ブログ

ボットに対する防御は PCI-DSS コンプライアンスの推進にも役立つはずです

エドワード・オコンネル サムネイル
エドワード・オコンネル
2023年9月18日公開

簡単に入手できる自動化ツールや盗まれた資格情報によって、利益を目的としたアプリケーション攻撃が非常に簡単になり、サイバー犯罪は増加しており、今後も増加し続けるでしょう。 その結果、コンプライアンスと信頼を確保するために、業界と政府のセキュリティ基準が強化されました。 このような業界のセキュリティ標準の一例として、v4 要件がリリースされたPayment Card Industry Data Security Standard (PCI-DSS)があります。 このリリースの目標の 1 つは、クライアント側のセキュリティの全体的な保護スキーマを更新することです。

PCI-DSS は、決済処理業者とサービスプロバイダーが相互に信頼し、保護できるようにする重要な標準です。 電子取引の増大するニーズに対応するため、さまざまな商人やサービス プロバイダーが、スケーラブルで低遅延の運用を確保するために、アプリケーションをクラウドベースのインフラストラクチャに移行しています。 PCI-DSS コンプライアンス標準は、販売業者やサービス プロバイダーが支払い処理に使用するインフラストラクチャに関係なく、すべての電子取引に適用されます。 PCI-DSS はネットワーク セキュリティ、データ暗号化、および管理をカバーしていますが、自動化された攻撃からアプリケーション (およびデータ) を保護することについては触れていません。

クラウドベースのアプリケーションとデータを自動(または手動)攻撃から保護するために、決済処理業者と販売業者は、アプリケーションとデータの分散保護を提供するためにサードパーティのセキュリティ サービス プロバイダーに依存しています。 SaaS セキュリティ ベンダーの PCI-DSS 認定は、支払い発行者が接続して取引を行う他のベンダーのコンプライアンスと信頼を維持するために不可欠です。 PCI-DSS に準拠していない Security-as-a-Service ベンダーの場合、決済発行者が決済処理のために接続しているサードパーティ組織とのコンプライアンスと継続的な信頼を維持または証明することが非常に困難になります。

PCI-DSS 用語集によると、サービス プロバイダーとは、別のエンティティに代わってカード所有者データの処理、保管、または送信に直接関与する決済ブランドではない事業体です。 これには、カード所有者データのセキュリティを管理したり、影響を与える可能性のあるサービスを提供する企業も含まれます。 例としては、マネージド ファイアウォール、侵入検知システム、その他のサービスを提供するマネージド サービス プロバイダーや、ホスティング プロバイダーなどのエンティティが挙げられます。

F5 Distributed Cloud (XC) Bot Defense は、自動化された攻撃からアプリケーションを保護し、サービス プロバイダーとしてPCI-DSS コンプライアンス要件を満たすSaaS ソリューションです。 F5 XC Bot Defense は、世界中の金融サービス、小売、電子商取引、医療、政府などの幅広い業界における自動攻撃に対する支払い発行者などのセキュリティを提供します。

サービス プロバイダーとしての F5 が PCI-DSS コンプライアンス要件を満たすことができる良い例として、以下に示す PCI 要件への厳格な準拠 (ポリシー、運用、ドキュメント) が挙げられます。

1.3 カード所有者データ環境 (CDE) との間のネットワーク アクセスは制限されています。

1.3.1 CDE への受信トラフィックは次のように制限されます。

  • 必要なトラフィックのみを伝送します。
  • その他のすべてのトラフィックは明示的に拒否されます。

1.3.2 CDE からの送信トラフィックは次のように制限されます。

  • 必要なトラフィックのみを伝送します。
  • その他のすべてのトラフィックは明示的に拒否されます。

1.4.1 NSC は信頼できるネットワークと信頼できないネットワークの間に実装されます。

1.4.2 信頼できないネットワークから信頼できるネットワークへの受信トラフィックは、次のように制限されます。

  • パブリックにアクセス可能なサービス、プロトコル、およびポートを提供することが許可されているシステム コンポーネントとの通信。
  • 信頼できるネットワーク内のシステム コンポーネントによって開始された通信に対するステートフル応答。
  • その他のトラフィックはすべて拒否されます。

1.4.3 なりすまし防止対策が実装されており、偽造された送信元 IP アドレスが信頼できるネットワークに侵入するのを検出してブロックします。

PCI-DSS サービス プロバイダーとして、F5 は PCI-DSS 要件を満たすだけでなく、その要件に基づいて、急速に拡大したり変化したりする可能性のある自動化された攻撃から分散アプリケーションとデータを容易に保護する必要があります。

F5 Distributed Cloud Bot Defense がアプリケーションとデータを攻撃から保護するだけでなく、PCI-DSS コンプライアンス プロセスを効率化する方法の詳細については、以下をご覧ください。