次の方法で共有

Microsoft Entra ID と PCI-DSS の要件 6

  • [アーティクル]

要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
定義されたアプローチの要件

6.1 セキュリティで保護されたシステムとソフトウェアを開発および維持するためのプロセスとメカニズムが定義され、理解されている。

PCI-DSS で定義されたアプローチの要件 Microsoft Entra のガイダンスとレコメンデーション
6.1.1 要件 6 で特定されるすべてのセキュリティ ポリシーと運用手順は次のとおり:
文書化されている
最新の状態に維持されている
使用中
すべての関係者に通知されている		 ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。
6.1.2 要件 6 のアクティビティを実行するための役割と責任が文書化され、割り当てられ、理解されている。 ここで示しているガイダンスとリンクを使用してドキュメントを作成し、お使いの環境の構成に基づいた要件を満たします。

6.2 パッケージおよびカスタム ソフトウェアが安全に開発されている。

PCI-DSS で定義されたアプローチの要件 Microsoft Entra のガイダンスとレコメンデーション
6.2.1 パッケージおよびカスタム ソフトウェアが、次のように安全に開発されている。
業界標準や安全な開発のためのベスト プラクティスに基づく。
PCI-DSS に準拠する (たとえば、セキュリティで保護された認証およびログ記録)。
ソフトウェア開発ライフサイクルの各段階における情報セキュリティの問題に関する考慮事項を組み込む。		 Microsoft Entra ID と統合される OAuth2 や OpenID Connect (OIDC) などの最新の認証プロトコルを使用するアプリケーションを調達および開発します。
Microsoft ID プラットフォームを使用してソフトウェアを構築します。 Microsoft ID プラットフォームのベスト プラクティスと推奨事項
6.2.2 パッケージおよびカスタム ソフトウェアに取り組むソフトウェア開発担当者は、少なくとも 12 か月に 1 回、次のようにトレーニングされる。
職務および開発言語に関連するソフトウェア セキュリティについて。
セキュリティで保護されたソフトウェア設計とセキュリティで保護されたコーディング手法を含む。
セキュリティ テスト ツールを使用する場合は、ソフトウェアの脆弱性を検出するためのツールの使用方法も含まれる。		 次の試験を使用して、Microsoft ID プラットフォームで能力証明を提供します。試験 MS-600: Microsoft 365 Core Services を使用したアプリケーションとソリューションの構築 試験の準備には、次のトレーニングを使用します。MS-600: Microsoft ID の実装
6.2.3 パッケージおよびカスタム ソフトウェアは、運用環境または顧客にリリースされる前にレビューされ、次のように潜在的なコーディングの脆弱性を特定して修正する。
コード レビューによって、セキュリティで保護されたコーディング ガイドラインに従ってコードが開発されていることを確認する。
コード レビューでは、既存のソフトウェアと新しいソフトウェアの両方の脆弱性が検出される。
リリース前に適切な修正を実装する。		 Microsoft Entra ID には適用されません。
6.2.3.1 運用環境にリリースされる前に、パッケージおよびカスタム ソフトウェアに対して手動コード レビューが実行される場合、コードの変更は次のように確認される。
コード レビュー手法とセキュリティで保護されたコーディング プラクティスに精通している、元のコード作成者以外の個人によってレビューされる。
リリースする前に管理者が確認し承認する。		 Microsoft Entra ID には適用されません。
6.2.4 ソフトウェア エンジニアリング手法またはその他の方法は、ソフトウェア開発担当者によって定義され、パッケージおよびカスタム ソフトウェアの一般的なソフトウェア攻撃および関連脆弱性を防止または軽減するために使用される。これには次のものが含まれるが、これらに限定されない。
SQL、LDAP、XPath、またはその他のコマンド、パラメーター、オブジェクト、障害、またはインジェクション タイプの欠陥を含むインジェクション攻撃。
バッファー、ポインター、入力データ、または共有データを操作しようとする試みを含む、データとデータ構造に対する攻撃。
脆弱、安全でない、または不適切な暗号化実装、アルゴリズム、暗号スイート、または操作モードを悪用しようとする試みを含む、暗号化の使用に対する攻撃。
API、通信プロトコルとチャネル、クライアント側の機能、またはその他のシステム/アプリケーション機能やリソースを操作してアプリケーションの機能を悪用またはバイパスしようとする試みを含む、ビジネス ロジックに対する攻撃。 これには、クロスサイト スクリプティング (XSS) とクロスサイト リクエスト フォージェリ (CSRF) が含まれる。
アクセス制御メカニズムに対する攻撃 (識別、認証、認可メカニズムのバイパスまたは不正使用の試み、そのようなメカニズムの実装における弱点の悪用の試みなど)。
要件 6.3.1 の定義に従った脆弱性の特定プロセスで特定される "高リスクの" 脆弱性を使用する攻撃。		 Microsoft Entra ID には適用されません。

