• PCI DSS (本ページ)
• OWASP TOP 10
• CWE TOP 25

PCI DSS(Payment Card Industry Data Security Standard)は、国際的なクレジット カード会社が共同で策定した、カード会員データを取り扱う事業者が準拠すべきグローバルな基準です。
各カード会社は、カード加盟店や決済処理を代行するサービス会社などに対して、取引規模に応じて問診票による自己診断、外部機関による脆弱性スキャニング、認定審査機関による訪問審査を義務付けています。
さらに、PCI DSSは情報セキュリティ施策として、クレジットカード業界以外の一般の企業にも広がる動きを見せています。

PCI DSSには12の大きな要件があり、それぞれの要件がさらに詳しく細分化されています。12の要件は、ファイアウォールの構築から、安全なシステムの開発、セキュリティポリシーの整備までの広い範囲をカバーしています。

PCI DSS基準 安全なネットワークの構築と維持 要件 1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること 要件 2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないこと カード会員データの保護 要件 3: 保存されたカード会員データを保護すること 要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること 脆弱性管理プログラムの整備 要件 5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新すること 要件 6: 安全性の高いシステムとアプリケーションを開発し、保守すること 強固なアクセス制御手法の導入 要件 7: カード会員データへのアクセスを、業務上必要な範囲内に制限すること 要件 8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる。 要件 9: カード会員データへの物理アクセスを制限する。 ネットワークの定期的な監視およびテスト 要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する。

PCI DSSの策定団体であるPCI Security Standards CouncilのWebサイト(英文)

JtestのPCI DSSサポート

JtestはPCI DSS 要件 6:「安全性の高いシステムとアプリケーションを開発し、保守すること」の準拠に役立ちます。

• 要件6.5 すべてのWebアプリケーション（内部、外部、アプリケーションへのWeb管理アクセス）を、「Open Web Application Security Project Guide」などの安全なコーディングガイドラインに基づいて開発する。
  注: PCI DSS v1.2が発行されたときに6.5.1～6.5.10に挙げられている脆弱性は、現在OWASPガイドに掲載されている。ただし、OWASPガイドが更新されている場合、これらの要件には現在のバージョンを使用する必要がある。

• 6.5.1 クロスサイトスクリプティング（XSS)
• 6.5.2 インジェクションの不具合（特にSQLインジェクション）LDAPとXpathのインジェクションの不具合、その他のインジェクションの不具合も考慮する。
• 6.5.4 安全でないオブジェクトの直接参照
• 6.5.5 クロスサイトリクエスト偽造
• 6.5.6 情報漏洩と不適切なエラー処理
• 6.5.7 不完全な認証管理とセッション管理
• 6.5.8 安全でない暗号化保存
• 6.5.9 安全でない通信
• 6.5.10 URLアクセスの制限失敗

Jtestには、これらの脆弱性を検証するためのコンフィギュレーションがあらかじめ用意されています。

• PCI DSS 3.2 コンフィギュレーション
ルールのカスタマイズおよび新規作成機能により、新たに見つかった脆弱性パターンにも対応することができます。

ソフトウェア開発ライフサイクル全体を通じた情報セキュリティの確保
PCI DSSは、ソフトウェア開発ライフサイクル全体を通して情報セキュリティを実現すること(要件 6.3)を要求しています。
Jtestを使って定期的にセキュリティを検査することは、この要件の実装に役立ちます。
また、テストの自動化やテスト結果の集中管理を可能にするナイトリー システムを構築したり、Jtestを補完する他の製品やサービスを組み合わせて使用すると、さらに包括的なセキュリティ向上を実現できます。

※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。