HOME > ソリューション・サービス > ITインフラ構築 > セキュリティ/災害対策 > PCIDSS認証コンサルティングと訪問審査の窓口業務ご案内 > PCIDSSに基づいた3タイプの脆弱性検査が有効

ソリューション・サービス

PCIDSSに基づいた3タイプの脆弱性検査が有効

衆議院サーバーへのサイバー攻撃で、国家レベルの機密情報漏えい事件が発生するなど、ファイアウォールやウィルス検知ソフトだけでは、ウィルスの潜入・漏えい行動を防げなくなってきています。
Webサイトから内部のアプリケーションサーバーまで、どのような検査を行えば、脆弱性診断として有効かつ顧客の信頼を得られるか。客観性のある選定方法として、PCIDSSに基づいた5つのテストをご紹介します。クレジットカード情報と関係のない企業にとっても、顧客の納得性を高く得られる検査方法です。

国家的な機密情報がサイバー攻撃で漏えい

衆議院のサーバーがウィルスに感染し、登録している議員全員のID・パスワードが、中国国内などのサーバーへ送信されていたことが判明しました。またその前には、日本を代表する防衛関連企業である、M重工社内の多くのPCも同様のサイバー攻撃を受け、防衛省が使用している戦車などの兵器情報が、外部からの遠隔操作によって漏えいされていました。
衆議院へのサイバー攻撃は、7月下旬に1人の議員が、メールで送りつけられた、ウィルス入りの添付ファイルを開封して、侵入されたことが発端でした。そのPCから、他の議員のPCへも次々とウィルスが伝染して、衆院事務局のサーバーまで入り込んでいったとされています。

暗号化されたウィルスは入口をすり抜ける

国会議員たちが、各自のPCのウィルススキャンを定期実施していたかどうかに関わらず、この“トロイの木馬型”ウィルスは、対策ソフトで検知されないように、暗号化されて入り込んだうえ、その後も検知されにくいように、文書ファイルの中に紛れ込むという、高度なウィルス製造・運用技術が施されていました。
ウィルスプログラムが暗号化されていれば、ウィルス対策ソフトを導入して、ひんぱんにスキャンをかけていても、発見できません。暗号化という技術は、もともと本来のデータが読まれないようにする技術として、開発され進化してきていますから、ウィルス検知ソフトでは侵入を見破ることができないのです。
これからのウィルスは、こうした暗号化を施されたものが、主流になってくるのかも知れません。したがって、ウィルスに感染していることを調べるには、防御する側はウィルス対策ソフトだけでなく、ファイル整合性や操作ログの監視など、別の技術を併用していく必要があります。

留守中の動きを監視し記録する

たとえば住宅の防犯にたとえてみましょう。空き巣泥棒に入られないように、戸締りを強化するだけでは、ドアのカギをあけるテクニックを持った泥棒には、侵入されてしまいます。そしてその泥棒は、家人がいる間は天井ウラなどにじっと潜んで、留守になったら部屋に降りて銀行通帳などを探し回る、といったようなものです。
そこで、こうした“住み込み泥棒”が入り込んでいるのを見つけるには、自分が留守の間にも、室内の様子を録画し続けている監視カメラがあるとか、タンスの引き出しの開け閉めが記録される仕組みなどがあれば、侵入されていることをもっと高い確率で知ることができます。

そうしたセキュリティ対策が、ファイル整合性やログ監視のシステムです。それらを併用することで、こうした異常を見つけることができます。個人がPCに導入することは少ないですが、企業の情報を管理するサーバーなどの重要なシステムには、ファイアウォールやウィルス検知ソフトだけでなく、これらの複合的な対策を講じておかないと、情報漏えいを防ぐのは難しいといえるでしょう。

ページの先頭へ戻る

サイトの脆弱性を多角的に検査する

このように、企業システムへ侵入する悪質な事件が増加していることで、ほとんどの企業が開設しているWebサイトが、サイバー攻撃にどこまで対抗できているか、多角的な診断を求める問合せも多くなってきています。では、どのようなテストを、どこまで行えばサイトの安全性を確認できるでしょうか。有効な基準のひとつが、PCIDSS（Payment Card Industry Data Security Standard）です。PCIDSSは、VISAやMasterCard、JCBなどクレジットカードの大手ブランドが共同で定めた、クレジットカード情報セキュリティに関する国際基準です。Webサイトやその奥にあるアプリケーションサーバーへの不正アクセス対策として、事業者が実施すべき各種の検査について、具体的に定めています。したがって、クレジットカード情報に限らず、重要情報を保有するすべての企業にとって、大いに参考になるセキュリティ基準といえるでしょう。

