PCI DSS v4.0 on AWS Compliance Guideで挙げられているAWSサービスとその活用例をまとめます。

この記事では、要件3の「保存されたアカウントデータの保護」について扱います。

他の要件についての記事

要件1 ネットワークセキュリティコントロールの導入と維持
要件2 すべてのシステムコンポーネントにセキュアな設定を適用する
要件3 保存されたアカウントデータの保護
要件4 オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
要件5 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
要件6 安全なシステムおよびソフトウェアの開発と維持
要件7 システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲によって制限する
要件8 ユーザーの識別とシステムコンポーネントへのアクセスの認証要件9 カード会 員データへの物理アクセスを制限する
要件9 カード会 員データへの物理アクセスを制限する
要件10 システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
要件11 システムおよび ネットワークのセキュリティを定期的にテストする
要件12 組織の方針とプログラムによって情報セキュリティをサポートする

---

AWSサービス活用例

3.2 アカウントデータの保存を最小限にとどめる

• DynamoDB TTL機能で、アイテムごとにTTLを設定し、一定時間後に自動で削除する
  • TTL切れによる自動削除時は書き込みキャパシティユニットを消費しない

3.5 PANは保存場所に関わらず、保護されている

3.5.1 PANは一方向ハッシュ等で読み取りを不可能にする

• KMSでPANを暗号化して保存する
  • CMKを作成する
  • CMKにアクセスできるIAMユーザーやロールを制限する
  • CMKでPANを暗号化してRDS, S3等に保存する

3.6および3.7 保存されているアカウントデータを保護するために使用される暗号化鍵が保護されている、鍵のライフサイクルのすべての側面を網羅する鍵管理プロセスおよび手順が定義され、実施されている

• KMSで鍵を保護/管理する
  • KMS鍵は全てのライフサイクルがKMS内で完結する

関連サービス

Amazon DynamoDB

フルマネージドなNoSQLデータベース。
書き込み/読み込みの性能をキャパシティユニットで設定できる。1WCU(Write Capacity Unit): 1秒間に1KBのデータを書き込み可能(RCU: Read Capacity Unitも同様)
スループットをあげるためにはキャパシティユニットを大きくする。もしくはオンデマンドで利用分だけ料金を払う。

Time to Live(TTL)

TTLが有効になっているテーブルのアイテムは、指定の時間が経過すると自動で削除される。期限切れセッションデータの削除等で使われることが多い。
削除時はキャパシティユニットを消費しない。

AWS Key Management Service(KMS)

暗号化鍵の作成、管理をサポートするサービス。
Customer Master Key(CMK)でデータの暗号化/復号化を行う。CMKはAWS管理かユーザー管理かを選べる。

アクセス制御

CMKの使用についてIAMロールやポリシーを設定することで細かいアクセスコントロールが可能。

Keysローテーション

CMKを定期的に自動で更新してくれる。ローテーション後のCMKは過去の鍵の情報も保持しているため、古い鍵で暗号化したデータも複合化できる。
選択できるローテーション期間はAWS管理かユーザー管理かで異なる。

AWS Cloud HSM

暗号化鍵の作成、管理をサポートするサービス。
KMSとの大きな違いは鍵の管理を行うハードウェアを専有するところ(KMSは複数アカウントで同じ物理ハードウェアを利用する)。