このトピックでは、PCIDSS データセキュリティ標準コンプライアンスパッケージの背景情報、シナリオ、およびデフォルトルールについて説明します。
背景情報
Payment Card Industry Data Security Standard (PCI DSS) は、カード所有者が支払いカードのデータセキュリティを向上させるために支払いカード業界で使用されているデータセキュリティ標準です。支払いカード組織は、この標準を使用して、グローバルに一貫したデータセキュリティ対策を提供しています。この標準は、カード所有者のデータと運用ベースラインを保護するための一連のテクノロジーを提供します。
PCI DSS V4.0 ベースラインに基づいて、テンプレートから作成されたコンプライアンスパッケージは、アカウントデータを保護し、クラウドリソースの使用状況と管理に基づいて具体的な提案とコンプライアンスチェックを提供できます。
PCI DSS の詳細については、公式の PCI DSS Web サイト にアクセスしてください。
シナリオ
PCIDSS データセキュリティ標準コンプライアンスパッケージは、金融業界やデータセキュリティに対する要件が高い企業に適しています。
ルール
コンプライアンスパッケー ジテンプレートは、共通のフレームワークを提供します。このテンプレートを使用すると、特定のビジネスシナリオでの要件を満たすコンプライアンスパッケージを効率的に作成できます。ルールを使用してリソースが準拠していると評価された場合、そのリソースはルールのコンプライアンス要件のみを満たしています。リソースは、法的または規制上の要件、または業界標準に準拠していない可能性があります。
ルール名 | 説明 |
Web Application Firewall (WAF) によって保護されている各ドメイン名でログ収集機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 VPC (仮想プライベートクラウド) でフローログ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
API Gateway の API グループが各カスタムドメイン名にバインドされており、ドメイン名が WAF に追加されているかどうかを確認します。追加されている場合、評価結果は「準拠」です。 | |
WAF によって保護されている各ドメイン名で、指定された保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各セキュリティグループのインバウンド権限付与ポリシーが「許可」に設定されており、ポート範囲が -1/-1 に設定されているか、承認済み IP アドレスが 0.0.0.0/0 に設定されているか、または優先順位の高い権限付与ポリシーが構成されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」です。 | |
各セキュリティグループの IP アドレスホワイトリストに 0.0.0.0/0 が追加され、高リスクポートが無効になっているかどうかを確認します。無効になっている場合、評価結果は「準拠」です。セキュリティグループの IP アドレスホワイトリストに 0.0.0.0/0 が追加されていない場合、高リスクポートが無効になっているかどうかに関係なく、評価結果は「準拠」です。優先順位の高い権限付与ポリシーによって高リスクポートが拒否されている場合、評価結果は「準拠」です。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」です。 | |
インバウンドルールの「承認オブジェクト」パラメータが 0.0.0.0/0 に設定されている場合、セキュリティグループの各インバウンドルールで、指定された範囲のポートからのアクセスのみが許可されているかどうかを確認します。許可されている場合、評価結果は「準拠」です。セキュリティグループがクラウドサービスまたは仮想ネットワーク事業者によって使用されている場合、評価結果は「該当なし」です。 | |
「バケット ACL」パラメータが「パブリック読み取り/書き込み」に設定されている各 Object Storage Service (OSS) バケットにバケットポリシーが構成されており、権限付与ポリシーで匿名アカウントに読み取りまたは書き込み権限が付与されていないかどうかを確認します。付与されていない場合、評価結果は「準拠」です。このルールは、「バケット ACL」パラメータが「プライベート」に設定されている OSS バケットには適用されません。 | |
各 ECS インスタンスにパブリック IPv4 アドレスまたは EIP が指定されているかどうかを確認します。指定されていない場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS インスタンスでインターネットアクセスが有効になっており、ホワイトリストに 0.0.0.0/0 CIDR ブロックが追加されているかどうかを確認します。追加されている場合、評価結果は「非準拠」です。 | |
各 PolarDB インスタンスでインターネットアクセスが有効になっており、任意のインターネットアクセスが許可されているかどうかを確認します。許可されている場合、評価結果は「非準拠」です。 | |
Cloud Firewall の各アセットで保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。このルールは、Cloud Firewall サービスを購入したユーザーにのみ適用されます。サービスを購入していないユーザーまたは無料で使用しているユーザーの場合、評価結果は「準拠」です。 | |
各 ECS インスタンスに Security Center エージェントがインストールされているかどうかを確認します。インストールされている場合、評価結果は「準拠」です。Security Center エージェントは、ECS インスタンスのセキュリティ保護に役立ちます。このルールは、実行されていない ECS インスタンスには適用されません。 | |
Enterprise Edition 以降のエディションの Security Center が使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 | |
