ブログ

F5 で AWS 環境を PCI DSS v4.0.1 に準拠させる

デイヴ・モリッシーのサムネイル
デイブ・モリッシー
2025年5月14日公開

最新のカード決済セキュリティ要件に備えていますか? 2025 年 3 月 31 日以降、組織は PCI DSS v4.0.1 に準拠する必要があります。これは、いくつかのセキュリティのベスト プラクティスを推奨から必須に変更した、Payment Card Industry Data Security Standard の更新です。 バージョン 4.0.1 以降、継続的なセキュリティ、強化された認証、脆弱性、マルウェア、フィッシングに対する保護に関する新しい要件が登場しました。

AWS は、多くのサービスでレベル 1 サービスプロバイダー PCI DSS コンプライアンスを維持し、基盤となるインフラストラクチャ、ネットワーク、ソフトウェアコンポーネントを保護しています。 ただし、AWS 共有責任モデルでは、AWS 上のアプリケーションとデータのセキュリティ保護は組織が責任を負います。 PCI DSS に完全に準拠するには、アプリとデータに対して追加のセキュリティ対策を実装する必要がある場合があります。

更新されたセキュリティ要件への対応

PCI DSS v4.0.1 以降では、次のセキュリティ強化が必須になりました。

Web アプリケーションと API の保護: PCI DSS v4.0.1 では、すべての公開 Web アプリケーションと API に対する継続的な保護が義務付けられており、攻撃を検出し、防止し、アラートを生成するソリューションが求められています。 また、API やサードパーティ コンポーネントを含むカスタム ソフトウェアの脆弱性スキャンとインベントリの維持も求められます (要件 6.2.4、6.3.2、および 6.4.2)。

強化された認証: 機密性の高い決済データへの不正アクセスを防止するため、カード所有者データを保存、処理、または送信するすべてのコンポーネントを含むカード所有者データ環境 (CDE) へのすべてのアクセスに多要素認証 (MFA) が必須になりました (要件 8.4.2)。

セキュリティ制御の監視と障害検出: 組織は、侵入検知/防止システムやマルウェア対策ソリューションを含む重要なセキュリティ制御システムの障害を速やかに検出し、対処する必要があります (要件 10.7)。

包括的な脆弱性管理: ソフトウェア サプライ チェーンの奥深くに存在する脆弱性であっても、悪用される可能性のある脆弱性を特定するために、公開されているすべてのアプリケーションとシステムに対して定期的かつ徹底的な脆弱性スキャンを実行する必要があります (要件 11.3.1)。

AWS に F5 ソリューションを追加して、PCI DSS を完全にカバーしましょう

AWS と同様に、F5 もレベル 1 サービス プロバイダーとして PCI DSS に準拠したサービスを提供しています。 F5 ソリューションは、AWS での PCI DSS v4.0.1 コンプライアンスに必要な追加のセキュリティ機能を提供します。

F5 Distributed Cloud WAFF5 BIG-IP Advanced WAF は、アプリケーション トラフィックを検査し、OWASP Top 10 の脅威、レイヤー 7 分散型サービス拒否 (DDoS) 攻撃、悪意のあるボットをブロックする包括的なアプリケーション セキュリティを提供します。 F5 の WAF ソリューションは、オンプレミス、AWS、複数のクラウドなど、アプリケーションの場所に関係なく、あらゆるアプリケーションの前に導入できます。

F5 マネージドルール for AWS WAF は、 AWS WAF の保護機能を強化する、事前設定されたセキュリティ ルールセットを提供します。 継続的に更新されるこの保護により、OWASP トップ 10 の脅威、悪意のあるボット、API レベルの攻撃、その他の脆弱性から保護されます。

F5 分散クラウド API セキュリティは、異常や潜在的な攻撃を検出するための動作分析による継続的な監視など、API を検出して保護します。

F5 BIG-IP アクセス ポリシー マネージャーは、 MFA を使用してカード所有者データ環境 (CDE) に到達するゼロ トラスト アプリケーション アクセスを可能にします。 転送中のカード所有者データを保護し、要件を満たす安全なアクセスを強化します。

F5 BIG-IP SSL Orchestrator は、 AWS 環境に流入するトラフィックを復号化し、セキュリティ スタックに誘導して脅威を検出します。 セキュリティ ソリューションの健全性を監視し、セキュリティ制御が失敗した場合に問題を迅速に軽減して、意図しないトラフィックのバイパスを防止します。

F5 分散クラウド Web アプリケーション スキャンは、外部の攻撃対象領域を継続的にスキャンし、公開されているアプリケーションと API を明らかにします。 自動化された侵入テストを通じて、ソフトウェア サプライ チェーンの奥深くにある潜在的に悪用される可能性のある脆弱性を特定します。

F5でセキュリティとコンプライアンスを効率化

F5 ソリューションを AWS セキュリティ制御と併せて実装することで、次のことが可能になります。

  • PCI DSS 要件の包括的なカバレッジ、監査ログ、レポートによりコンプライアンスを簡素化します。
  • 高度な脅威検出と防止により、データ侵害のリスクを軽減します。
  • ハイブリッドまたはマルチクラウド環境全体で一貫性を保つために、セキュリティ体制を統合します。

10 年以上のパートナーシップに基づき、F5 と AWS は連携してクラウドでのアプリケーション配信とセキュリティを簡素化しています。 F5 ソリューションは AWS Marketplace から入手でき、機密性の高い支払いカードデータに完全な保護を簡単に追加できます。 詳細については、F5 on AWS の Web ページをご覧ください。