Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PCI DSSコンプライアンス

組織がPCI DSS(Payment Card Industry Data Security Standard)要件の対象となる場合、この情報を使用して、有線、無線、SD-WANドメイン全体でJuniper Mist™クラウドがPCI DSSをどのようにサポートしているかを理解してください。

紹介

PCI DSSは、小売分野や、オンライン決済が行われる銀行などの他の業界において、クレジットカードや支払いデータの不正から保護するための共通規格として作成されました。PCI DSSは、一貫したセキュリティポリシーとベストプラクティスを提供することで、セキュリティ担当者とネットワーク管理者が支払いデータに対するさまざまな脅威を効果的に阻止できるようにします。PCI DSS 4.0 は、2022 年 3 月に評価のために発効しました。

ネットワークは、支払いデータを送信するための主要なチャネルであるため、PCI DSSコンプライアンスの重要な基盤です。PCI DSS要件は、ネットワークセキュリティの運用と実践が既知のリスクを排除するか、最小限に抑えるように設計されています。また、PCI DSS要件は、組織が監査可能な追跡可能で適切に構造化されたポリシー、手順、および慣行を定義することを保証します。

ビジネス運営とデジタルエンゲージメントテクノロジーはモバイル接続に依存しているため、無線ネットワークは小売環境にとって特に重要です。例えば、POSデバイス、スキャナ、バーコードリーダー、プリンター、モバイルコンピュータはすべて、小売業経営の生命線である無線LAN(WLAN)上で動作します。ワイヤレス ネットワークの PCI DSS 準拠では、次の 2 種類の要件が指定されています。

  • 一般的に適用されるワイヤレス - これらの要件は、ワイヤレス ネットワークが Cardholder Data Environment (CDE) の範囲外であっても適用されます。これには強力なネットワークセグメンテーションが含まれており、不正または未知のワイヤレスアクセスポイント(AP)やクライアントからの攻撃からCDEネットワークとセキュリティを保護します。
  • CDE におけるワイヤレスの保護 - これらの要件は、ワイヤレスおよび有線技術を介して支払いカード情報を送信するシステムに義務付けられています。一般的に適用される無線要件に加えて、デフォルトのパスワードと構成の変更、強力な暗号化と認証の使用、準拠したソフトウェアによるシステムの定期的な更新、アクセスの監視など、追加のセキュリティ要件が課せられます。

PCI DSS 4.0 Attestation of Compliance(AOC)

Juniper Mistソリューションは、独立したPCI DSSセキュリティ評価機関によって、PCI DSS 4.0 Attestation of Compliance(AOC)を満たすように評価されています。

クラウドセキュリティ

Juniper Mist クラウドは無線パケットデータを伝送しないため、CDE 環境外にあります。いずれにせよ、Mistは、Mistクラウドで最高レベルのセキュリティを確保するために、セキュリティ、処理の整合性、および可用性を確保するために、以下に記載されている追加の対策を講じています。

  • SOC2 Type 2/ISO 27001/PCIクラウドデータを使用します。
  • 情報セキュリティポリシーを保守します。
  • ネットワークアプリケーションファイアウォール/アクセス制御リストを使用します。
  • 侵入検出システム(IDS)/侵入防御システム(IPS)を使用します。
  • さまざまなレベルで業界標準の暗号化を使用します。
  • クラウドに保存されているデータを難読化します。
  • セキュリティを開発サイクルに統合し、侵入テストを実行してネットワークとアプリケーションの脆弱性を検出します。
  • 定期的にスケジュールされた内部および外部の脆弱性スキャンを実行します。
  • 対象となる全従業員を対象に、セキュリティ意識向上トレーニングを毎年実施しています。
  • 毎年のリスク評価を実施します。
  • インシデント対応計画も含みます。
  • 独立したPCI DSSセキュリティ評価者による毎年のPCI DSSコンプライアンス構成証明(AOC)に加入しています。

