第9回となる今回のテーマは、「PCI DSSにおけるWiSASの役割」です。
PCI DSSはクレジットカード会社が中心となって定めた国際的なセキュリティ基準で、カード加盟店、銀行、決済代行などを行うサービス・プロバイダーが準拠する必要があり、対象企業はクレジット、決済代行、銀行、加盟店、航空、鉄道、流通、通信、携帯電話、新聞社など、その範囲は広範にわたります。(関連:割賦販売法)
参考:https://www.jcdsc.org/pci_dss.php (日本カード情報セキュリティ協議会)
その中のWi-Fiセキュリティ対応要件11の概略は、【ワイヤレスAPを特定監視し、許可および未許可の両方を管理・識別する必要がある】とされており、【下記のテスト/検出/識別を、「少なくとも」3か月に1度行うこと】と定義されています。
<主要な項目>
1、外部・内部の脆弱性を定期的に特定
2、既知のAPリストを定義し、接続状況の把握(リスト外のデバイス接続の脅威)
3、なりすましAP等への接続状況の監視
4、企業がWi-Fi機器使用を禁止している場合でも必須
5、自動監視を使用する場合、アラート通知が必要
現在、一般的な外部AP検査としてウォークスルー検査があります。3か月に一度の外部AP検査だけでもPCI DSS準拠は可能ですが、セキュリティ対策としては意味を成しません。Wi-Fi領域の攻撃手法はWiSAS製品資料内に記載しておりますが、外部内部に関わらず多種多様で、特にWi-Fiを悪用した攻撃は神出鬼没なため検査日に出現するとは限らないからです。
某企業ではその検査日を社外秘扱いにしているとか。リスクを認識しているにも関わらず、準拠することが目的と化している典型です。本来の目的はセキュリティの確保であるはず、「少なくとも」の意味を脅威の本質から考えてほしいものです。
当社が提供するWiSASは、上記の課題や問題点をすべて解決します。
WiSASは、Wi-Fiの常時監視により安全な状態を24時間365日維持することを可能にします。
WiSASはフルマネージドサービスのため、運用も簡単です。もし、危険度の高い脅威が発見された場合にはリアルタイムでアラート通知もしてくれるので迅速なインシデント対応が可能となります。参考までに、ウォークスルー検査とWiSASの比較表をご覧ください。