PCI DSS v4.0.1は、カード会員データを扱う場合、オプションではありません。v4.0.1の本質は1つの要件に集約されます:インフラストラクチャレベルで他のすべてから隔離すること。
参照: PCI Security Standards Council
要件マッピング
| PCI DSS要件 | 説明 | Rediaccの機能 |
|---|---|---|
| 要件1、ネットワークセキュリティ制御 | ネットワークセキュリティ制御の導入と維持 | リポジトリごとのiptablesルールがクロスリポジトリトラフィックをすべてブロック。各リポジトリは独自のループバックIPサブネット(/26)を取得。 |
| 要件2、セキュアな設定 | すべてのシステムコンポーネントにセキュアな設定を適用 | Rediaccfileライフサイクルフックが決定論的で再現可能な設定を強制。デフォルト認証情報なし。LUKS鍵はオペレーターが生成。 |
| 要件3、保存データの保護 | 保存されたアカウントデータを暗号化で保護 | すべてのリポジトリボリュームでLUKS2 AES-256暗号化。暗号化は必須であり、オプションではありません。LUKS鍵破壊による暗号消去。 |
| 要件4、転送中データの保護 | 強力な暗号でカード会員データの転送を保護 | すべてのリモート操作はSSH経由。バックアップ転送はエンドツーエンド暗号化。暗号化されていないデータパスなし。 |
| 要件6、セキュアな開発 | セキュアなシステムとソフトウェアの開発と維持 | CoWクローンが本番のカード会員データを開発ネットワークに公開せず分離テスト環境を作成。fork-test-promoteワークフロー。 |
| 要件7、アクセス制限 | 業務上の必要性に基づくシステムコンポーネントとカード会員データへのアクセス制限 | リポジトリごとのDocker daemonソケット。あるリポジトリへのアクセスは別のリポジトリへのアクセスを許可しません。SSH鍵認証。 |
| 要件8、ユーザー識別と認証 | ユーザーを識別しシステムコンポーネントへのアクセスを認証 | SSH鍵認証。IPバインドとスコープ付き権限のAPIトークン。二要素認証(TOTP)。 |
| 要件9、物理アクセスの制限 | カード会員データへの物理アクセスを制限 | セルフホスト型:物理セキュリティはお客様の直接管理下。LUKS暗号化により盗まれたドライブは読み取り不能。 |
| 要件10、ログと監視 | すべてのアクセスをログし監視 | 70以上のイベントタイプ(認証、APIトークン、設定、ライセンス、マシン操作)。ユーザー、チーム、タイプ、日付によるフィルタリング付き管理ダッシュボードとポータル。プログラム的なエクスポート用のrdc audit CLI。多層防御のためマシン操作はシステムログにも記録。 |
| 要件12、組織ポリシー | 組織ポリシーとプログラムで情報セキュリティを支援 | セルフホストがサードパーティプロセッサスコープ(要件12.8)を排除。PCI DSSコンプライアンス境界を縮小。 |
ネットワークセグメンテーション
PCI DSSはセグメンテーションに強く依存しています。不十分な隔離の上にiptablesルールを積み重ねるチームをよく見かけます。そうしたアプローチはうまくいきません。合格するチームはセグメンテーションをアーキテクチャに組み込んでいます。Rediaccはデフォルトでそれを提供します:
- 各リポジトリは
/var/run/rediacc/docker-<networkId>.sockで独自のDocker daemonとして実行 - リポジトリは分離されたループバックIPサブネット(127.0.x.x/26、ネットワークあたり61の使用可能IP)を持つ
- renetが強制するiptablesルールがdaemon間のすべてのトラフィックをブロック
- 異なるリポジトリのコンテナはネットワークレベルで通信不可
決済処理リポジトリは独自の Docker デーモンと独自のループバックサブネット上で動作し、同一マシン上の他のすべてのアプリケーションからネットワーク分離されています。追加のファイアウォールルールを記述する必要はありません。
スコープ削減
セルフホスト型Rediaccはコンプライアンススコープを縮小します。ネットワークセグメンテーションを手動で設定する必要はありません。デフォルトで自動化されています。このパートのドキュメンテーションはまだ改善の余地がありますが、隔離は確実です。
- カード会員データフローにサードパーティクラウドプロバイダーなし
- 要件12.8(サードパーティサービスプロバイダー)で評価すべきSaaSベンダーなし
- 物理セキュリティ制御はお客様の直接管理下
- 暗号化鍵はオペレーターのローカル設定にのみ保存
執行事例
ほとんどのPCI監査失敗は、適切に隔離されなかったセグメンテーション、または実際の攻撃に対してテストされなかった暗号化という2つのいずれかに帰着します。
- Heartland Payment Systems(2008年):ネットワークセグメンテーションの不備により攻撃者が48のデータベースを横断的に移動し、1億3000万のカード番号を露出。総コストは2億ドルを超過。
- Target(2013年):フラットなネットワークアーキテクチャにより攻撃者がHVACベンダーのネットワークアクセスからPOSシステムへ侵入し、4000万のペイメントカードを取得。47州の司法長官と1850万ドルで和解。