ECS インスタンスで、Security Center によって指定されたタイプまたは指定されたレベルの未修正の脆弱性が検出されたかどうかを確認します。このルールは、実行されていない ECS インスタンスには適用されません。 | |
SQL エクスプローラと監査機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
ActionTrail にアクティブな証跡が存在し、すべてのリージョンで生成されたすべてのタイプのイベントが追跡されているかどうかを確認します。追跡されている場合、評価結果は「準拠」です。各リソースディレクトリの管理者がすべてのメンバーアカウントに適用される証跡を作成した場合も、評価結果は「準拠」です。 | |
各 ApsaraDB RDS for MySQL インスタンスで SQL エクスプローラと監査機能が有効になっているかどうか、および SQL 監査ログを保持できる日数が指定された日数以上であるかどうかを確認します。保持されている場合、評価結果は「準拠」です。デフォルト値: 180。 | |
ECS インスタンスの自動スナップショットが指定された日数以上の期間保持されているかどうかを確認します。保持されている場合、評価結果は「準拠」です。デフォルト値: 7。 | |
各 PolarDB クラスタのレベル 1 バックアップの保持期間が指定された日数以上であるかどうかを確認します。保持されている場合、評価結果は「準拠」です。デフォルト値: 7。 | |
各 PolarDB クラスタのデータセキュリティ設定で透過的データ暗号化 (TDE) 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
Key Management Service (KMS) シークレットの自動回転機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
KMS のカスタマーマスターキー (CMK) の自動回転機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 KMS CMK で削除保護機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 OSS バケットのデータの暗号化にカスタム KMS キーが使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS インスタンスで TDE を有効にするためにカスタムキーが使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 | |
各 ApsaraDB for Redis インスタンスで TDE を有効にするためにカスタムキーが使用されているかどうかを確認します。使用されている場合、評価結果は「準拠」です。 | |
Alibaba Cloud CDN によって高速化された各ドメイン名で HTTPS 暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
API Gateway でインターネットアクセスを許可する各 API のリクエストメソッドが HTTPS に設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。内部アクセスのみを許可する API の場合、評価結果は「該当なし」です。 | |
各 Elasticsearch インスタンスで HTTPS が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 OSS バケットのバケットポリシーで、HTTPS 経由の読み取りおよび書き込み操作が許可され、HTTP 経由のアクセスが拒否されているかどうかを確認します。拒否されている場合、評価結果は「準拠」です。バケットポリシーのない OSS バケットの場合、評価結果は「該当なし」です。 | |
各サーバーロードバランス (SLB) インスタンスの HTTPS リスナーが、指定されたセキュリティポリシースイートバージョンを使用しているかどうかを確認します。使用している場合、評価結果は「準拠」です。HTTPS リスナーのない SLB インスタンスの場合、評価結果は「該当なし」です。 | |
各 Function Compute 関数がカスタムドメイン名にバインドされており、関数で HTTPS が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
現在のアカウントに属する各 ECS インスタンスに Security Center エージェントがインストールされているかどうかを確認します。インストールされている場合、評価結果は「準拠」です。 | |
Security Center コンソールで、指定されたレベルのリスクの脆弱性スキャンが構成されているかどうかを確認します。構成されている場合、評価結果は「準拠」です。 | |
Security Center の各通知項目に通知方法が指定されているかどうかを確認します。指定されている場合、評価結果は「準拠」です。 | |
各 RDS インスタンスのメンテナンス期間が、指定された時間範囲のいずれかと一致するかどうかを確認します。一致する場合、評価結果は「準拠」です。ビジネスのピーク時間とメンテナンス期間が重複する場合、ビジネスに影響を与える可能性があります。 | |
各 PolarDB クラスタのメンテナンス期間が、指定された時間範囲のいずれかと一致するかどうかを確認します。一致する場合、評価結果は「準拠」です。ビジネスのピーク時間とメンテナンス期間が重複する場合、ビジネスに影響を与える可能性があります。 | |
指定された条件を満たし、指定されたユーザーグループから継承された権限を含むポリシーが各 RAM ユーザーにアタッチされているかどうかを確認します。アタッチされていない場合、評価結果は「準拠」です。RAM ユーザーが管理者権限を持っている場合、評価結果は「非準拠」です。 | |
各 RAM ユーザー、RAM ユーザーグループ、および RAM ロールの リソース パラメーターと アクション パラメーターの両方が * に設定されているかどうかを確認します。設定されていない場合、評価結果は「準拠」です。両方のパラメーターが * に設定されている場合、ID はスーパー管理者権限を持ちます。 | |
