AWSが新しいPCI DSS 3.2を採用する最初のクラウドサービスプロバイダに

2016/2017サイクルのアマゾンウェブサービスPCI DSS 3.2 コンプライアンスパッケージがご利用可能になったことを発表できることを嬉しく思います。AWSは、新しくリリースされたPCI Data Security Standard(PCI DSS) version 3.2に対するアセスメントを成功裏に完了した最初のクラウドサービスプロバイダ(CSP)です。また、これは強制的なデッドラインである2018年2月1日の18ヶ月前に達成されました。リクエストによってご利用可能なAWS Attestation of Compliance (AOC)には、最も最近追加されたAmazon EC2 Container Service (ECS), AWS Config, および AWS WAF (ウェブアプリケーションファイやーウォール)を含む、26のPCI DSS認定サービスが掲載されています。AWSは、この国際的な情報セキュリティおよびコンプライアンスプログラムにコミットしています。新しい基準に対して可能な限り早く再び対応することは、情報セキュリティを最優先としてしているAWSのコミットメントを例証しています。AWSのお客様(およびそのお客様)は、最新かつ最も成熟したPCIコンプライアンス要求のセットに対してAWSのプロダクトとサービスがテストされていることを知りながら、クレジットカード情報(およびその他のセンシティブデータ)をクラウドの中で保管し、処理する運用を自信を持って行うことができます。

What’s new in PCI DSS 3.2?

PCI Standards Councilは、利用可能な要件の最新セットとして、2016年4月に PCI DSS 3.2 を発表しました。PCI DSS バージョン3.2では、オンラインクレジットカードトランザクションにおける暗号化、アクセスコントロール、変更管理、アプリケーションセキュリティ、リスクマネージメントプログラムまわりの要求が修正され、明確化されました。PCI Security Standards CouncilのChief Technology OfficerであるTroy Leachによる具体的な変更には以下が含まれます：

• 変更管理プロセスが、(年次のアセスメントに代わって)継続的なモニタリング環境の実装の一部として必要とされる
• サービスプロバイダはクリティカルセキュリティコントロールシステムの障害について検知と報告が求められる
• ペネトレーションテストの要求が年次から6ヶ月に一度に増加
• カードデータを扱うシステムへのコンソール外の管理者アクセスについて多要素認証が求められる
• サービスプロバイダは、職員がセキュリティポリシーと運用手順に従っているかを確認するための四半期ごとのレビューを行う必要がある

コンプライアンスパッケージの用途

AWS PCI DSS コンプライアンスパッケージは、AWS のお客様およびそのコンプライアンスアドバイザーが、AWS サービスプロバイダー PCI DSS アセスメントのスコープ、およびAWSプロダクトをお客様のカードホルダーデータ環境の一部として利用する際の責任範囲に対する期待を理解するのに利用されることを意図しています。お客様及び監査人は、AWS PCI FAQ、セキュリティベストプラクティス、および「AWSクラウドにおけるPCIコンプライアンス」テクニカルワークブックに記載されている推奨事項についてよく理解する必要があります。

コンプライアンスパッケージは以下の点でもAWSのお客様を支援します:

• カードホルダーデータ取り扱い環境をAWSでホストする計画
• PCI DSS アセスメントの準備
• AWS上でカードホルダーデータ取り扱い環境のデプロイメントに対するアセス、文書化、認定

加えて、AWS PCI DSS コンプライアンスパッケージは、AWS の Attestation of Compliance (AoC)を含んでいます。AoCは、PCI SSC 認定審査機関によって提供され、AWSがPCI DSSレベル1に準拠したサービスプロバイダであることを証明しています。レベル1サービスプロバイダは、最も厳しいアセスメント要求が求められる最高のレベルであり、年間 300,000 を超えるトランザクションの保存、処理、および伝送を行うサービスプロバイダに求められるものです。AoCはまた、お客様にAWSのインフラストラクチャが全てのPCI DSS 要求事項に適合しているということの保証を提供します。注意:決済ブランドの、サービスプロバイダに対する年次のPCI DSS コンプライアンス検証プロセスの一部として、AWS AoC は Visa および MasterCard に承認されています。

また、コンプライアンスパッケージには、PCI DSS 要求事項を満たすためのAWSとお客様の間の責任共有モデルを例示する責任範囲サマリーが含まれています。このドキュメントは認定審査機関(QSA)によって検証されたものであり、ドキュメントの内容はAWS Report on Complianceに沿っています。

このドキュメントには以下が含まれています:

• エグゼクティブ・サマリー、ビジネス記述、PCI DSS スコープ内サービスの記述
• PCI DSS 責任要求 ―  スコープ内サービスにおけるAWSとお客様の責任範囲
• Appendix A1: シェアードホスティングプロバイダに対する追加 PCI DSS 要求
• Appendix A2: SSL および古い TLS を利用している要素に対する追加のPCI DSS 要求

AWS PCI DSS コンプライアンスパッケージをリクエストするには、AWSの営業担当および事業開発担当にご連絡下さい。このパッケージやその内容についてご質問のある方は、AWS の担当営業または事業開発担当にご連絡いただくか、 AWS コンプライアンスWebサイトで情報をご確認下さい。

追加のリソース

• PCI Compliance in the AWS Cloud
• How to Address the PCI DSS Requirements for Data Encryption in Transit Using Amazon VPC
• Technical Workbook: PCI Compliance in the AWS Cloud
• PCI Security Standards Council: Why Security Matters
• PCI DSS 2.0 Cloud Computing Guidelines

Chad Woolf
Director, AWS Risk and Compliance　(翻訳はSA布目が担当しました。原文はこちら)