PCIDSSが要求する5つ（3タイプ+外部と内部）のテスト

PCIDSSでは、ネットワークやWeb アプリケーションに対して、次のテストを定期的に行って、脆弱（ぜいじゃく）度の高いと判定された部分について、改善を施すことを要求しています。

[Ⅰ] <<ネットワーク脆弱性スキャン…要求事項11.2>>

内部および外部ネットワークの脆弱性スキャンを、少なくとも四半期に一度、およびネットワークでの大幅な変更後に実行する。この2つのうち、外部ネットワークのスキャンテストは、PCI国際協議会（PCI SSC）が認定した、Approved Scanning Vendor(ASV)によって実行される必要があります。ASVの一覧は、PCISSCのサイトに公表されています。

https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php

ページの先頭へ戻る

[Ⅱ] <<ペネトレーション(侵入)テスト…要求事項11.3>>

外部および内部のペネトレーションテストを少なくとも年に一度、および大幅なインフラストラクチャまたはアプリケーションのアップグレードや変更後に実行する。

さらに「これらのペネトレーションテストには以下を含める必要がある」として、
11.3.1「ネットワーク層のペネトレーションテスト」
11.3.2「アプリケーション層のペネトレーションテスト」の2つを含めることが要求されています。
アプリケーション層へのペネトレーション（侵入）テストでは、アプリケーションの脆弱性をチェックするために、以下の評価テストを行います。

1	Parameter Tampering　不正操作しているパラメータデータや機能などへの不正なアクセスをチェックするために、Query String，POSY　parameter、hidden-fieldなどを変更します。
2	Cookie Poisoning　クッキーPoisoning 想定外のクッキーの値を受け取ったときの、アプリケーション側の対応を見るために、クッキーの値を変えます。
3	Session hijacking　セッションハイジャック別のユーザーになりすまして、そのユーザーのセッションを横取りしてみます。
4	User privilege escalation　ユーザー特権エスカレーション管理者あるいは他のユーザーの特権に不正なアクセスを試みます。
5	Credential manipulation　認証のごまかし他のユーザーの特権へ不正にアクセスしてみるために識別や承認の認証コードを変更してみます。
6	Forceful Browsing 設定ミスのあるWebサーバーは、ユーザーがファイル名さえ知っていれば、どんなファイルでもアクセスできてしまいます。従って、ハッカーはこのセキュリティの欠陥を攻撃して、直接に必要なページへジャンプしてたどり着いてしまいます。
7	Backdoors and Debug Options　バックドアとデバッグオプション多くのアプリケーションは、開発者のデバッグのためのコード（バックドア）を残していますが、通常高いレベルのアクセスで走るため、攻撃の目標にされてしまいます。アプリケーションの開発者は、このようなバックドアを残しても良いですが、もし発見されると更なるレベルへのアクセスを侵入者に許してしまうことになります。
8	Configuration Subversion Webサーバーやアプリケーションサーバーの設定ミスは、よくある誤りです。　もっとも起こしやすい設定ミスは、ディレクトリーブラウジングを許してしまうことです。ハッカーはこれを利用して、ディレクトリーの名前を入力するだけで、簡単にアプリケーションディレクトリー（cgi-binなど）をブラウズできてしまいます。
9	Input validation bypass クライアント側の検証ルーチンや、範囲チェックなどをはずしてみて、サーバー側の制御が正常に機能しているかどうかをチェックします。
10	SQL injection　SQL インジェクション巧妙に作ったSQLコマンドを入力フィールドに入れてみて、入力タイプのコントロールがうまく働いているかをチェックします。
11	Cross-site scripting　クロスサイト・スクリプティングユーザーのWebブラウザに不正なコードを実行させるように、アクティブな内容がアプリケーションに送られます。このテストは、ユーザーの入力データタイプの検証ができていることをテストするものです。

［Ⅲ］<<OWASPテスト…要求事項6.5>>

すべての Web アプリケーション（内部、外部、アプリケーションへの Web 管理アクセス）を、「Open Web Application Security Project Guide」などの安全なコーディングガイドラインに基づいて開発する。
OWASP（オワスプ）と呼ばれる、このガイドラインは、世界中のボランティアによるプロジェクトによって作られ、オープンソースによるツールの製作・改善などを含めて、知識の共有が行われています。

