたセキュリティを促進する、より強力な基準を通じてセキュリティを強化
  3. 認証: 決済システムへのアクセスおよび取引の承認に、より強力な NIST 準拠の認証方法を使用することを強調
  4. 暗号化: クラウド、モバイル、IoT を含むあらゆる環境におけるネットワーク伝送を保護するため、暗号のベストプラクティスの幅広い採用を促進
  5. モニタリング: 継続的な監視にリスクベースのソリューションを使用できるようにし、セキュリティ管理の迅速な展開が可能
  6. テスト: テスト要件の強化など、より高い高度で重要な制御検証が必要

 

PCI DSS 4.0のタイムライン:

  • 2022年3月 – PCI DSS バージョン 4.0を公開
  • 2024年3月 – PCI DSS v3.2.1 が終了、4.0に置き換え
  • 2025年3月 – PCI DSS 4.0が完全に発効 

影響

PCI DSS 4.0 はペイメントカードのサプライチェーン全体に影響を与えますが、誰がどのような管理を実施するかは環境によって異なります。

Customer vs Cloud Responsibility

Oracle Cloud Infrastructure (OCI) のセキュリティ

Oracle Cloud Infrastructure (OCI)は、徹底的な防御モデルによる堅牢なセキュリティ体制を提供します。OCIの包括的なセキュリティ・サービスは、すべてのレイヤーをシームレスに統合し、オラクルの数十年にわたるセキュリティの専門知識に基づく自動化された保護を提供します。これにより、企業はセキュリティ管理が簡素化され、OCI が重要な作業を処理する間、企業のビジネス計画推進に集中することができます。

 

OCIによるPCI DSS 4.0遵守

OCIは、最新のPCI DSS 4.0要件について認定セキュリティ評価機関 (QSA) によって評価されています。  OCI コンソールからこれらのドキュメントにアクセスするには [アイデンティティとセキュリティ] – [コンプライアンス]を選択します。

OCI Console

OCI HeatWave MySQLと PCI DSS

HeatWave MySQLは、PCI DSS 4.0およびその他の関連規制への準拠を保証し、OCIコンプライアンスに含まれています。

Customer Responsibilities with HeatWave MySQLとのセキュリティ責任共有

OCI が基盤となるインフラストラクチャのセキュリティを考慮している一方で、お客様は以下の責任を負うことに留意が必要です:

  • 顧客のアプリケーション
  • ユーザーアクセスとアイデンティティ管理
  • HeatWave DB システム内のデータセキュリティ(含、権限付与および削除コントロール)

OCIアイデンティティによるユーザアクセス/アイデンティティ要件の達成

OCIアイデンティティとHeatWave MySQLの統合により、PCI DSS 4.0のユーザアクセスおよびアイデンティティ要件を満たすことができます。OCI アイデンティティ は、PCI DSS 4.0 で必要とされる高度なユーザ認証および管理機能を提供します。

オンプレミスMySQLでのPCI DSS 4.0対応

オンプレミスで MySQLを使用している場合、PCI DSS 4.0 で導入された新しい要件とテスト手順に対応する必要があります。

MySQL Enterprise Editionのセキュリティ機能

幸いなことに、MySQL商用版 (Enterprise Edition) には堅牢なセキュリティ機能が用意されており、これらのコンプライアンス要件を満たすことができます。これらの機能には以下が含まれます:

  • 高度な認証: PCI DSS 4.0で推奨されている多要素認証(MFA)を含む、さまざまな認証方法をサポートしています。
  • 暗号化: SSL/TLSなどの標準プロトコルを使用し、静止時、転送時、認証時のデータを暗号化します。
  • アクセス制御: きめ細かなアクセス制御により、ユーザーの役割と権限に基づいて機密データへのアクセスを制限できます。
  • 監査ログ: 包括的な監査ログ機能により、ユーザーの行動を追跡し、潜在的なセキュリティ侵害を特定することができます。
  • セキュリティ管理ツール: Oracle Enterprise Manager for MySQLやOpenTelemetryなどのセキュリティ管理ツールと統合し、監視とロギングを一元化できます。


MySQL商用版によるPCI DSS 4.0への対応

MySQL Enterprise Editionが PCI DSS 4.0 の 6 つの核心部にどのように対応しているかを見てみましょう:

  • 柔軟性: 幅広いセキュリティ・オプションが用意されており、組織ごとのニーズに一致したコンプライアンスとセキュリティ体制に応じた構成を選択することができます。
  • セキュリティ: あらかじめ用意されているセキュリティ機能とセキュリティ・エコシステム(LDAP、Kerberos、OpenID Connect、OpenTelemetry など)との統合により、よりセキュアなデータベース基盤を提供します。
  • 認証: MFAなどの強力な認証方法をサポートし、アクセス制御を強化します。
  • 暗号化: どの段階でもデータの暗号化機能を提供します。
  • モニタリング: さまざまな監視ツールと統合し、継続的なセキュリティ監視を実現します。
  • テスト: MySQL自体に対して厳格なセキュリティ・テストが行われていますが、ユーザーが引き起こすリスクを軽減するためには、適切な設定と安全なコーディングの実践が不可欠です。

ベストプラクティスの重要性

堅牢なセキュリティ機能を備えていても、MySQL Enterprise Edition の設定、構成、および継続的な管理に関するベストプラクティスに従うことは、安全な環境を維持するために不可欠です。MySQL では、CIS (Center for Internet Security) および DISA (Defense Information Systems Agency) による有効なガイドラインを提供しており、セキュリティリスクの評価と安全な設定を支援しています。

まとめ

進化を続けるデジタルバンキングでは、機密性の高い顧客情報を保護するための強固なデータセキュリティ対策が必要です。PCI DSS 4.0 は、カード会員データを取り扱う組織に包括的なフレームワークを提供します。PCI DSS 4.0 は、新たな脅威に対処する一方で、全体的なセキュリティアプローチ、継続的な監視、および柔軟な実装を重視しています。

このブログでは、PCI DSS 4.0 の要件と、MySQL Enterprise Edition および Oracle Cloud Infrastructure (OCI) が企業のコンプライアンス達成にどのように役立つかについて説明しています。セキュアな環境を維持するためには、ベストプラクティスを常に最新の状態に保つことが重要です。

詳細については、以下を参照してください:

MySQL商用版のCISベンチマーク

DISA STIG

その他の参考資料

いつもMySQLをご利用いただきありがとうございます!