新しい PCI DSS 向け Azure Blueprints でコンプライアンス対応がさらに容易に

2019年6月27日 に投稿済み

General Manager, Azure Global

このたび、重要なコンプライアンス標準への対応を支援する Azure Blueprints の第 2 弾として、PCI-DSS v3.2.1 向けブループリントをリリースしました。この新しいブループリントは、クレジット カード業界 (PCI) のデータ セキュリティ基準 (DSS) に準拠するための一連の基本ポリシーと Azure にデプロイされているアーキテクチャをマッピングするものです。これを利用することで、小売企業などは Azure インフラストラクチャに組み込みのコンプライアンス機能を持つ環境をすばやく構築できるようになります。

Azure Blueprints は無料のサービスであり、これを利用して、標準、パターン、要件を実装および遵守した反復可能な一連の Azure リソースを定義することができます。拡張可能な管理された Azure 環境をセットアップできるため、運用環境の実装を大規模に移行できます。

Azure Blueprints の構成画面

Azure がこのような強力なプラットフォームになった理由の 1 つが Azure Blueprints です。Azure は 91 件もの幅広い多様なコンプライアンス認定を取得しているプラットフォームであり、世界で最も厳格なセキュリティおよびコンプライアンス標準をもとに構築されています。また、物理データセンター、インフラストラクチャ、運用の全体にわたり、マイクロソフトの多層セキュリティが備わっています。Azure は、小売、医療、政府機関、金融、教育、製造、メディアなどの各種業界向けのコンプライアンス認定も 50 以上取得しており、特定のコンプライアンス ニーズにも対応しています。

どの組織においても、ISO 27001、FedRAMP、SOC を始めとする、さまざまな規制や標準に準拠することがますます重視されており、コンプライアンス標準へのコントロール マッピングを作成することが、Azure Blueprints の自然な用途となっています。Azure のお客様の中でも、特に規制の厳しい業界のお客様は、コンプライアンス対応の負担を軽減するために、コンプライアンス ブループリントを活用することに高い関心を持たれています。マイクロソフトは 3 月に、仮想ネットワークやポリシーなどの基本的な一連の Azure インフラストラクチャを特定の ISO コントロールにマッピングする、ISO 27001 共有サービス ブループリントのサンプルを発表しました。

PCI DSS は、クレジット カード データの管理強化を通じて詐欺を防止するために策定された世界的な情報セキュリティ基準であり、クレジット カードでの支払いを承諾している企業は、5 つの主要ブランドのカードで支払いを受けるにあたって PCI DSS に準拠する必要があります。また、支払いデータとカード名義人データを保存、処理、送信する組織においても、PCI DSS への準拠が求められます。

PCI DSS v3.2.1 ブループリントでは、以下の重要な PCI DSS コントロールがマッピングされます。

  • 職務分掌。サブスクリプション所有者の権限を管理します。
  • ネットワークおよびネットワーク サービスへのアクセス。Azure リソースにアクセスするユーザーを管理するために、ロールベースのアクセス制御 (RBAC) を実装します。
  • ユーザーの秘密認証情報の管理。多要素認証が有効になっていないアカウントを監査します。
  • ユーザー アクセス権の確認。優先的に確認する必要のあるアカウント (非推奨のアカウント、管理者特権のアクセス許可を持つ外部アカウントなど) を監査します。
  • アクセス権の削除や調整。サブスクリプションの所有者権限を持つ非推奨アカウントを監査します。
  • ログオン手順の安全性確保。多要素認証が有効になっていないアカウントを監査します。
  • パスワード管理システム。強力なパスワードを強制適用します。
  • 暗号化コントロールの使用に関するポリシー。特定の暗号化コントロールを適用し、脆弱な暗号化設定の使用を監査します。
  • イベントと操作のログ。診断ログによって、Azure リソース内で実行された操作を把握します。
  • 管理者とオペレーターのログ。システム イベントの記録を徹底します。
  • 技術的脆弱性の管理。未実行のシステム更新、オペレーティング システムの脆弱性、SQL の脆弱性、仮想マシンの脆弱性を Azure Security Center で監視します。
  • ネットワーク制御。ネットワークを管理、制御し、寛容なルールが適用されているネットワーク セキュリティ グループを監視します。
  • 情報転送のポリシーと手順。Azure サービスとの情報転送の安全を確保します。

マイクロソフトは、お客様に Azure を安全かつコンプライアンスに準拠した形で活用していただけるよう支援しています。今後は、HITRUST、英国国民保険サービス (NHS) の情報ガバナンス (IG) ツールキット、FedRAMP、Center for Internet Security (CIS) ベンチマーク向けの新しい組み込みブループリントを数か月にわたってリリースしていく予定です。早期プレビューへの参加については、こちらのフォーム (英語) からお申し込みください。コンプライアンス ブループリントのご提案は、Azure Governance のフィードバック フォーラム (英語) までお寄せください。

Azure PCI-DSS v3.2.1 ブループリントの詳細は、ドキュメント サイトでご確認いただけます。