クラウドのデスクトップ利用でPCI DSS準拠できるか

みなさんこんにちは。SECグループの 沖です。
最近クラウドのデスクトップ機能がPCI DSS準拠になったことを受けて、利用について検討してみました。

 

2017年の現時点、来年施行の改正割賦販売法およびその実施要領の位置づけである「実行計画」によって、クレジットカード情報の取扱い事業者の安全管理が義務化され、クレジットカード情報取扱安全基準であるPCI DSSの期限までの準拠、または相当のセキュリティ実現が求められている状況のため、多くの事業者でPCI DSS準拠計画が活発になっているようです。

 

思い返してみると、PCI DSSが日本で知られはじめた2010年ころは、コンプライアンス準拠を重視される一部の事業者がPCI DSSに先進的に取り組まれる状況でした。
当時、各事業者のシステムは、オンプレミスシステムのみでした。まだクラウド利用がめずらしい時代でしたし、最初にPCI DSS準拠を実現したAWSですらPCI DSS準拠年が2010年だったので、当時のPCI DSS対応の選択肢にクラウド利用はありませんでした。

 

その後、各クラウドベンダーは、多様なクラウドサービスを積極的にリリースし、後追いで各種サービスの PCI DSS準拠を進めてきています。
現状では各事業者がPCI DSS対応を計画する際に、システムの一部または全部でクラウドを利用する選択肢が普通のことになりつつありますが、注意すべきことがあります。PCI DSSと関係ないシステムなら気にする必要はありませんが、PCI DSS対応システムを設計するためには、注目しているサービスがPCI DSS準拠済みであることが大前提です。
あるサービスがPCI DSS準拠であるかどうかは、各クラウドベンダーが提供する準拠証明書か、コンプライアンス準拠状況の公開サイトで確認可能です。

 

ここでタイトルに戻って「クラウドデスクトップ利用」を考えてみます。
これまでクラウドベンダーのPCI DSS準拠はサーバやネットワーク等の基幹機能が先行し、デスクトップは後回しになっていましたが、最近AWSのAmazon WorkSpacesの準拠が公表されました。

AWS Adds 12 More Services to Its PCI DSS Compliance Program | AWS Security Blog
https://aws.amazon.com/jp/blogs/security/aws-adds-12-more-services-to-its-pci-dss-compliance-program/

 

システムのPCI DSS対応を考える際、Amazon WorkSpacesを選択できるようになりましたが、注意すべきことがあります。PCI DSS準拠済みのAmazon WorkSpacesを利用するだけで、利用側事業者がPCI DSS準拠と認められるわけではありません。
なぜなら、下記サイトの通り、AWSは責任共有モデルであるため、AWSが責任を持ってくれる範囲外は、利用者側責任でPCI DSS要求事項に対応する必要があります。

責任共有モデル – アマゾン ウェブ サービス (AWS)
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

 

たとえば、利用事業者がカード情報をクラウドのデスクトップに保存する場合、PCI DSS要件3に従って、保存データの読み取り不能化(暗号化)、および暗号鍵管理が必要ですが、これらはAWSの責任範囲外なので、ただクラウドデスクトップを使うだけではデータ暗号化はされません。しかし、幸いなことに、AWSにはそれを可能にする暗号化機能や暗号鍵管理機能が用意されているので、利用者が適切な設定と運用管理をすれば、PCI DSSを満たすことは可能です。

 

結局、「クラウドデスクトップを利用してPCI DSS準拠可能か?」という問いについては、責任範囲を正しく認識して、利用者責任になっているものについて適切なPCI DSS対応設計をすることで可能となります。

 

責任範囲を正しく理解するための詳細情報は、各クラウドベンダーから入手する必要があります。
たいていの場合、準拠証明書や責任範囲に関する資料が提供されます。

 

以上です。
PCI DSS対応におけるクラウド利用について、もやもや感が若干でも低減すれば幸いです。