PCI DSS に重要な変更が加えられました。
クレジットカード業界データセキュリティ基準 (PCI DSS: Payment Card Industry Data Security Standard) において、2025年3月31日以降、いくつかの要件が改訂され、従来は「ベストプラクティス」とされていた項目の多くが正式な要件として義務化されました。これらの変更は、サイバー攻撃がますます巧妙化・頻発化する中で、クレジットカード情報の取り扱いをより安全にすることを目的としています。
クレジットカード情報を取り扱う組織が3月31日以降も PCI DSS コンプライアンス規制に対応するためには、新たに追加・改訂されたすべての要件を満たしていることを確認する必要があります。
重要な変更点:WAF の導入が必須に
主な変更点の一つは、セクション6.4「公開 Web アプリケーションは攻撃から保護されていること」に関してです。特に、要件6.4.2が要件6.4.1に取って代わり、新しい要件では次のように記載されています:
「公開 Web アプリケーションに対しては、Web ベースの攻撃を継続的に検知・防御する [ソリューション] が導入されている必要がある。公開 Web アプリケーションの前段に、すべてのトラフィックをチェックするためにオンプレミスまたはクラウドベースで配置された Web アプリケーションファイアウォール (WAF) は、Web ベースの攻撃を検知・防御する [ソリューション] の例である。」
これは、2025年3月31日まで有効だった旧要件と比べて大きな変更です。旧要件では、WAF の導入に代わる選択肢が認められていました:
「公開 Web アプリケーションを、手動または自動のアプリケーション脆弱性評価ツールや手法を用いて評価すること... 少なくとも12か月ごとに1回...」
旧要件が認める代替案は、多くの組織にとって、WAF という新たなセキュリティ機器の購入・導入・運用トレーニングを行うよりも、迅速かつ低コストで対応できる方法でした。しかし、新たに改定された要件では、「コードの検査による対応」という選択肢が廃止され、WAF などのソリューションの使用が義務化されることとなりました。
Progress® Kemp® LoadMaster® ソリューションは、オンプレミスおよびクラウド環境の両方で利用可能な WAF 機能を標準搭載しており、この新たな要件を満たすことができます。
WAF とは何か、なぜ重要なのか?
WAF は、現代の多層防御戦略における重要なセキュリティレイヤの一つであり、以下のような役割を果たします:
- Web サイト、Web アプリケーション、API に対して追加の防御層を提供
- HTTP(S) トラフィックを検査し、悪意のある可能性のある通信を事前にブロック
- Web サービスが攻撃者にとって狙いやすい "低リスクの標的" とならないように保護
インターネットに公開されている、またはミッションクリティカルな Web アプリケーションには、WAF による保護が不可欠です。特に、金融情報や機密情報を扱うアプリケーションにおいては、WAF の導入は極めて重要です。なぜなら、セキュリティ保護に失敗すると、多額の制裁金、規制当局による調査、事業継続性の困難といった深刻な問題を引き起こす可能性があるからです。
LoadMaster ソリューションの機能
LoadMaster ソリューションは、業界標準の OWASP 技術に基づいた WAF 機能を標準搭載しており、Web アプリケーションを、クロスサイトスクリプティング (XSS)、SQL インジェクション、HTTP プロトコル攻撃など、様々な攻撃から保護するのに役立ちます。
LoadMaster は柔軟性が高く、迅速に導入でき、直感的な Web ユーザーインターフェースを通じて簡単に設定できます。主要なハイパーバイザーに対応しており、大手パブリッククラウド上でも利用可能、またハードウェアアプライアンスとしても提供されています。つまり、アプリケーションのインフラがどこにあっても、LoadMaster ロードバランサーを簡単に導入し、セキュリティ保護を実施することができます。
LoadMaster のロードバランサーは、単なる WAF 機能にとどまらず、高機能なアプリケーション配信コントローラー (ADC) としての機能も備えています。アプリケーションの高可用性、耐障害性、スケーラビリティを実現し、セキュリティとパフォーマンスの両面からシステムを支援します。
使いやすい WAF: LoadMaster 360 との統合による WAF の強化
Progress® LoadMaster® 360 は、WAF の設定をさらに簡単にするために、ダッシュボードやメトリクスを備えた最新の SaaS 型サービスを提供しています。LoadMaster WAF のパフォーマンスに関する統計情報を一目で把握することができます。さらに、複数の拠点、国、地域にまたがる多数の LoadMaster ロードバランサーを一元管理することも容易になります。
強化された WAF 機能には、業界をリードするスマートフィルターが含まれており、数千行に及ぶログ出力を解析し、セキュリティ担当者の対応が必要な重要なログアラートをハイライトします。これで WAF の運用が大幅に効率化されます。さらに、LoadMaster 360 に搭載された誤検知チューニングツールと組み合わせることで、Web サービスやアプリケーションの前段に配置された WAF を、簡単かつ迅速にチューニングすることができます。
まとめ
PCI DSS の最新の変更に関して、対応が難しいと感じる企業は多いかもしれませんが、LoadMaster ソリューションを導入することで、重要な変更点である WAF 導入のコンプライアンス要件を満たすことができます。LoadMaster は、セキュリティだけではなくパフォーマンス向上にも大きく貢献します。
LoadMaster ロードバランサーは柔軟性が高く、様々なプラットフォームで利用可能で、オンプレミス、パブリッククラウド、またはその混在環境であっても、ビジネスアプリケーションに一貫性のあるかたちで対応することができます。
LoadMaster は無料で試用することができます。こちらから、LoadMaster の30日間の無料トライアルをお試しください。 WAF や負荷分散、高機能アプリケーション配信コントローラーに関してご質問がお有りの場合は、お気軽にお問い合わせください。
