PCI DSS on AWSのまとめ(要件2)
PCI DSS v4.0 on AWS Compliance Guideで挙げられているAWSサービスとその活用例をまとめます。
この記事では、要件2の「すべてのシステムコンポーネントにセキュアな設定を適用する」について扱います。
他の要件についての記事
要件1 ネットワークセキュリティコントロールの導入と維持
要件2 すべてのシステムコンポーネントにセキュアな設定を適用する
要件3 保存されたアカウントデータの保護
要件4 オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
要件5 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
要件6 安全なシステムおよびソフトウェアの開発と維持
要件7 システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲によって制限する
要件8 ユーザーの識別とシステムコンポーネントへのアクセスの認証要件9 カード会 員データへの物理アクセスを制限する
要件9 カード会 員データへの物理アクセスを制限する
要件10 システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
要件11 システムおよび ネットワークのセキュリティを定期的にテストする
要件12 組織の方針とプログラムによって情報セキュリティをサポートする
AWSサービス活用例
2.2 システムコンポーネントは安全に設定され、管理されている
2.2.1 セキュリティ脆弱性への対応や堅牢なシステムの構築等を行う
- SSMでOSパッチ適用、構成管理等のセキュリティ対策を行う
- PCI DSS基準を満たすAMIを利用する
- AWS Configで設定変更履歴の管理や、変更通知を行う
2.2.2 ベンダのデフォルトアカウントは一定強度以上のパスワードに変更して使うか、削除して使わない
- AWS IAM Identity Centerを使ってSSOログインを可能にする
- AWS Directory ServiceでMicrosoft ADと連携する
- EC2 ConfigでWindowsインスタンスにパスワードを設定する
2.2.7 コンソール以外のすべての管理者アクセスは強力な暗号を使用する
- SSM Run CommandからEC2への管理者コマンドを実行する
- SSMで特定のリソースへアクセスするための踏み台サーバーを構築する
- SSM Session Managerで細かい設定なしでEC2にセキュアなアクセスをする
関連サービス
AWS Systems Manager(SSM)
複数のホストを持つ環境を可視化、制御、自動化するための管理ツール。
主な機能は下記の4つ。
- 運用管理
- アプリケーション管理
- 変更管理
- ノード管理
- Inventory
- 対象のノードにインストールされたアプリケーションやOSバージョン、ネットワーク設定等を収集できる。取得した情報をSSMインベントリで一元管理することができる
- データの収集にはSSMエージェントのインストールが必要だが、エージェントがインストール済みのAMIも存在する。エージェントがインストールされていない環境(オンプレ含む)には手動でエージェントをインストールすることでデータ収集が可能となる。
- Patch Manager
- AWS上およびオンプレ環境のインスタンスに対してOSパッチを自動で適用することができる。パッチの種類(e.g. Security, Bugfix)、重要度(e.g. Critical, Important)、適用までの遅延期間等を設定できる
- Compliance
- インスタンスに適切にパッチを適用されているかどうかを自動で評価、管理することができる
- Run Command
- ソフトウェアのインストールやシステム設定変更等のコマンドを実行する
- Session Manager
- ブラウザやAWS CLIを介してEC2インスタンスへの安全なアクセス(シェルアクセス)が可能になる
- SSHキーや踏み台が不要となる
- ブラウザやAWS CLIを介してEC2インスタンスへの安全なアクセス(シェルアクセス)が可能になる
- Inventory
AWS Config
AWSリソースやオンプレ環境のサーバー上のソフトウェアの設定変更履歴の記録や、リソースの作成、変更、削除のタイミングで通知することができる。
AWS IAM Identity Center(旧AWS SSO)
複数のAWSアカウントに対するユーザーのアクセス権の管理や、SSOやMFAをサポートするサービス。
AWS Organizationで複数アカウントを運用している場合に、アカウントごとにログアウト/ログインをしたりスイッチロールをしなくても、Identity Center の画面から簡単にログインができるようになる。
SSOはSAML2.0とOIDCに対応しており、Office365, Google Workspace等からのSSOが可能となる。
AWS Directory Service
Microsoft AD互換のディレクトリサービス。オンプレのMicrosoft ADと連携してSSOができるようになったり、AWSリソースへのアクセスを制御できるようになる。
EC2Config
EC2のWindowsインスタンスに対して、管理者アカウントへのパスワード設定、Windows Updateの設定や起動/終了時のタスク自動化、システムログの送信等の機能を提供する。
Discussion