以下のスキーマをMist環境に実装することで、ネットワークを確実にセグメント化することができます。

  • 物理セグメンテーション:ネットワーク セグメンテーションを実現する方法の 1 つは、CDE ネットワークから物理的に分離された有線ネットワークで無線 AP を接続することです。これは、CDE 環境の有線ネットワークとの交差を持たない、有線および無線のオーバーレイ インフラストラクチャがあることを意味します。このスキームでは、CDE ネットワークと非 CDE ネットワーク間で共有されるファイアウォールやインターネット接続はありません。

  • VLANベースの論理セグメンテーション:一般的には、VLAN(仮想LAN)を使用してネットワークを論理サブネットにセグメント化します。無線ネットワークと CDE を異なる VLAN に配置することで論理的なセグメンテーションを実現することは可能ですが、この方法は VLAN 間のアクセス コントロール ポリシーがなければ安全とは見なされません。

  • ファイアウォールの分離:WLAN が CDE に接続されている場合、ワイヤレス ネットワークと CDE ネットワークの間にファイアウォールを設定することは、PCI DSS 4.0 要件に準拠するセグメンテーションの許容可能な形式です。

  • Software Definedポリシーエンジン—Mistに統合されたWxLANポリシーエンジンを使用して、あらゆる無線トラフィックをCDE環境に分離することができます。Mistは、インラインポリシーエンジンであるWxLANを通じて、ネットワーク上のロール、ユーザー、アプリケーション、リソースベースのアクセスに対するポリシーを作成する際に、強力なプラットフォームを提供します。Mist無線インフラストラクチャでは、システムで構成されたすべてのWLANに対してLANへのアクセスをブロックした状態で、あらゆる有線ネットワークにポリシーを適用できます。

ワイヤレスネットワークがPCI DSSに一般的に適用される要件に準拠していることを確認するために、小売業者は次の点に特別な注意を払う必要があります。

  • 不正デバイス:有線ネットワーク上の偶発的または悪意のあるAPで、すべてのネットワークリソースにアクセスできる内部ネットワークに侵入するために使用される可能性があります。
  • ハニーポットデバイス—小売業者のAPビーコンを送信する認可済みAPを装った偶発的または悪意のあるAPです。
  • 非準拠および制裁対象外AP—このカテゴリには、コンプライアンスに違反し、重要なセキュリティなしで古いファームウェアを実行している制裁対象APが含まれます。また、ネイバーであるAPや、小売店や倉庫内の無線運用に不注意による干渉を引き起こすAPも含まれます。

無線IDPは、これらの外部デバイスを処理してRF環境を監視し、カード会員データに使用されていないAPを分離するために必要です。従来、WLANベンダーがWIDS/WIPSコンプライアンスの要件に対処するには、主に2つの方法がありました。

  • パートタイム - クライアントにサービスを提供していないとき、AP はスペクトラムをスキャンして不正デバイスを探します。このアプローチは、24時間年中無休ではなく、一部の時間しか機能しないセキュリティソリューションを持つことと似ています。
  • 専用AP:無線ネットワークのセキュリティを24時間365日体制で監視します。このアプローチによって継続的な保護が保証されますが、APを追加するための導入コストと、センサーに電力を供給するためにIDF/MDFにPoEケーブルを設置する関連コストが爆発的に増加します。

一部のベンダーは、APでデュアルバンド無線を使用し、センサーを実装するためにAP内の無線を盗用します。このアプローチは、チャネル計画において悪夢を引き起こし、カバレッジが不十分になる可能性があります。一部のベンダーは、専用の第3無線を備えたトライ無線APソリューションを提供する一方で、ワイヤレスインフラストラクチャおよびコントローラソリューションの他の部分と直交する完全なオーバーレイ監視ソリューションを導入しています。孤立した孤立したデータソース、データベース、可視化、さらには個別の制御を、無線の設定、制御、プロビジョニングにも使用します。