各 RAM ユーザーの AccessKey ペアが作成された時刻が、チェック時刻の指定された日数より前であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 90。 | |
各 RAM ユーザーが RAM ユーザーグループに属しているかどうかを確認します。属している場合、評価結果は「準拠」です。 | |
各 RAM ユーザーに対して、コンソールアクセスと API アクセスのいずれかの機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 Alibaba Cloud アカウントに対して AccessKey ペアが作成されているかどうかを確認します。作成されていない場合、評価結果は「準拠」です。 | |
各 RAM ユーザーに対してシングルサインオン (SSO) 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 RAM ユーザーの AccessKey ペアが使用された時刻が、現在の日付の指定された日数より前であるかどうかを確認します。そうである場合、評価結果は「準拠」です。デフォルト値: 90。 | |
各 RAM ユーザーが過去 90 日以内にログオンしたかどうかを確認します。ログオンした場合、評価結果は「準拠」です。RAM ユーザーが過去 90 日以内に更新された場合、RAM ユーザーが最近ログオンしたかどうかに関係なく、評価結果は「準拠」です。コンソールアクセス権のない RAM ユーザーの場合、評価結果は「該当なし」です。 | |
各ポリシーが少なくとも 1 つの RAM ユーザーグループ、RAM ロール、または RAM ユーザーにアタッチされているかどうかを確認します。アタッチされている場合、評価結果は「準拠」です。 | |
各 RAM ユーザーグループに少なくとも 1 人の RAM ユーザーが含まれているかどうかを確認します。含まれている場合、評価結果は「準拠」です。 | |
各 RAM ユーザーに構成されているパスワードポリシーの設定が指定された値を満たしているかどうかを確認します。満たしている場合、評価結果は「準拠」です。 | |
現在の Alibaba Cloud アカウントに対して多要素認証 (MFA) が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
コンソールアクセス機能が有効になっている各 RAM ユーザーのログオン設定で MFA が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
Security Center コンソールで、漏洩した AccessKey ペアが検出されたかどうかを確認します。検出されていない場合、評価結果は「準拠」です。 | |
各 PolarDB クラスタに対して SQL 監査機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS インスタンスに対してログバックアップ機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。ログバックアップが無効になっている場合、失われたローカルログは復元できません。 | |
NAS ファイルシステムごとにバックアッププランが作成されているかどうかを確認します。作成されている場合、評価結果は「準拠」です。 | |
各 PolarDB クラスタのレベル 1 バックアップの保持期間が指定された日数以上であるかどうかを確認します。保持されている場合、評価結果は「準拠」です。デフォルト値: 30。ログバックアップが有効になっていない場合、またはバックアップの保持期間が指定された日数よりも短い場合、評価結果は「非準拠」です。 | |
各 OSS バケットに対してゾーン冗長ストレージ (ZRS) 機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。ZRS 機能が無効になっている場合、OSS はデータセンターが使用できなくなったときに一貫したサービスを提供し、データの復旧を保証することができません。 | |
ログサービスの各ログストアに対してデータの暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 OSS バケットのサーバ側暗号化機能の「暗号化方法」パラメータが「OSS マネージド」に設定されているかどうかを確認します。設定されている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS インスタンスに対してイベント履歴機能が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 PolarDB クラスタの | |
各 ECS インスタンスのオペレーティングシステムの名前が指定されたホワイトリストに表示されるか、指定されたブラックリストに表示されないかを確認します。表示される場合、または表示されない場合、評価結果は「準拠」です。企業は、企業内でオペレーティングシステムのバージョンを標準化し、セキュリティの脆弱性を防ぐために、メンテナンスされなくなったオペレーティングシステムを適時にアップグレードできます。 | |
実行中の各 ECS インスタンスに CloudMonitor エージェントがインストールされており、エージェントが想定どおりに実行されているかどうかを確認します。実行されている場合、評価結果は「準拠」です。このルールは、実行されていない ECS インスタンスには適用されません。 | |
指定された名前空間の各 Alibaba Cloud サービスに対して、CloudMonitor コンソールに少なくとも 1 つのアラートルールが構成されているかどうかを確認します。構成されている場合、評価結果は「準拠」です。 | |
各 ECS インスタンスに対してディスクの暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 | |
各 ApsaraDB RDS インスタンスに対してディスクの暗号化が有効になっているかどうかを確認します。有効になっている場合、評価結果は「準拠」です。 |