6.3 セキュリティの脆弱性が特定され、対応が行われる。

PCI-DSS で定義されたアプローチの要件 Microsoft Entra のガイダンスとレコメンデーション
6.3.1 セキュリティの脆弱性は次のように特定され、管理される。
新しいセキュリティの脆弱性は、国際的および国/地域のコンピューター緊急対応チーム (CERT) からのアラートを含む、セキュリティの脆弱性情報に関する業界で認識されたソースを使用して特定される。
脆弱性には、業界のベスト プラクティスと潜在的な影響の考慮に基づいてリスク格付けが割り当てられる。
リスク格付けでは、少なくとも、環境に高リスクまたは重大と考えられるすべての脆弱性が特定される。
パッケージおよびカスタム ソフトウェア、サードパーティ製ソフトウェア (オペレーティング システムやデータベースなど) の脆弱性について説明する。		 脆弱性について説明します。 MSRC | セキュリティの更新、セキュリティ更新プログラム ガイド
6.3.2 パッケージおよびカスタム ソフトウェアのインベントリ、パッケージおよびカスタム ソフトウェアに組み込まれたサードパーティ製ソフトウェア コンポーネントは、脆弱性とパッチ管理を容易にするために維持される。 インベントリの認証に Microsoft Entra ID を使用してアプリケーションのレポートを生成します。 applicationSignInDetailedSummary リソースの種類
エンタープライズ アプリケーションに一覧表示されるアプリケーション
6.3.3 すべてのシステム コンポーネントは、適用可能なセキュリティ パッチ/更新プログラムを次のようにインストールすることで、既知の脆弱性から保護される。
重大または高セキュリティのパッチ/更新プログラム (要件 6.3.1 のリスク格付けプロセスに従って識別) は、リリースから 1 か月以内にインストールされる。
その他の適用可能なセキュリティ パッチ/更新プログラムはすべて、エンティティによって決定された適切な期間内 (リリースから 3 か月以内など) にインストールされる。		 Microsoft Entra ID には適用されません。

6.4 一般向けの Web アプリケーションが攻撃から保護されている。

PCI-DSS で定義されたアプローチの要件 Microsoft Entra のガイダンスとレコメンデーション
6.4.1 一般向け Web アプリケーションの場合、次のように、新しい脅威と脆弱性が継続的に対処され、これらのアプリケーションは既知の攻撃から保護される。手動または自動化されたアプリケーション脆弱性セキュリティ評価ツールまたはメソッドを使用した一般向け Web アプリケーションのレビューを次のように行う。
– 少なくとも 12 か月に 1 回、および大幅な変更後。
– アプリケーションのセキュリティに特化したエンティティによる。
– 少なくとも、要件 6.2.4 のすべての一般的なソフトウェア攻撃を含める。
– すべての脆弱性が要件 6.3.1 に従って格付けされる。
– すべての脆弱性が修正される。
– アプリケーションは修正後に再評価される。
または
次のように、Web ベースの攻撃を継続的に検出して防止する自動化された技術ソリューションをインストールする。
– Web ベースの攻撃を検出して防止するために、一般向け Web アプリケーションの前にインストールされる。
– アクティブに実行され、該当する最新の状態である。
– 監査ログの生成。
– Web ベースの攻撃をブロックするか、直ちに調査されるアラートを生成するように構成されている。		 Microsoft Entra ID には適用されません。
6.4.2 一般向け Web アプリケーションの場合、Web ベースの攻撃を継続的に検出して防止する自動化された技術ソリューションがデプロイされ、少なくとも次のことが含まれる。
一般向け Web アプリケーションの前にインストールされ、Web ベースの攻撃を検出して防止するように構成されている。
アクティブに実行され、該当する最新の状態である。
監査ログの生成。
Web ベースの攻撃をブロックするか、直ちに調査されるアラートを生成するように構成されている。		 Microsoft Entra ID には適用されません。
6.4.3 コンシューマーのブラウザーで読み込まれて実行されるすべての支払ページ スクリプトは、次のように管理される。
各スクリプトが認可されていることを確認するメソッドが実装されている。
メソッドは、各スクリプトの整合性を確保するために実装される。
すべてのスクリプトのインベントリは、それぞれが必要な理由に関する正当な理由の記述と共に維持される。		 Microsoft Entra ID には適用されません。

6.5 すべてのシステム コンポーネントに対する変更が安全に管理されている。

PCI-DSS で定義されたアプローチの要件 Microsoft Entra のガイダンスとレコメンデーション
6.5.1 運用環境のすべてのシステム コンポーネントに対する変更は、以下のものを含む確立された手順に従って行われる。
変更の理由と説明。
セキュリティへの影響に関するドキュメント。
認可者による変更の承認書。
変更がシステムのセキュリティに悪影響を与えないことを確認するためのテスト。
パッケージおよびカスタム ソフトウェアの変更については、運用環境にデプロイする前に、要件 6.2.4 への準拠についてすべての更新プログラムがテストされる。
エラーに対処し、セキュリティで保護された状態に戻す手順。		 変更制御プロセスに Microsoft Entra 構成の変更を含めます。
6.5.2 重大な変更が完了したら、該当するすべての PCI-DSS 要件が、すべての新しいまたは変更されたシステムおよびネットワークに実装されていることを確認し、適切にドキュメントを更新する。 Microsoft Entra ID には適用されません。
6.5.3 運用前環境は運用環境から分離され、分離はアクセス制御によって適用される。 組織の要件に基づいて、運用前環境と運用環境を分離するためのアプローチ。 シングル テナントでのリソースの分離
複数のテナントでのリソースの分離
6.5.4 ロールと機能は、運用環境と運用前環境の間で分離され、レビューおよび承認された変更のみがデプロイされるように説明責任を果たす。 特権ロールと専用の運用前テナントについて説明します。 Microsoft Entra ロールのベスト プラクティス
6.5.5 ライブ PAN は、環境が CDE に含まれ、該当するすべての PCI-DSS 要件に従って保護されている場合を除き、運用前環境では使用されない。 Microsoft Entra ID には適用されません。
6.5.6 テスト データとテスト アカウントは、システムが運用環境に移行する前にシステム コンポーネントから削除される。 Microsoft Entra ID には適用されません。

次のステップ

PCI-DSS 要件 34912 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。

PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。