title | emoji | type | topics | published | published_at | ||
---|---|---|---|---|---|---|---|
PCI DSS on AWSのまとめ(要件3) |
💳 |
tech |
|
true |
2024-04-24 10:07 |
PCI DSS v4.0 on AWS Compliance Guideで挙げられているAWSサービスとその活用例をまとめます。
この記事では、要件3の「保存されたアカウントデータの保護」について扱います。
:::details 他の要件についての記事 要件1 ネットワークセキュリティコントロールの導入と維持 要件2 すべてのシステムコンポーネントにセキュアな設定を適用する 要件3 保存されたアカウントデータの保護 要件4 オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する 要件5 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する 要件6 安全なシステムおよびソフトウェアの開発と維持 要件7 システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲によって制限する 要件8 ユーザーの識別とシステムコンポーネントへのアクセスの認証要件9 カード会 員データへの物理アクセスを制限する 要件9 カード会 員データへの物理アクセスを制限する 要件10 システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること 要件11 システムおよび ネットワークのセキュリティを定期的にテストする 要件12 組織の方針とプログラムによって情報セキュリティをサポートする :::
- DynamoDB TTL機能で、アイテムごとにTTLを設定し、一定時間後に自動で削除する
- TTL切れによる自動削除時は書き込みキャパシティユニットを消費しない
- KMSでPANを暗号化して保存する
- CMKを作成する
- CMKにアクセスできるIAMユーザーやロールを制限する
- CMKでPANを暗号化してRDS, S3等に保存する
- KMSで鍵を保護/管理する
- KMS鍵は全てのライフサイクルがKMS内で完結する
フルマネージドなNoSQLデータベース。 書き込み/読み込みの性能をキャパシティユニットで設定できる。1WCU(Write Capacity Unit): 1秒間に1KBのデータを書き込み可能(RCU: Read Capacity Unitも同様) スループットをあげるためにはキャパシティユニットを大きくする。もしくはオンデマンドで利用分だけ料金を払う。
TTLが有効になっているテーブルのアイテムは、指定の時間が経過すると自動で削除される。期限切れセッションデータの削除等で使われることが多い。 削除時はキャパシティユニットを消費しない。
暗号化鍵の作成、管理をサポートするサービス。 Customer Master Key(CMK)でデータの暗号化/復号化を行う。CMKはAWS管理かユーザー管理かを選べる。
CMKの使用についてIAMロールやポリシーを設定することで細かいアクセスコントロールが可能。
CMKを定期的に自動で更新してくれる。ローテーション後のCMKは過去の鍵の情報も保持しているため、古い鍵で暗号化したデータも複合化できる。 選択できるローテーション期間はAWS管理かユーザー管理かで異なる。
暗号化鍵の作成、管理をサポートするサービス。 KMSとの大きな違いは鍵の管理を行うハードウェアを専有するところ(KMSは複数アカウントで同じ物理ハードウェアを利用する)。