Mist APは、2.4 GHz、5 GHz、6 GHzのクライアントアクセスと並行して、スペクトラムを24時間365日連続でスキャンします。このアプローチでは、Mistは継続的にスペクトラムをスキャンして、不正、ハニーポット、干渉、およびサイトでの接続試行の失敗(DDoS攻撃のソースとなる可能性がある)などの異常がないか調べます。

Mistプラットフォームは、すべてのAP、クライアント、ロケーション、サイト、およびサイトグループの主要なメトリックのベースラインを維持します。MistのAI搭載インフラストラクチャは、ネットワークのあらゆるレベルで異常なアクティビティを識別します。Mistプラットフォームは、既存の脅威とゼロデイ脅威を検知できます。さらに、Mistの位置情報テクノロジーを使用して、偶発的または悪意のある不正デバイスを正確に特定し、リソースへのロケーションベースのアクセスを提供できます。

Mistの機械学習フレームワークは行動分析にまで拡張でき、クライアントデバイスの機能を「通常」のベースラインと照らし合わせてチェックすることができます。アラートは、4x4 クライアント デバイスが 2x2 デバイスとして表示されるようになったり、カリフォルニアの拠点がニューヨークからネットワークにアクセスするために認可されたクライアント デバイスなど、重要なポスチャが変更されたときに生成されます。

Cardholder Data Environment(CDE)における無線のセキュリティ保護

2 つ目の要件は、クレジット カード データが処理されるのと同じネットワーク上のワイヤレス デバイスに適用されます。Mist では、スコープ内の VLAN とワイヤレス LAN の PCI スキャンを実行できます。無線ネットワークの脆弱性を修復し、無線管理システムにポリシーを適用するのに役立ちます。

に準拠
表1:PCI DSSへの準拠Juniper Mist
無線MISTのPCI DSS要件V3.1 は、MIST の価値提案
1.1.2 カード会員データ環境と他のネットワーク(ワイヤレスネットワークを含む)との間のすべての接続を特定する現在のネットワーク図。 Mist の PCI スキャン レポートでは、CDE に接続するワイヤレス SSID と AP のリストが特定されます。
2.1.1 カード会員データ環境に接続されている、またはカード会員データを送信するワイヤレス環境では、デフォルトのワイヤレス暗号化キー、パスワード、SNMPコミュニティ文字列など、インストール時にすべてのワイヤレスベンダーのデフォルトを変更します。 Mistには、デフォルトのパスワード、暗号化キー、SNMPコミュニティ文字列はありません。
2.4 PCI DSSのスコープ内にあるシステムコンポーネントのインベントリを維持します。PCI DSS のスコープ内にあるシステム コンポーネントのインベントリを維持します。 Mist は、PCI DSS のスコープ内にあるワイヤレス ネットワークと AP のリストを提供します。
4.1.1 カード会員データを送信する無線ネットワーク、またはカード会員データ環境に接続する無線ネットワークは、業界のベストプラクティスを使用して、認証と送信のための強力な暗号化を実装します。 Mistは、WPA2-PSK や AES 暗号化による WPA2-Enterprise などの強力な暗号化標準をサポートしています。Mist は、PCI スキャン レポートの一部として、CDE のスコープ内の SSID で使用されている脆弱な暗号化を呼び出します。

6.2 該当するベンダーが提供するセキュリティパッチをインストールすることにより、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。リリースから 1 か月以内に重要なセキュリティパッチをインストールします。

