PCIDSSとフォレンジック調査の重要性

PCIDSSとフォレンジック調査の重要性
横森 隆(CISSP)
サイバートラスト株式会社
リスクマネジメントサービス事業部
コンサルティングサービス部
本日の講演の概要
PCIDSSとフォレンジック調査の重要性
昨今発生しているクレジットカードによる支払い可能なインターネット
ショッピングサイトからの情報漏洩事件を背景に、支払いカード業界
向けセキュリティサービスについて、特にフォレンジック調査に焦点を
置いてお話しさせていただきます。
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
本日の講演者について
VerizonBusinessとサイバートラスト
講演者(横森 隆):
¾サイバートラストに所属しVerizonBusinessのQSAP(認定評価人)による
日本国内におけるフォレンジック調査をサポート
¾主要業務は脆弱性診断
VerizonBusiness
「the services of a data security firm」と
MasterCardから認定された評価機関
サイバートラスト
VerizonBusinessのパートナーとして日本国内における
フォレンジック調査サービスを提供
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
背景 1
頻発しているSQLインジェクション攻撃
2008年初頭からSQLインジェクション攻撃による
インターネットショッピングサイトからの情報漏洩事件顕著化
事件増加の背景に何が?
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
背景 2
カード情報のブラックマーケット
盗んだカード情報を売買するブラックマーケットの存在
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
背景 3
カード業界特有の問題
複雑なプレーヤーによる構成
(イシュア/アクワイアラ/加盟店/決済処理代行会社)
セキュリティ対策の浸透に時間を要する
国際カードブランドとの提携
(VISA / MasterCard / JCB / AmericanExpress / DinersClub)
世界中どこで発生するデータ侵害であろうと潜在的な影響を被る
PCIDSSやフォレンジック調査への関心の高まり
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
定義
PCIDSSとは
カード会社の加盟店や決済代行業社が取り扱うクレジットカード情報
取引情報を安全に守るために策定されたクレジット業界における
グローバルセキュリティ基準
フォレンジック調査とは
不正アクセスや機密情報漏洩などコンピュータに関連した犯罪や法的
紛争が生じた際に原因究明や捜査に必要な機器やデータ・電子的記
録を収集分析し、その法的な証拠性を明らかにするための一連の調査
具体的に何をすればいいのか?
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSS・認定要件
PCIDSS・認定取得のための要件
訪問審査
認定審査機関によるPCIDSS要求事項に対する訪問審査
サイトスキャン
認定スキャンベンダーが提供するツールによる電子的な脆弱性診断
自己問診
アンケート形式によるPCIDSS要求事項に対する自己問診
PCIDSS要求事項とは?
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSS・要求事項
PCIDSS・12のセキュリティ要求事項
要件1:データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件2:システム・ソフトウェアのセキュリティに関する初期設定値をそのまま利用しないこと
要件3:保存されたデータを安全に保護すること
要件4:公衆ネットワーク上でカード会員情報・センシティブ情報を送信する場合、暗号化すること
要件5:アンチウイルス・ソフトウェアを利用し、定期的にソフトを更新すること
要件6:安全性の高いシステムとアプリケーションを開発し、保守すること
要件7:データアクセスを業務上の必要範囲内に制限すること
要件8:コンピュータにアクセスする際利用者毎に識別IDを割り当てること
要件9:カード会員情報にアクセスする際、物理的なアクセスを制限すること
要件10:ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
要件11:セキュリティシステムおよび管理手順を定期的にテストすること
要件12:情報セキュリティに関するポリシーを整備すること
どの程度強制力があるのか?
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSS・適用区分(MasterCardのケース 1)
PCIDSS 訪問審査を必須と定めた適用区分 レベル1
・ MasterCardの年間取引総件数が600万件を超える全ての加盟店
・過去にカード取引情報の流出が発生したことのあるすべての加盟店
・競合するペイメント・ブランドのレベル1の基準を満たすか上回るすべての加盟店
・ MasterCard単独の裁量により、レベル1の要件を満たすべきと判断する全ての加盟店
日本の場合殆どの加盟店は任意適用
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSS・適用区分(MasterCardのケース 2)
PCIDSS サイトスキャンを必須と定めた適用区分 レベル3以上
・MasterCardの年間eコマース取引総件数が2万件を超えるすべての加盟店
・競合するペイメント・ブランドのレベル3の基準を満たすか上回るすべての加盟店
・MasterCard単独の裁量により、レベル1の要件を満たすべきと判断する全ての加盟店
脆弱性の改善方法に関する指導は?
