AWS Security Hub PCI DSS v3.2.1 コンプライアンス標準の使用方法

2020年2月13日に、AWS は、AWS Security Hub に Payment Card Industry Data Security Standard (PCI DSS) バージョン 3.2.1 要件の部分的なサポートを追加しました。

この更新により、PCI DSS の要件のサブセットを検証でき、継続的かつ自動化されたチェックを実施することにより、進行中の PCI DSS 準拠の活動を支援します。新しい Security Hub コンプライアンス標準により、AWS リソースを積極的に監視することも容易になります。これは、カード会員データの保存、処理、または送信に関与する企業にとって重要です。また、Security Hub コンプライアンス標準のセキュリティスコア機能もあり、PCI DSS 評価の準備をサポートできます。

この投稿を使用して、次の方法を学習します。

• AWS Security Hub PCI DSS v3.2.1 コンプライアンス標準を有効にし、結果をナビゲートする
• セキュリティスコアを解釈する
• 失敗したセキュリティチェックを修正する
• 検出結果に関連する要件を理解する

Security Hub の PCI DSS v3.2.1 コンプライアンス標準を有効にして、結果をナビゲートする

注：このセクションでは、1つ以上のアカウントで Security Hub が有効になっていることを前提としています。Security Hub を有効にする方法については、次の手順に従ってください。Security Hub を有効にしていない場合、Security Hub を初めて有効にすると、PCI DSS v3.2.1 を有効にするオプションが表示されます。

Security Hub で PCI DSS v3.2.1 コンプライアンス標準を有効にするには：

1. Security Hub を開き、コンプライアンス標準の中から、PCI DSS v3.2.1 を有効にします。
   （一度有効にすると、Security Hub は現在の AWS アカウントとリージョンの関連リソースの評価を、標準内の AWS コントロールに対して開始します。評価の範囲は現在の AWS アカウントです）。
2. 評価が完了したら、結果を表示を選択します。
3. これで、PCI DSS v3.2.1 ページが表示されます（図 1 ）。このコンプライアンス標準で現在実装されている 32 のセキュリティコントロール、その重大度、およびこのアカウントとリージョンのステータスをすべて表示できます。検索とフィルターを使用して、ステータス、重大度、タイトル、または関連する要件でコントロールを絞り込みます。
   

   図 1： PCI DSS v3.2.1 コンプライアンス標準結果ページ

4. コントロールの詳細情報を確認するには、コントロールの名前を選択します。このアクションにより、コントロールの詳細ページ（図 2 ）が表示され、関連する結果が得られます。
   

   図 2 ：詳細なコントロール情報

5. 特定のコントロールが自分に関係ない場合は、無効化を選択後に無効にする理由を入力して、コントロールを無効にできます。（手順については、個別コンプライアンス管理の無効化を参照してください）。

「セキュリティスコア」を解釈して改善する方法

Security Hub で PCI DSS v3.2.1 コンプライアンス標準を有効にすると、コンプライアンス標準自体およびアカウント全体のセキュリティスコアが表示されます。これらのスコアの範囲は 0％ 〜 100％ です。

図 3 ：PCI DSS コンプライアンス標準（左）および全体（右）のセキュリティスコア

PCI DSS コンプライアンス標準のセキュリティスコアは、有効な PCI DSS コントロールに対する合格した PCI DSS コントロールの割合を表します。スコアはパーセンテージで表示されます。同様に、全体的なセキュリティスコアは、有効なすべての Security Hub コンプライアンス標準のコントロールを含む、有効なコントロールに対する合格したコントロールの割合をパーセントで表示します。

目標は、有効なすべてのセキュリティチェックに合格して100％のスコアに到達することです。AWS Security Hub PCI DSS コンプライアンス標準の 100％ セキュリティスコアに到達すると、PCI DSS 評価の準備に役立ちます。SecurityHub の PCI DSS コンプライアンス標準は、進行中の PCI DSS 準拠の活動を支援するように設計されています。

重要な注意点として、コントロールはシステムが PCI DSS 基準に準拠しているかどうかを確認できません。彼らは、内部の努力に取って代わることも、PCI DSS 評価に合格することを保証することもできません。

失敗と判定されたセキュリティチェック（コントロール）の修正

失敗と判定されたコントロールを修正するには、そのコントロールの失敗したすべての検出結果を修正する必要があります。

1. 修正に優先順位を付けるには、失敗と判定されたコントロールでフィルタリングしてから、深刻度の重大なものから始め、順に低い問題を修正することをおすすめします。
2. 修正するコントロールを特定し、コントロールの詳細ページにアクセスします。
3. 改善の項目にある修復方法へのリンクを参照して、ステップバイステップの修正手順に従い、すべての失敗した検出結果にそれらを適用してください。

図 4：修復手順へのリンクがあるコントロールの詳細ページ

「関連要件」を解釈するには

すべてのコントロールは、コントロールカードとコントロールの詳細ページに関連要件を表示します。PCI DSSの場合、関連要件は、どの PCI DSS 要件が Security Hub PCI DSS コントロールに関連するかを示します。単一の AWS コントロールは、複数の PCI DSS 要件に関連する場合があります。

図 5 ：コントロールの詳細ページの関連要件

ユーザーガイドでは、関連する PCI DSS 要件を記載し、特定の Security Hub PCI DSS コントロールが要件にどのように関連するかを説明しています。

たとえば、AWS Config ルール cmk-backing-key-rotation-enabled は、各カスタマーマスターキー (CMK) でキーローテーションが有効になっていることを確認しますが、AWS Key Management Service (AWS KMS) BYOK メカニズムでインポートされたキーマテリアルを使用している CMK を確認しません。このルールにマッピングされる関連 PCI DSS 要件は、PCI DSS 3.6.4 –「暗号化期間の終わりに達したら暗号化キーを変更する必要があります」です。PCI DSS は暗号化期間の時間枠を指定していませんが、キーのローテーションが有効になっている場合、お客様管理の CMK でデフォルトでローテーションが毎年行われるため、このルールがマッピングされます。

まとめ

新しい AWS Security Hub PCI DSS v3.2.1 コンプライアンス標準は、カード会員データの保存、処理、または送信に関与する企業にとって基本的なものです。この投稿では、Security Hub PCI DSS コントロールに対する AWS リソースの予防的な監視を標準が開始できるようにする方法を学びました。また、Security Hub 内で PCI DSS コンプライアンス標準の結果をナビゲートする方法も学びました。失敗したセキュリティチェックを頻繁に確認し、修正に優先順位を付け、Security Hub 内で PCI DSS の 100％ セキュリティスコアを達成することを目標とすることにより、PCI DSS 評価の準備が整います。

参考

• Security Hub の使用を開始する
• PCI DSS v3.2.1 Security Hub ユーザーガイド
• 重大度ラベルの解釈

この投稿について質問がある場合は、Security Hub forums で新しいスレッドを開始してください。

AWS Security の how-to コンテンツ、ニュース、機能の発表がさらに必要ですか？私たちをフォローしてください。

ブログの原文はこちらです。
翻訳は SA 中島 が担当しました。