Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモを見る
無料トライアル お問い合わせ

PCI DSS 4.0: 金融サービスプロバイダーが知っておくべき新たな規制要件

作者について

David Januchowski

Senior Solutions Architect

David is a Senior Solutions Architect at Okta, where he drives Identity and Access Management solutions for financial services, healthcare, and other industries. Before Okta, David spent six years at M&T Bank as their chief architect for commercial, wealth, fraud, digital, and payments, and their enterprise IAM architect. Prior to that, David spent over 20 years in enterprise architecture and solution developer roles for First Niagara Bank (KeyBank), BlueCross BlueShield of Western New York, and HSBC. During his career, he integrated Identity solutions from major vendors like IBM, PING, and Broadcom (CA) and developed homegrown solutions.

07 11月 2024 読了目安時間: ~

目次

2006 Payment Card Industry Security Standards Council Payment Card Industry Data Security Standard (PCI DSS) PCI DSS PCI DSS

2024年3月、PCI DSSのバージョン4.0が施行されました。一部の4.0要件は即時有効でしたが、大部分は2025年3月31まで施行されません。これは、要件とそれらを達成する方法についてまだ明確な理解を必要としている金融サービス企業にとって、セキュリティインフラストラクチャを強化および最新化するための貴重な時間が残されていることを意味します。

このブログは、PCI DSS 4.0を取り巻く最大の疑問に答えることを目的としています。

  • このアップデートの目的は何ですか?
  • 更新された要件は認証にどのように影響しますか?
  • Oktaのような最新のIDソリューションは、PCI DSSに含まれるID関連の要件をどのようにサポートできますか?

 

フィールドCTOオフィス

PCI DSS 4.0 の目標は何ですか?

PCI DSS 4.0は、デジタル環境での決済カードの使用において、機密性の高い消費者情報を安全に保つというPCI Security Standards Councilの目標をさらに推進するために開発されました。以前のバージョンのPCI DSSには、決済セキュリティのための厳格な基準とルールが満載でしたが、COVID-19の期間中およびその後のeコマースへの劇的な移行により、特にサイバー攻撃の増加を特徴とする環境において、対処する必要のある潜在的な脆弱性が露呈しました。

PCI DSS 4.0の目標は、4つの広範なカテゴリに分類されます。
 

 

PCI DSS 4.0の目標

決済業界のセキュリティニーズに対応

セキュリティを継続的なプロセスとして推進する

セキュリティを達成するためのさまざまな方法の柔軟性を高めます

検証方法と手順の強化

PCI DSS MFA

効果的なセキュリティは、一度きりのタスクではなく、継続的な実践です。PCI DSS は、詳細な要件(それぞれに明確に割り当てられた役割と責任があります)と、実装に関する堅牢なガイダンスを通じて、これに対処することを目的としています。

より強力なセキュリティへのさまざまな道を許可することで、イノベーションと広範な採用が促進されます。PCI DSS

明確な検証とレポートのオプションにより、金融サービスプロバイダーからの透明性と粒度の高い精度が保証されます。PCI DSSは、組織のセキュリティインフラストラクチャと、規制当局が保持するインフラストラクチャの全体像との整合性を高めることを目的としています。

 

認証要件はどのように更新されましたか?

PCI DSS 4.0内の重要な変更点の1つは認証に関するものです。つまり、特定のユーザーが本人であるかどうかを確認し、それに応じて機密資料へのアクセスを許可することです。これは、更新されたPCI DSS 4.0に含まれる主要な認証関連の変更点の概要です。

  1. MFAは現在、内部および外部ネットワークの要件となっています。
  2. パスワードの最小長は12になりました(以前の最小長は7でした)。
  3. MFA機能がない場合、認証情報の盗難の脅威を軽減するために、パスワードを90日ごとに更新する必要があります。
  4. 特権アクセス管理を実装している組織では、共有アカウントと汎用アカウントが許可されるようになりました。

詳細:要件8とMFA

PCI DSS 4.0には13の包括的な要件が含まれており、そのうちの1つはアイデンティティに重点を置いています。要件No. 8では、組織は重要なデータおよびシステムに関連するアクションが既知の承認されたユーザーによって実行され、追跡できるように、各「アクセス権を持つ人」に一意のアイデンティティを割り当てることを義務付けています。

特に明記されていない限り、これらの要件は、POS、管理、および支払いアカウントデータを表示またはアクセスするために使用されるすべてのアカウントを含む、すべてのアカウントに適用されます。これらの要件は、消費者(カード所有者)が使用するアカウントには適用されません。

Oktaは、要件8のすべての側面への準拠をサポートしています。実際、各サブセクションについて、Oktaには、より強力で安全な認証をサポートする機能が少なくとも1つあります。

 

サブセクション

要件

Oktaの機能と利点

8.1

ユーザーを特定し、システムコンポーネントへのアクセスを認証するためのプロセスとメカニズムが定義され、理解されています。

Okta Identity Governanceは、組織のセキュリティ体制を改善すると同時にアクセスガバナンスを改善する統合ソリューションを提供し、適切なユーザーが適切なタイミングで適切なリソースにアクセスできるようにします。

多くの場合、企業は組織内のアイデンティティとアクセスが拡大していることに関して透明性がありません。そのため、セキュリティチームは、複雑なクラウドおよびSaaS環境での詳細な可視性とリスク分析が不足しているため、制御が適切に実装されているかどうかを確認することが困難になります。このため、Oktaは Okta Identity Security Posture Managementを導入しました。

8.2

ユーザーおよび管理者に関するユーザー識別と関連アカウントは、アカウントのライフサイクル全体を通して厳密に管理されます。

Okta Lifecycle Management Identity

8.3

ユーザーと管理者の強力な認証が確立され、管理されます。

Adaptive MFAは、フィッシング耐性のある要素を含む2つ以上の高保証認証要素を使用してリソースへのアクセスを保護するために、強力な認証を使用します。これにより、組織はニーズと要件を満たすために認証ポリシーを柔軟に実施できます。
 

8.4

MFAは、カード会員データ環境(CDE)へのアクセスを保護するために実装されています。

8.5

MFAシステムは、誤用を防止するように構成されています。

8.6

アプリケーションおよびシステムアカウントと、関連する認証要素の使用は厳密に管理されています。

 

機能紹介:Okta Privileged Access Management

セキュリティを強化し、より柔軟な方法でその強度を実現するという2つの目標をサポートするために、PCI DSS 4.0では、組織が特権アクセス管理を実装している場合に限り、共有グループアカウントおよび汎用アカウントを構築することを許可しています。

Okta Privileged Accessを使用すると、セキュリティ管理者はサーバーなどの特権リソースへの排他的アクセスを制御できます。また、共有アカウントの使用を制限したり、特定の期間の昇格されたアクセスを提供したり、ユーザーIDとパスワードの代わりにエフェメラル証明書を使用したりすることもできます。さらに、これらのリソースにアクセスするためのポリシーの一部としてMFAを拡張できます。このIDベースのセキュリティのレイヤーにより、共有の特権アカウント内で個々の説明責任を判断できるようになり、これらの特権リソースのセキュリティが強化されます。

機能のスポットライト:Okta Identity Security Posture Management

アイデンティティとアクセスのスプロール化は、広大で管理されていない攻撃対象領域となり、部分的にオフボードされたユーザー、過剰にプロビジョニングされたアイデンティティ、および未使用で危険な権限が蔓延しています。

この不安定な現実により、組織はフィッシングや盗まれた認証情報、アカウントの乗っ取りによる悪意のあるアクセスにさらされ、セキュリティチームの時間とリソースを浪費しています

当社のソリューションは、アイデンティティの可視性、管理、および修復を自動化する単一の合理化されたオファリングです。これにより、アイデンティティリスクを特定して優先順位を付けるための「ワンストップショップ」が実現します。さらに、製品の比類のないコンテキスト化機能により、すべてのユーザーアカウントを、従業員のライフサイクルにおける必要な権限、アクティビティ、およびステージにリンクして、脅威を軽減し、コンプライアンスを確保することができます。これには、昇格されたアクセス権を持つアカウントと、MFAが構成されていないアカウントの特定が含まれます。

Okta:規制の変更に対応するための秘密兵器

金融サービスプロバイダーは、上記の要件を満たすために2025年3月31stまでにセキュリティインフラストラクチャ全体の成熟度を高める必要があります。つまり、残された時間はあまりありません。Oktaのソリューションは、この進歩において重要な役割を果たし、業界標準を満たし、顧客情報を安全に保つために、アイデンティティ機能を保護および最新化できます。

アイデンティティの成熟度を向上させる方法についてガイダンスをお探しの場合は、評価について当社のチームにお問い合わせください。

免責事項:これらの資料およびここに含まれる推奨事項は、法的、プライバシー、セキュリティ、コンプライアンス、またはビジネス上のアドバイスではありません。これらの資料は、一般的な情報提供のみを目的としており、最新のセキュリティ、プライバシー、および法的展開、または関連するすべての問題を反映していない可能性があります。お客様は、ご自身の弁護士またはその他の専門アドバイザーから法的、セキュリティ、プライバシー、コンプライアンス、またはビジネス上のアドバイスを得る責任があり、本書の推奨事項に依存しないでください。Oktaは、これらの資料の推奨事項の実装から生じる可能性のある損失または損害について、お客様に対して責任を負いません。Oktaは、これらの資料の内容に関して、表明、保証、またはその他の保証を行いません。Oktaから顧客への契約上の保証に関する情報は、okta.com/agreementsにあります。

作者について

David Januchowski

Senior Solutions Architect

David is a Senior Solutions Architect at Okta, where he drives Identity and Access Management solutions for financial services, healthcare, and other industries. Before Okta, David spent six years at M&T Bank as their chief architect for commercial, wealth, fraud, digital, and payments, and their enterprise IAM architect. Prior to that, David spent over 20 years in enterprise architecture and solution developer roles for First Niagara Bank (KeyBank), BlueCross BlueShield of Western New York, and HSBC. During his career, he integrated Identity solutions from major vendors like IBM, PING, and Broadcom (CA) and developed homegrown solutions.

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