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSS・適用区分(MasterCardのケース 3)
PCIDSS 自己問診を必須と定めた適用区分 レベル3以上
・MasterCardの年間eコマース取引総件数が2万件を超えるすべての加盟店
・競合するペイメント・ブランドのレベル3の基準を満たすか上回るすべての加盟店
・MasterCard単独の裁量により、レベル1の要件を満たすべきと判断する全ての加盟店
自己問診結果に対する検証は?
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSSとフォレンジック調査の関係 1
PCIDSS要求事項のセキュリティ目標
要件1,2
安全なネットワークの構築・維持
要件3,4
カード会員データの保護
要件5,6
脆弱性を管理するプログラムの整備
要件7,8,9
強固なアクセス制御手法の導入
要件10,11
定期的なネットワークの監視およびテスト
要件12
情報セキュリティ・ポリシーの整備
インシデント対応に関する要求事項は?
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSSとフォレンジック調査の関係 2
PCIDSS要求事項としてのインシデント対応
PCIDSS要求事項12.9.1:
¾システムのセキュリティ侵害の場合に使用する、インシデント対応計画を策定す
る。この計画は、少なくとも具体的なインシデント対応プロセス、業務の復旧およ
び継続手順、データ・バックアップ手順、役割と責務、コミュニケーションと連絡
方法(例:アクワイアラや国際カードブランドへの通知)についての記述がなけれ
ばならない。
フォレンジック調査に関する明確な要求事項の記述はない
各カード会社の求める対応は?
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSSとフォレンジック調査の関係 3
VISA インシデント対応要求事項としてのフォレンジック調査
VISA: 「VISA Security Incident Response Procedure」
情報漏洩事件が発生した全ての加盟店にフォレンジック調査が求められる
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSSとフォレンジック調査の関係 3
MasterCard インシデント対応要求事項としてのフォレンジック調査
MasterCard: 「Merchant Rules Manual 」
情報漏洩事件が発生した全ての加盟店にフォレンジック調査が求められる
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSSとフォレンジック調査の関係 3
カード会社毎に異なる インシデント対応適用プログラム
PCIDSS:目標とするセキュリティ基準(仕様やルール・プログラムではない)
カード会社毎に適用プログラムが異なる
VISA・JCB:
「AIS 」
MasterCard:
「 SDP 」
・・・インシデント発生時の対応に差が・・・
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査(MasterCardのケース)
MasterCardが加盟店に対して定めるインシデント発生時の責務
「Merchant Rules Manual」 原文抜粋
・・・全文を要約すると・・・
¾アカウントデータの流出が発生した場合または
発生が疑われる場合に報告を行う責任を負う
¾アカウントデータの流出が発生した場合または
発生が疑われる場合にフォレンジック調査を実施
してレポートを提出する責任を負う
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・インシデント対応
インシデント対応 フェーズ1∼3
フェーズ1
背景調査
イベントの時系列把握
データ侵害発生の有無の確認・侵害発生箇所の特定
データ侵害の封じ込めによる客様環境の保護
データ侵害に関する事実関係の明確化
フェーズ2
ネットワーク構成調査
支払いカード情報フロー分析
データ侵害発生の技術的環境の明確化
データ侵害に関する技術的なI/Oの明確化
データの侵害範囲と侵害に利用された情報処理方法の特定
フェーズ3
デジタルエビデンス収集
データ侵害の証拠となる電子的データの収集・保管
侵害を受けたシステムに対する電子的接続ログの収集・保管
侵害を受けたシステムの完全なデジタルイメージの複製
デジタルエビデンス以外も重要視するMasterCard フェーズ1,2
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・受入れ前に 1
加盟店自身による証拠保全措置
フォレンジック調査は加盟店自身による証拠保全措置に大きく左右される
求められる証拠保全措置:
¾侵害が発生したシステムをネットワークから隔離する
¾侵害が発生したシステムのOSをシャットダウンしない・電源を切らない
¾侵害が発生したシステムに関連するログを保存する
¾侵害が発生したシステムの画面キャプチャを保存する
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・受入れ前に 2
加盟店自身による要確認事項
フォレンジック調査受け入れ時に発生する可能性のある問題点
・・・侵害が発生したシステムの運用管理が外部委託されている場合・・・
求められる要確認事項:
¾運用管理施設に対するによるオンサイト調査受入れに対する可否
¾運用管理施設への特殊なツールの持ち込みに対する可否
¾運用管理施設からのデジタルエビデンス持出しに対する可否
・・・未確認のため実際に受入れ拒否のケースも・・・
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・インシデント対応フェーズ1−1
背景調査
¾データ侵害はどの様にして発見されたか?
¾侵害発生後どのような処置がとられたか?
¾対象加盟店の加盟店レベルは何か?
