第9回：PCI DSSにおけるWiSASの役割

連載企画 ＜第 9 回:PCI DSS における WiSAS の役割＞ 第９回となる今回のテーマは、「PCI DSS における WiSAS の役割」です。 PCI DSS はクレジットカード会社が中心となって定めた国際的なセキュリティ基準で、カード加 盟店、銀行、決済代行などを行うサービス・プロバイダーが準拠する必要があり、対象企業はク レジット、決済代行、銀行、加盟店、航空、鉄道、流通、通信、携帯電話、新聞社など、その 範囲は広範にわたります。（関連:割賦販売法） 参考:https://www.jcdsc.org/pci_dss.php （日本カード情報セキュリティ協議会） その中の Wi-Fi セキュリティ対応要件 11 の概略は、【ワイヤレス AP を特定監視し、許可およ び未許可の両方を管理・識別する必要がある】とされており、【下記のテスト/検出/識別を、「少 なくとも」３か月に１度行うこと】と定義されています。 ＜主要な項目＞ １、外部・内部の脆弱性を定期的に特定 ２、既知の AP リストを定義し、接続状況の把握（リスト外のデバイス接続の脅威） ３、なりすまし AP 等への接続状況の監視 ４、企業が Wi-Fi 機器使用を禁止している場合でも必須 ５、自動監視を使用する場合、アラート通知が必要

現在、一般的な外部 AP 検査としてウォークスルー検査があります。3 か月に一度の外部 AP 検査だけでも PCI DSS 準拠は可能ですが、セキュリティ対策としては意味を成しません。WiFi 領域の攻撃手法は WiSAS 製品資料内に記載しておりますが、外部内部に関わらず多種 多様で、特に Wi-Fi を悪用した攻撃は神出⿁没なため検査日に出現するとは限らないからで す。某企業ではその検査日を社外秘扱いにしているとか。リスクを認識しているにも関わらず、準 拠することが目的と化している典型です。本来の目的はセキュリティの確保であるはず、「少なくと も」の意味を脅威の本質から考えてほしいものです。 当社が提供する WiSAS は、上記の課題や問題点をすべて解決します。WiSAS は、Wi-Fi の常時監視により安全な状態を 24 時間 365 日維持することを可能にします。 WiSAS はフルマネージドサービスのため、運用も簡単です。もし、危険度の高い脅威が発見さ れた場合にはリアルタイムでアラート通知もしてくれるので迅速なインシデント対応が可能となりま す。参考までに、ウォークスルー検査と WiSAS の比較表をご覧ください。 ☆★問い合わせ先 ☆★ 株式会社スプライン・ネットワーク WiSAS 事業部（ワイサス事業部） 〒150-0034 東京都渋谷区代官山町 1-8 SYLA DAIKANYAMA 6 階 e-mail:[email protected] Tel:03-5464-5468