6.5.1　インジェクション（特にSQLインジェクション）の弱点。OSコマンドインジェクション、LDAPとXpathインジェクション、その他のインジェクションの不具合も考慮する。
6.5.2 バッファオーバーフロー
6.5.3　安全でない暗号化保存
6.5.4　安全でない通信
6.5.5　不適切なエラー処理
6.5.6　脆弱性特定プロセス（PCIDSS用件6.2）で特定された、すべてのハイレベル脆弱性
6.5.7　クロスサイト・スクリプティング（XSS）
6.5.8　不適切なアクセス制御（安全でないオブジェクトの直接参照、URLアクセス制限の失敗、ディレクトリトラバーサルなど）
6.5.9　クロスサイト・リクエストフォージェリ（CSRF）
※6.5.7～6.5.9は、Webアプリケーションとアプリケーションインターフェイス（内部・外部を問わず）に適用します。

ページの先頭へ戻る

外部ネットワークから奥のアプリケーションまで検査

このようにPCIDSSでは、まずネットワークに脆弱性がないかをチェックする、サイトスキャンを内部・外部ともに要求しています。次に、外回りのスキャンだけでは分からない、ファイアウォールの中まで入って脆弱性を検査するよう、内部・外部のペネトレーション（侵入）テストを要求しています。近年ハッキング事例が多くなっている、SQLインジェクション攻撃に対しては、サイトスキャンでは検知が難しいからです。これでWebアプリケーションの脆弱性や、SQLインジェクション攻撃をすでに受けていないか、といった点も含めて検査できます。
さらに［Ⅲ OWASPテスト］は、Webアプリケーションの脆弱性を厳しく検査する方法で、OWASP（Open Web Application Security Project）Top-10に基づいた検査です。

顧客から信頼を得るためにPCI基準の裏づけが有効

企業にとってセキュリティ診断のメリットは、自社の保有する重要情報が安全に守ることができているかを確認するだけではありません。多くの顧客に対して、自社のセキュリティを信頼してもらうために、多角的な検査を実施している実績を示すことができます。
安全性の診断検査をしているといっても、どういうガイドラインに基づいて、どれだけの検査を行ったのかを明確にできないと、せっかく検査コストをかけても、信用面での不安が残ります。
そのために、「クレジットカード情報保護に関する国際基準である、PCIDSSが要求している各種の脆弱性検査を実施して、安全を確認しています」と言える客観性のある方策は、顧客に対して説得力があるでしょう。

ページの先頭へ戻る

検査業者をどう選定するか

しかし、まだ問題もあります。前述のように、これらの5つの診断テストのうち、外部ネットワークのスキャンテストだけは、PCISSCが認可したASVという診断業者であることが条件になっていますが、あとの4つの診断テスト実施業者は、認可制ではありません。
人間の健康診断なら、どこの病院でも医師免許がなければ実施できないことになっていますから、一応そのレベルを信用することができます。しかしセキュリティ診断の場合は、検査会社の実績を比較したり、どのような方法で検査を行うのかのメソッドを比較したり、診断業者を選定する側にもスキルが必要になります。単に見積り額で選択するわけにもいかないわけです。
診断結果のサンプルを見て、どこまで細かく深く分析しているか、また単に結果レポートの提出で終わるのでなく、質問や対策についてもアドバイスをしてもらえるか、などのポイントも含めて、選定していくのがよいでしょう。

■PCIDSSが要求する各種の検査をご提供
NOSでは2007年より、PCIDSSの認定監査会社（QSA）である、米国ControlCase社との提携により、PCIDSSが要求する5つの検査を提供しております。
費用面でも手軽に実施できる、外部スキャンテスト「バルネラ・アセッサー」をはじめ、最先端のハッキング情報をもとに、Webアプリケーションの脆弱性を検査できるOWASPテストまで、お客様のシステム環境を踏まえたお打合せのうえ、見積りを提出させていただきます。どうぞご相談ください。

（解説：営業統括セキュリティ・ソリューション担当・森大吾)

PCIDSSのコンテンツメニューへ戻る

ページの先頭へ戻る

ローカルナビゲーション

日本オフィス・システム株式会社

ソリューション・サービス

PCIDSSに基づいた3タイプの脆弱性検査が有効

PCIDSSに基づいた3タイプの脆弱性検査が有効

国家的な機密情報がサイバー攻撃で漏えい

暗号化されたウィルスは入口をすり抜ける

留守中の動きを監視し記録する

サイトの脆弱性を多角的に検査する

PCIDSSが要求する5つ（3タイプ+外部と内部）のテスト

[Ⅰ] <<ネットワーク脆弱性スキャン…要求事項11.2>>

[Ⅱ] <<ペネトレーション(侵入)テスト…要求事項11.3>>

［Ⅲ］<<OWASPテスト…要求事項6.5>>

外部ネットワークから奥のアプリケーションまで検査

顧客から信頼を得るためにPCI基準の裏づけが有効

検査業者をどう選定するか