¾調査対象システムの運用管理サービスは?
¾調査対象システムの運用管理会社とのSLA
の内容は?
データ侵害の封じ込め確認
事実関係の明確化
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・インシデント対応フェーズ1−2
イベントの時系列把握
事件当事者・関係者へのインタビュー
セキュリティ侵害に至るまでに発生したイベントの時系列把握
¾いつ/どこで/何が発生したのか?
¾いつ/どこで/誰によって発見されたのか?
¾いつ/どこで/どの様な対応が行われたのか?
¾いつ/誰に/何を報告したのか?
そもそも当事者意識があるのか・・・・・?
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・インシデント対応フェーズ2−1
システム・ネットワーク構成調査
システム・ネットワーク構成図
の調査だけでは不十分
システム担当者との緊密な
コミニュケーション
「例外」 「暗黙のルール」
の洗い出し
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・インシデント対応フェーズ2−2
支払いカード情報フロー 分析
支払いカード情報の
処理方法と環境の明確化
データの侵害範囲と侵害に
利用された処理方法の特定
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・インシデント対応フェーズ3
デジタルエビデンス収集
データ侵害の発生したシステムへの電子的な接続・操作を追跡するために
デジタルエビデンスを可能な限り収集・保管する
要件:「フォレンジック的に有効(forensically sound)であること」
¾調査時点の正確な電子的イメージを生成すること
¾無関係なデータの混入や保存データの改ざんを防ぐこと
調査対象ドライブの物理的なビットストリーム画像の生成
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・フォレンジック分析
フォレンジック分析 フェーズ4∼5
フェーズ4
データ分析
Webログ・インターネット履歴・キャッシュログ分析
ファイルシグネチャ・レジストリ分析
悪質コード分析
フェーズ5
推奨策の提言
加盟店自身による是正措置の確認
侵害ポイントに対するリスク低減案の提言
QSAによる訪問調査・電子的脆弱性診断の提言
加盟店へのフォレンジック調査報告書 提出
MasterCardへの同報告書 提出
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・分析フェーズ4
データ分析
調査過程で発見・収集された全てのデータに対する綿密な分析
要件:データ侵害に対する所見・結論・推奨策の提示を目的とすること
¾Webログ分析
¾ファイルシグネチャ分析
¾レジストリ分析
¾インターネット履歴・キャッシュログ分析
¾悪質コード分析
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・分析フェーズ5−1
推奨策の提言
データ侵害ポイントのリスクを低減するための推奨策の提言
前提:加盟店による是正措置が導入済・導入中の場合はそれを明らかにすること
要件:外的侵害行為だけでなく内部からの侵害行為に対しても有効であること
・・・具体的な推奨策の例・・・
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・分析フェーズ5−2
代表的な推奨策例
¾脆弱性が存在しているアプリケーションコードの修正・撤去
¾データベース内の機密情報の暗号化
¾侵害を受けたデータベース・アカウントの変更・ロック
¾ロギング機能の強化
¾インシデント対応能力の確立・維持
¾ファイアウォール・ポリシーの強化
¾IDS の設定および調整
¾サーバの要塞化によりコアセキュリティの強化
・・・是正措置の有効性確認・・・
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・分析フェーズ5−3−1
有効性確認とその問題点1−1
¾認定審査機関(QSA)による訪問審査
・・・フォレンジック調査より先に実施された場合・・・
審査結果に基づく是正措置の先行実施
・・・証拠保全に及ぼす影響は?・・・
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・分析フェーズ5−3−2
有効性確認とその問題点1−2
訪問審査:迅速な対応が可能
フォレンジック調査: インシデント対応フェーズ+分析フェーズ=最低4週間
一刻も早くビジネスを再開したい加盟店
・・・フォレンジック調査受け入れへの抵抗感・・・
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
フォレンジック調査・分析フェーズ5−3−3
有効性確認とその問題点2
¾電子的脆弱性診断
認定されたスキャニングツールによる診断
ツールのみの診断で充分なのか?
・・・対策としてのWAFにも同様の疑問・・・
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSSを実効性のあるものにするために 1
認定・認証という言葉に弱い日本のエグゼクティブ
¾PCIDSSの認定マークがないことへの不満
認定取得していれば責任を問われない?
認定取得はゴールではなくスタートのはず
認定を取るための対策ではなく「日常管理」のための対策を!
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
PCIDSSを実効性のあるものにするために 2
加盟店への提言
¾保存する必要のないデータは保存しない!
Need to Know 原則の徹底を!
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp
ご清聴ありがとうございました!
takashi.yokomori@cybertrust.ne.jp
©2007 Cybertrust Japan. All rights reserved. www.cybertrust.ne.jp