web-dev-qa-db-ja.com

パッチが適用されていないソフトウェアはPCI DSS 3.1に準拠していますか?

パッチが適用されていないソフトウェアがPCI DSS 3.1に準拠しているかどうかを確認するのに役立ちますか?

ソフトウェア開発者は脆弱性を修正するためのセキュリティパッチをすでにリリースしていますが、それを使用している組織はパッチを適用していません。

また、PCIガイドラインは、製品がEOL(エンドライフサイクル)であるためにサポートが利用できないソフトウェアについて何を述べていますか?

2
Mukesh

重大なバグについては、 PCI DSS 3.1クイックリファレンスガイド がこれを不明確な用語でカバーしていません:

6.2:該当するベンダー提供のセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアを既知の脆弱性から保護します。リリース後1か月以内に重要なセキュリティパッチをインストールします。

これは PCI DSS 3.2 (v3.1 PDFが見つかりませんでした)の公式ドキュメントに反映されており、まったく同じことを示しています。

6.2:ベンダー提供の適切なセキュリティパッチをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認します。リリース後1か月以内に重要なセキュリティパッチをインストールします。

注:重要なセキュリティパッチは、要件6.1で定義されたリスクランキングプロセスに従って特定する必要があります。

長い読みを保存するために、要件6.1のTL; DRは、ビジネス上の要因によって増幅された業界提供のCVSSスコアに基づいて重要度を測定する必要があることです。

より一般的に言えば、それらがPCIに違反しているかどうかの問題DSSが古くて脆弱なソフトウェアを実行している場合、QSAの決定に依存します。バグがマイナーである場合、そのような静的なコンテンツインジェクションの問題または軽微な情報開示として、QSAは、組織が問題を特定し、将来の解決のためにリスクレジスターに配置することを適切と見なす場合があります。ユーザーの操作)、QSAは、これをPCIの違反と見なす可能性がありますDSS彼らの裁量で。

EOLソフトウェアに関して、PCI DSSは具体的には言及していませんが、単に

すべてのシステムには、悪意のある個人や悪意のあるソフトウェアによるカード会員データの悪用や侵害から保護するための適切なソフトウェアパッチがすべて必要です。

これは、EOLソフトウェアの使用がカード会員データを扱う組織の責任になることを示しています。アプリケーションに脆弱性が見つかった場合、これを軽減するのは組織の責任です。これには、手動でアプリケーションにパッチを適用する(難しい、高価な)、セカンダリコントロールを提供する(アプリケーションをXenAppなどの隔離されたコンテナー環境に配置する)、またはソフトウェアを完全に置き換える必要がある場合があります。

詳細については、PCI DSSドキュメンテーションを自分で読むことをお勧めします。これは非常に長いドキュメントですが、懸念事項に該当するセクションにスキップすることができます。言語は非常に明確で、また、PCI DSSは、支払いカードデータの処理に関する賢明なセキュリティプラクティスを促進するために設計されたのみの標準であることに注意してください。独自の強力なセキュリティのレシピではないため、「PCI準拠」が必ずしも「安全」を意味するわけではありません。

6
Polynomial

場合によります

PCI DSSは、たとえば1か月以内に範囲内システムの重要なセキュリティパッチをインストールする必要がありますが、パッチ未適用またはEOLソフトウェアに関する一般的な質問は状況に大きく依存します。特定の状況では、組織が本当にそれを望み、適切な措置を講じている場合は可能です。

まず、組織は、PCI DSSコンプライアンスの対象外であるすべてのシステムでパッチを適用されていない/ EOLソフトウェアを使用できます。これは、正常な構成ではほとんどのシステムになります。

PCI DSS要件(これは少数で隔離されている必要があります)の範囲内にあるシステムの場合、実際のP​​CI DSS要件は、あなたのシステムは安全ですあなた自身のビジネスの優先順位に従って。たとえば、「重要またはリスクのあるシステムのセキュリティパッチが30日以内にインストールされ、他のリスクの低いパッチがインストールされるように、パッチのインストールを優先することを検討してください。 2〜3か月以内にインストールされました。」

したがって、一般的には、組織が次のことを行う可能性があります。(a)これらの脆弱性の特定のリスクに関する知識と評価。 (b)それらを(独自のリスクポリシーに従って)重要ではないと評価し、(c)これらのパッチをまだ適用しないことを選択した。これは準拠しているかどうかに関係なく、詳細は非常に重要です。

PCI DSSは、関連するソフトウェアの脆弱性を監視し、その影響を軽減するように行動する必要がありますが、一般的にhowを選択することが可能です。パッチを適用し、バージョンをアップグレードし、 EOLソフトウェアを放棄することが唯一の方法ではありません。一般に、パッチやバージョンのアップグレードを行わなくても脆弱性を軽減する他の方法があります。たとえば、特定の脆弱性が特定のサービスの有効化または特定のリモートアクセスの可能性に依存している場合、他の理由でバージョンのアップグレードが望ましくない場合は、バージョンのアップグレードではなく、これらの条件を回避することにより、状況を緩和します。

1
Peteris