BLOG

ボットに対する防御はPCI-DSS準拠の推進にも役立つ

Edward O'Connell サムネール
Edward O'Connell
Published September 18, 2023

自動化ツールや漏洩した認証情報を容易に利用できるようになり、金銭目的のアプリケーション攻撃が非常に簡単になったことで、サイバー犯罪は拡大してきました。また、今後も拡大し続けます。これを受け、コンプライアンスと信頼を確保するために業界や政府のセキュリティ規格が強化されています。このような業界が主導するセキュリティ規格の一例として、v4要件がリリースされたPayment Card Industry Data Security Standard(PCI-DSS)があります。このリリースの目的の1つは、クライアント側のセキュリティに対する全体的な保護の枠組みを更新することです。

PCI-DSSは、決済事業者とサービスプロバイダーが相互に信頼および保護できるようにする重要な規格です。高まりつつある電子取引ニーズに対応するため、さまざまな加盟店やサービスプロバイダーは、アプリケーションをクラウドベースのインフラストラクチャに移行して、スケーラブルで低遅延の運用を確保しています。PCI-DSS準拠規格は、加盟店やサービスプロバイダーが決済処理に使用するインフラストラクチャに関係なく、すべての電子取引に適用されます。PCI-DSSは、ネットワークセキュリティ、データ暗号化および管理を対象としていますが、自動化された攻撃からアプリケーション(およびデータ)を保護することは対象としていません。

クラウドベースのアプリケーションとデータを自動化された(または手動による)攻撃から保護するために、決済事業者と加盟店は、サードパーティのセキュリティサービスプロバイダーを利用して、アプリケーションとデータの分散型保護を実現しています。SaaSセキュリティベンダーのPCI-DSS認証は、決済カード発行会社が準拠を維持し、接続および取引している他のベンダーから信頼されるために不可欠です。Security-as-a-ServiceベンダーがPCI-DSSに準拠していないと、決済カード発行会社は、準拠と継続的な信頼を維持、または決済処理のために接続するサードパーティ組織にこれらを証明することが非常に難しくなります。

PCI-DSS用語集によると、サービスプロバイダーは、他の事業体に代わってカード会員データの処理、保管または送信に直接関与する、決済ブランドではない事業体を意味します。これには、カード会員データのセキュリ ティを管理するサービス、またはこのようなセキュリティに影響する可能性のあるサービスを提供する企業も含まれます。たとえば、マネージドファイアウォールや侵入検知システムなどのサービスを提供するマネージドサービスプロバイダー、およびホスティングプロバイダーやその他の事業体も含まれます。

F5 Distributed Cloud(XC)Bot Defenseは、自動化された攻撃からアプリケーションを保護し、サービスプロバイダーとしてPCI-DSS準拠要件を満たすSaaSソリューションです。F5 XC Bot Defenseは、自動化された攻撃に対するセキュリティを決済カード発行会社や、世界中の金融サービス、小売、eコマース、ヘルスケア、政府機関などの幅広い業界に提供します。

F5は、サービスプロバイダーとしてPCI-DSS準拠要件を満たしていることが良くわかる例として、以下のPCI要件の厳守(ポリシー、運用、文書化)が挙げられます。

1.3 カード会員データ環境へのネットワークアクセスおよびカード会員データ環境からのネットワークアクセス が制限されている。

1.3.1 Cカード会員データ環境(CDE)への着信トラフィックは、以下のように制限される。

⦁ 必要なトラフィックのみにする。
⦁ それ以外のトラフィックは明確に拒否される。

1.3.2 カード会員データ環境(CDE)からの発信トラフィックは、以下のように制限される。

⦁ 必要なトラフィックのみにする。
⦁ それ以外のトラフィックは明確に拒否される。

 

1.4.1 NSC を、信頼できるネットワークと信頼できないネットワークの間で実装する。

1.4.2 信頼できないネットワークから信頼できるネットワークへの着信トラフィックは、以下に制限される。

⦁ 一般に公開されたサービス、プロトコル、ポートを提供することが許可されているシステムコンポーネントとの通信。
⦁ 信頼できるネットワーク内のシステムコンポーネントによって開始された通信に対するステートフルな応答。
⦁ その他のトラフィックはすべて拒否。

1.4.3 偽造された送信元 IP アドレスが信頼できるネットワークに侵入するのを検知しブロックするためにスプーフィング対策を実施する。

PCI-DSSサービスプロバイダーとして、F5は、PCI-DSS要件を満たすだけでなく、これらに基づいて分散アプリケーションおよびデータを、迅速に拡大(または、あるいは)変異する可能性のある自動化された攻撃から、俊敏に保護することが求められます。

F5 Distributed Cloud Bot Defenseは、アプリケーションとデータを攻撃から守りながら、PCI-DSS準拠プロセスを効率化します。詳しくは、こちらをご覧ください。

新しいPCI DSS v4.0要件はブラウザベースの攻撃に対応
App ShieldでPCIモバイルセキュリティの準拠要件に応える
F5 Distributed Cloud Bot Defense

F5について

F5はより優れたデジタル世界の実現に取り組む、マルチクラウド・アプリケーション・サービスおよびセキュリティ会社です。F5は、世界最大かつ最先端の組織と提携し、オンプレ・クラウド・エッジなどの場所を問わず、あらゆるアプリとAPIの最適化およびセキュリティの確保を実現します。F5により、これらの組織は顧客に卓越したセキュアなデジタル体験を提供すると共に、常に新たな脅威に対応します。F5やパートナ企業、テクノロジに関する詳細は以下のリンクをご参照ください

免責事項
「F5」はアメリカ合衆国やその他の国のF5 Networks, Inc.のトレードマーク、サービスマーク、及びトレードネームです。記載されたその他すべての商品名や企業名はそれぞれの企業が所有権を有する商標である可能性があります。

将来の見通しに関する事項
本書はイベントや財政業績に関した将来予想に関する記述を含んでいる可能性があり、リスクや不確定要素による影響を伴うことがあります。そのような記述は「可能性がある」「していくだろう」「予想される」「計画する」「期待する」「信じる」「推定する」「予測する」「潜在的な」「続ける」もしくはそれらの否定形や比較級で記されています。このような記述は予想に過ぎず、証券取引委員会に提出する財務諸表や公的文書から確認される多くの要因に基づき、記述内の予想と実際の結果とは異なる可能性があります。