データベース・セキュリティ

3. PCI DSS（PCIデータセキュリティ基準）

法律ではありませんが、組織がデータベース・セキュリティを実装する上で参考^*となる基準であるPCI DSSを概説します。

• [*] PCI DSSの守る対象はクレジットカード会員データですが、クレジットカード会員データを、機密データや個人情報に置き換えて読めば、どの組織にもあてはまるからです。

PCI DSS（Payment Card Industry Data Security Standard）とは、加盟店・決済事業者が取り扱うカード会員のクレジットカード情報・取引情報を安全に守るために、JCB・American Express・Discover・MasterCard・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルなセキュリティ基準です。

法律ではないため特に準拠しなくとも罰則規定などなかった事から日本では普及が遅れていましたが、VISAが年間取引件数の多い加盟店およびカード決済事業者にこの基準への準拠を要請し、その完了期限が2010年9月30日に到来しました。

利用者側から見れば準拠している加盟店・決済事業者を利用する事が安心につながるため、今後クレジットカード関連事業者は、例外なくPCI DSSに対応しなければならない状況になってきたと言えるでしょう。

図2にある12の要件の内、要件2、3、6、7、8、9、10、11、12の8要件がデータベースに関する要件です。

データベース・セキュリティ・コンソーシアム（DBSC）公開の『PCI DSS データベースセキュリティガイドライン 追補版』（PDF版）ではデータベースに関する要件の実装レベルの対応までが記載されています。

PCI DSS はPCI Security Standards Council LLCにより公開されており、ver.1.2の日本語訳がダウンロード可能です。
→　PCI DSS 要件およびセキュリティ評価手順、v1.2

なおver.2.0が10月28日に公開されました。新バージョンは2011年1月から正式に発効され、ver.1.2は2011年12月31日まで有効となります。

データベース監査の重要性

前述したガイドライン等で以下のようにうたわれているように、データベースへのアクセスログ（監査ログ）を取得する事は重要です。

• 個人データへのアクセスの記録および分析（個人情報保護法）
• 内部統制が有効に機能しているかを監視するためのモニタリング（J-SOX）
• ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること（PCI DSS）

ただ単に、アクセスログを取得するだけであれば各データベース・ベンダーのデフォルトの監査ログ機能を利用すればコストも掛かりません。しかしながらデフォルトの監査ログ機能を利用するには問題がある場合もあります。

・キャパシティーの問題

新規にDBサーバーを導入する場合は監査ログ機能の利用を前提にキャパシティー設計すればよいが、既に導入済みの場合、DBサーバーへの負荷等キャパシティーが問題になる

・監査の独立性

データベース管理者は監査ログ機能を無効にできてしまうため監査の独立性が保てない

・その他

デフォルトの監査ログ機能では、カスタムの違反定義・検知や分析のためのレポート機能が無い場合がある

このような場合、商用のデータベース監査システムが有用です。