PCI DSS 準拠のための隔離環境の作成
AWS クラウドでのコンプライアンス
「コンプライアンスレポートの作成」 でも説明したとおり、コンプライアンスにも責任共有モデルがあります。AWS は、AWS インフラストラクチャが複数の規制に準拠していることを証明するために必要なコンプライアンスレポートを提供します。一方で、お客様は、AWS 上にデプロイしたワークロードもその規制に準拠していることを監査人に証明する必要があります。
PCI DSS 準拠に関しては特に、PCI DSS 環境を他のワークロードから分離することが最も重要な推奨事項です。
AWS Audit Manager を利用すると PCI DSS、SOC、NIST 800-53 など複数の IT コントロールに関連している証拠収集を自動化します (サポート対象フレームワーク を参照)。サービスが、API の呼び出し、AWS CloudTrail、AWS Config ルール、Security Hub から収集できる情報と、手動で添付した証拠に基づいてレポートを作成できます。
PCI DSS 準拠
クレジットカード情報を扱うワークロードをデプロイするために、Payment Card Industry (PCI) Data Security Standard (DSS) に準拠する必要がある組織には、いくつかの追加要件があります。
共同責任モデルにおける AWS の責任である「クラウドの安全性」のコンプライアンス準拠を監査人に示すために、AWS Artifact の PCI DSS レポートを使用できます。
AWS Quickstart を使用して、PCI DSS 準拠の標準化されたアーキテクチャをデプロイすることもできます。
各要件に関するコンプライアンスの詳細情報は、AWS ホワイトペーパー「Payment Card Industry Data Security Standard (PCI DSS) v4.0 on AWS 」で確認できます。
PCI DSS を含む様々な基準とコンプライアンスプログラムで認証されたサービスの詳細なリストについては、「対象サービス」を参照してください。PCI DSS 準拠が必要なワークロードの場合、検証済みのサービスに限定する必要があります。幸い、PCI DSS の場合、大多数のサービスが対象となっています。
クラウドワークロードのコンプライアンスを達成するために、監査チームの推奨事項に加えて、以下のタスクを実行することをお勧めします:
-
スコープの制限:クレジットカードデータのフローがある部分を別のアカウントで分離することでより多く認証スコープを制限できれば、コンプライアンスの負担、リスク、資格情報が侵害された場合の影響範囲を減らすことができ、多くの面で良い実践となります。
-
AWS Security Hub で PCI DSS セキュリティ標準チェックを有効にします (セキュリティポスチャを強化するために CIS AWS Foundation と AWS 基本的ベストプラクティス標準も推奨されますが、PCI で要求されない推奨事項もあるかもしれません)。
-
抽象化/カプセル化されたサービスを使用して、PCI DSS レビューのスコープを縮小し、AWS が達成した認証にもっと依存します。
-
PCI ワークロードに関連するデータは全て暗号化します。AWS KMS を使用すると、自分で管理できる (ローテーション、無効化、削除) 独自の暗号化キーを持つことができ、これは監査人によってしばしば要求されます。AWS CloudHSM もこれらの要件を満たすことができます。
-
Amazon GuardDuty を有効にし、検出結果を確認します (侵入検知)。
-
Amazon GuardDuty S3 保護を有効にします (潜在的なデータ漏洩を検出するため)。
-
Amazon Macie を有効にして、潜在的な誤設定されたアクセスポリシーを検出し、クレジットカードデータがプライベートキー (AWS KMS) で暗号化されていることを確認します。
-
Amazon Macie を使用してデータ検出と分類ジョブを実行し、機密データが保存されていないことを監査人に示し、最小限の必要な特権 (最小権限) でアクセス制御を確保します。
-
AWS WAF などの Web アプリケーションファイアウォールをアプリケーションで使用します (これにより、インターネットに公開されているアプリケーションのペネトレーションテスト要件が削除されます)。年次トレーニングなど、他のセキュアな開発要件は引き続き必要です。
-
WAF (80/443) で保護された Web サービス以外のサービスを提供する場合は、ネットワーク侵入防止システムをデプロイすることをお勧めします。これには AWS Network Firewall を使用するか、AWS Marketplace に多数のソリューションがあります。
PCI DSS コンプライアンスと他のリソースに関する FAQ を掲載した専用のウェブサイトもあります。
AWS Professional services (ProServe) が提供するサービスの中に、クラウドワークロードを PCI DSS 要件に合わせるための「セキュリティ保証サービス」があります。このサービスは AWS セキュリティも認定された QSA によって提供されるため、監査人による最終レビューの準備を支援できます。サービスの利用方法については、AWS アカウントマネージャーにお問い合わせください。
クラウドワークロードを PCI DSS 準拠のために保護する方法については、常に PCI の専門家に相談することをお勧めします。