平成27年 春期 システム監査技術者 午前II 問21

PCIデータセキュリティ基準(PCI DSS Version 3.0)のセキュリティ要件から見て、適切なものはどれか。

 ア  管理者のアクセスログは取得するが、プライバシを考慮して、一般利用者のアクセスログは取得しない。
 イ  従業員によるネットワーク外部からのリモートアクセスを許可する場合、管理者以外の従業員は利用者IDとそのIDのパスワードだけの認証でよい。
 ウ  伝送中及び保存中のパスワードは、暗号化して解読不要にする。
 エ  利用されていない利用者IDの削除及び無効化は、1年に1回まとめて行う。


答え ウ


解説
PCI DSSの12の要件は以下になっています。

安全なネットワークの構築・維持
 要件1: データを保護するためにファイアウォールの導入をし、最適な設定を維持すること
 要件2: システムまたはソフトウェアの出荷時の初期設定値をそのまま利用しないこと
カード会員情報の保護
 要件3: 保存されたデータを安全に保護すること
 要件4: 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること
脆弱点を管理するプログラムの維持
 要件5: アンチウイルスソフトを利用し、定期的にソフトを更新すること
 要件6: 安全性の高いシステムとアプリケーションを開発し、保守すること
強固なアクセス制御手法の導入
 要件7: 業務目的別にデータアクセスを制限すること
 要件8: コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
 要件9: カード会員情報にアクセスする際、物理的なアクセスを制限すること
定期的なネットワークの監視およびテスト
 要件10: ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
 要件11: セキュリティシステムおよび有事の対応手順を定期的にテストすること
情報セキュリティポリシーの保有
 要件12: 情報セキュリティに関するポリシーを保持すること


キーワード
・PCIデータセキュリティ基準

キーワードの解説
  • PCIデータセキュリティ基準(Payment Card Industry Data Security Standard、PCI DSS)
    クレジットカード情報および取り引き情報を保護するために、JCB、AMEX、Discover、MasterCard、VISAの5社の国際ペイメント会社ブランド共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
    PCIDSSには、クレジットカード情報および取り引き情報を保護するために、“安全なネットワークの構築・維持”、“カード会員情報の保護”、“脆弱点を管理するプログラムの維持”、“強固なアクセス制御手法の導入”、“定期的なネットワークの監視およびテスト”、“情報セキュリティポリシーの保有”の分野で12要件が規定されています。

もっと、「PCI DSS」について調べてみよう。

戻る 一覧へ 次へ