〜6月30日以降、WAFの導入が必須要件へ〜
PCI DSS(Payment Card Industry Data Security Standard)とは、カード加盟店や決済代行事業者がお客様のカード情報、取引情報を安全に取り扱うために、国際カードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。 これまで、ISMS(情報セキュリティマネジメントシステム)に比べると知名度は高くありませんでしたが、ここへ来て本格的な取り組みが期待されています。
このような課題に対して、期待されているソリューションのひとつがWAF(Webアプリケーション・ファイアウォール)の導入です。
通信の暗号化やセキュリティパッチの更新の徹底など、PCI DSSは12の要件を定義しています。 特に要件6.6の「Webアプリケーションに対する既知の攻撃に対する防御」においては、これまで「推奨する」にとどまっていたものが、2008年6月 30日以降は「必須となり、WAF(Webアプリケーション・ファイアウォール)の導入が不可欠」に変わります。つまり何らかの形でカード決済に関わる処理を持つWebサイトにはWAFが必要になります。
Webアプリケーションの脆弱性を突いた攻撃に対する防御策として、セキュアプログラミングを徹底することや、定期的な脆弱性検査を行うことも有効な対策となります。しかし開発をほぼ外部委託している中で、セキュアプログラミングを徹底、維持していくコストは膨大なものになります。また、基幹系プログラムとは異なり、Webアプリケーションは日々追加や変更が生じます。変更のある都度検査を行うことも現実的とは言えません。
導入までの時間、運用負荷、維持管理などの総体的なコストの観点から、WAFの導入が最善のソリューションであることがお分かりいただけると思います。
トラフィック管理装置として高い評価を持つBIG-IPシリーズのWAF製品BIG-IP Application Security Managerは、Webサーバに対する悪意あるリクエストを排除し、サーバにある重要なカード関連情報の漏えいを防ぎます。簡単な基本設定を行うだけで、アプリケーションが潜在的に持つ脆弱性の90%以上は自動的に保護されます。
受付時間:9:30〜18:00
平日のみ受付ております。
