PCI DSS「要件10」への対応 ~ログの管理編~ | eSECTOR(イーセクター)
PCI DSS(Payment Card Industry Data Security Standard)とは、カード加盟店やサービスプロバイダ等が取り扱うカード会員情報や取引情報を安全に守るために、国際カードブランド5社 (American Express、Discover、JCB、MasterCard、VISA)が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。 PCI DSSは、情報セキュリティに関する具体的な対策・実装を要求しており、カード情報を扱う事業者のみならず、多くの企業がセキュリティ基準のガイドラインとして採用しています。 PCI DSSは下表の12要件から構成されています。 その中で要件10には「ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し、監視すること」とあり、システムの証跡管理が求められています。
第45回 入力バリデーションはセキュリティ対策 | gihyo.jp
「入力バリデーションはセキュリティ対策である」は世界の常識です。少なくとも大多数の世界のセキュリティ専門家は「入力バリデーションはセキュリティ対策」は常識だと考えています。 もちろん入力バリデーション対策がすべてであるわけではなく、ほかのセキュリティ対策も重要ですが、入力バリデーションが最も重要な対策の1つである、と考えている人は沢山います。 入力のバリデーションはすべてのプログラムに必須の保護機能です。一部に「入力バリデーションはセキュリティ対策ではない」とする声もあるようですが、入力バリデーションは間違いなくセキュリティ対策です。入力バリデーションはセキュリティ対策ではない、とする考え方は、混乱を招くだけです。 入力バリデーションをセキュリティ対策としているのは筆者のみではありません。世界的に利用されているセキュリティ標準でも、入力バリデーションを非常に有効なセキュリティ対策としてとら
「ハイパーバイザー管理者の権限が強すぎる」、ネットワン山崎氏が仮想化セキュリティを解説
「サーバー仮想化環境では、ハイパーバイザーにシステムやネットワークに関する高い権限が集中する。ハイパーバイザーの管理者アカウントは慎重に制御すべきだ」。ネットワンシステムズは2011年12月5日、「PCI DSSに関する最新情報と情報セキュリティ最新動向」とする説明会を開催。同社サービス事業グループプロフェッショナルサービス本部フェローの山崎文明氏がサーバー仮想化のセキュリティについて、今年6月に発行されたPCI DSSの仮想化ガイドラインに基づいて解説した(写真1)。 「仮想化環境では今まで存在したセキュリティリスクはそのまま残り、新たに特有のセキュリティリスクが追加される」(山崎フェロー)。一つの物理筐体に複数の仮想マシンが搭載されることや、ハイパーバイザー層が追加されることに伴う問題が大きい(写真2)。運用管理が複雑になるという点も課題だ。PCI DSSのガイドラインではこれらのリス
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