注:重要なセキュリティパッチは、要件6.1で定義されているリスクランキングプロセスに従って特定する必要があります。

 Mistは、ワイヤレスネットワークの整合性に必要な重要な修正を含む、最新リリースのファームウェアを利用可能にします。Mist は、最新のファームウェアにまだアップグレードされていない AP を識別します。
7.1 システムコンポーネントおよびカード会員データへのアクセスを、そのようなアクセスを必要とする職務上の個人のみに制限します。 ワイヤレス ネットワーク アクセスは、承認された管理者に制限されています。すべての許可された管理者は、Mist PCI スキャン レポートにリストされます。
7.2 システムコンポーネントのアクセス制御システムを確立し、ユーザーが知る必要性に基づいてアクセスを制限し、特に許可されない限り「すべて拒否」に設定されます。 Mist ネットワーク管理者には、アクセス範囲が制限されたロールが割り当てられます。デフォルトの管理者ロールはオブザーバー (表示のみ) です。
8.1.1 システムコンポーネントまたはカード会員データへのアクセスを許可する前に、すべてのユーザーに一意のIDを割り当てます。 Mist の PCI スキャン レポートでは、CDE に接続するワイヤレス SSID と AP のリストが特定されます。

8.2 一意のIDを割り当てることに加えて、すべてのユーザーを認証するために次の方法の少なくとも1つを使用して、すべてのシステムコンポーネントで非消費者ユーザーおよび管理者の適切なユーザー認証管理を確保します。

• パスワードやパスフレーズなど、ユーザーが知っているもの

• トークンデバイスやスマートカードなど、ユーザーが持っているもの

• 生体認証など、あなた自身

 すべてのMist管理者は、複雑なパスワードまたは2要素認証(2FA)を使用して認証されます。
9.1.3 AP、ゲートウェイ、ハンドヘルドデバイス、ネットワーキング/通信ハードウェア、および通信回線への物理的なアクセスを制限します。 Mist APは、APキットの一部として利用可能なネジとブラケットを使用して、物理的に固定できます。APのKensingtonロックスロットでは、追加の物理的セキュリティがサポートされています。
10.1 監査証跡を実装して、システム コンポーネントへのすべてのアクセスを個々のユーザーにリンクします。 すべてのシステムアクセス、更新、および構成変更は、監査ログで追跡されます。
10.5.4 外部向けテクノロジーのログを、セキュリティで保護された一元化された内部ログサーバーまたはメディアデバイスに書き込みます。 すべてのイベントログは、SOC 2タイプ2データセンターでホストされているMistクラウドプラットフォーム内の一元化されたサーバーに保存されます。

11.1 AP(802.11)の存在をテストするプロセスを実装し、四半期ごとにすべての承認および許可されていないAPを検出して識別します。

注:プロセスで使用される方法には、ワイヤレスネットワークスキャン、システムコンポーネントとインフラストラクチャの物理的/論理的な検査、ネットワークアクセスコントロール(NAC)、ワイヤレスIDS/IPSなどがありますが、これらに限定されません。どちらの方法を使用する場合でも、許可されたデバイスと許可されていないデバイスの両方を検出して識別するのに十分である必要があります。

 WIDS/WIPS Mist、ネットワーク上で許可されたAPと許可されていないAPを検出できるため、手動で集中的に無線をスキャンする必要がなくなります。具体的には、不正APの検出と封じ込めにより、CDEネットワークが侵害されることを防ぎます。

結論

企業はビジネスサービスを実現する鍵として無線ネットワークへの依存度が高まっているため、PCI DSSではWLANセキュリティに細心の注意を払う必要があります。

幸いなことに、Mistが対応します。無線ネットワークを外部からの攻撃から保護し、CDEネットワーク上で転送されるデータの安全性を確保することで、Mist Learning WLANはPCI環境のミッションクリティカルな無線ネットワークにとって安全な選択肢となります。Mistアーキテクチャの主な違いは、ワークフローを合理化する方法により、ネットワークIT、セキュリティ運用チーム、マーケティング、その他の事業部門で一貫性のあるエクスペリエンスを実現していることです。Mistにより、アクセスレイヤーの接続と関連アプリケーションでは、包括的で驚きを伴う、安全なエクスペリエンスが実現します。