予想問題vol.10 問42

問42

PCIデータセキュリティ基準(PCI DSS Version2.0)の要件のうち,詳細要件の選択肢として,WAFの導入を含むものはどれか。
  • 要件1:カード会員データを保護するために,ファイアウォールをインストールして構成を維持すること
  • 要件3:保存されるカード会員データを保護すること
  • 要件6:安全性の高いシステムとアプリケーションを開発し,保守すること
  • 要件7:カード会員データへのアクセスを,業務上必要な範囲内に制限すること
  • [出典]
  • 情報セキュリティ H24春期 問9

分類

テクノロジ系 » セキュリティ » セキュリティ技術評価

正解

解説

Payment Card Industry(PCI)データセキュリティ基準(DSS)は、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,AmericanExpress,Diners Club)により策定された基準です。
クレジットカード関連サービスを提供する企業は、カード会員データを保護するためにPCI DSSに規定された技術面および運用面の要件をセキュリティ基準のベースラインとして利用することができます。(PCI DSS本文より一部引用)

PCI DSSでは次に示す12の要件が定義され、これらの要件を満たすための詳細要件およびテスト手順が規定されています。
42.gif/image-size:526×280
WAF(Web Application Firewall)は、パケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、ウェブアプリケーションに対するXSSやSQLインジェクション,OSコマンドインジェクションなどの攻撃を検知・遮断するソフトウェア(またはハードウェア)です。WAFはアプリケーションの脆弱性を防御する目的で設置されるので、該当する要件は「要件6:安全性の高いシステムとアプリケーションを開発し,保守すること」になります。

文書中では「6.6 一般公開されているWeb」の項で「アプリケーションの手前に、Web アプリケーションファイアウォールをインストールする」という詳細要件が示されています。

参考URL: PCI DSS v2.0
 https://ja.pcisecuritystandards.org/minisite/en/pci-dss-v2-0.php
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop