PCI DSS 4.0と要件6.4.2への準拠

Visa、MasterCard、American Express などの主要なクレジットカード会社は、カード所有者のデータを保護するために Payment Card Industry Data Security Standard (PCI DSS) を策定しました。PCI DSS は、データ入力から保存、送信まで、そのライフサイクル全体を通じてペイメントカード情報を保護するための包括的なフレームワークを提供し、ペイメントカードを受け入れたり処理したりするすべての組織に影響を与えます。

PCI Security Standards Council は、2022年3月31日、バージョン4.0を発表し、その要件の大部分が2025年3月25日に有効となります。更新されたバージョンは、アカウントデータを保護し、以前のバージョン (3.2.1) で特定された脆弱な点を補強するための追加の技術的および運用上の要件が導入されています。要件6.4.2により基準が大幅に更新され、一部の組織はアプリケーションセキュリティを強化するために技術の導入を求められることになりました

PCI DSS 4.0 要件6.4.2とは

要件 6.4.2 は、標準の以前のバージョンにおける要件 6.6 を更新しています（画像 1）。

同基準のバージョン3.2.1では、Web アプリケーションファイアウォール (WAF) の使用が推奨され、ペネトレーションテストが認められていました。しかし、新バージョンでは2025年3月25日までに PCI DSS に準拠する必要がある組織はすべて、一般公開されている Web アプリケーションの前面に攻撃を検出してブロックできる WAF を配置することが義務付けられました。

要件6.4.2により、まだ導入されていない場合は WAF に追加の予算配分が必要となりますが、導入が容易ではない従来型の WAF ベンダーを選んだ場合、WAF の購入による影響がさらに広がる可能性があります。他の WAF では、DevSecOps チームが頻繁に誤検知をトリアージし、何千ものルールを調整しながらインサイトを抽出しようと試みる必要があるため、人員とリソースを増やす予算を確保しなければならない可能性が高くなります。しかし一番の問題は、多くの従来型の WAF が正当なトラフィックをブロックしたり、アプリケーションに不具合を生じさせたりすることで知られ、組織の収益や評判に悪影響をもたらしていることです。

WAF の使用を中断している組織が使用を再開する場合や、初めて WAF を導入する組織にとって、Fastly の Next-Gen WAF は要件 6.4.2 を満たすためのソリューションとして理想的です。

Fastly Next Gen WAF で要件6.4.2の課題を解決

要件6.4.2では、Fastly の Next-Gen WAF によって容易にクリアできる4つの最低要件が示されています。

Fastly の Next-Gen WAF は6.4.2の最低要件をクリアし、アプリケーションや API、マイクロサービスを保護する高度な Web アプリケーション/API 保護 (WAAP) ソリューションを提供します。Next-Gen WAF は、OWASP トップ10に含まれるインジェクションスタイルの Web 攻撃からの保護 (監査人が確認する最低限の要件) に止まらず、クレデンシャルスタッフィングによるアカウント乗っ取り (ATO) や悪意のあるボット、API の不正使用などの高度な脅威にも対応できる単一の統合型ソリューションです。

要件6.4.2への準拠に備えて WAF を導入する組織は、Next-Gen WAF を採用することで、柔軟性と精度が高く、使いやすいアプリケーション・セキュリティ・ソリューションにシームレスに移行できます。

要件6.4.2に対応する柔軟な WAF を手に入れましょう

先進的な組織は柔軟性を要する複雑なテクノロジースタックを運用している一方、多くの従来型の WAF ベンダーの製品は画一的なアプローチを講じがちです。他のベンダーの製品は独自のニーズに合わせてカスタマイズするのが困難ですが、Next-Gen WAF は場所を問わず、ユーザーのニーズに合わせられます。ほぼすべての環境にデプロイ可能なうえ、人気の高い多数の DevOps ツールやセキュリティツールに統合し、独自のセキュリティニーズに合わせてカスタマイズできます。他の WAF の場合、組織は特定のアーキテクチャの要件下でしかデプロイできませんが、Next-Gen WAF ではその優れた柔軟性により、DevSecOps のパイプラインにサイロを生み出すことなくあらゆるスタックに統合することが可能です。

要件6.4.2に対応する柔軟な WAF を手に入れましょう

不要な手間がかからず、高度な保護を提供する WAF を求めるセキュリティチームは Fastly を採用しています。Next-Gen WAF 独自の SmartParse テクノロジーによって非常に精度の高い判断が可能なため、他のソリューションに比べて誤検知が少なくて済みます。Next-Gen WAF による検出は非常に精度が高く、運用に必要な内部リソースはごくわずかです。これは、お客様の約90%¹が完全にブロックモードで Next-Gen WAF を使用している主な理由のひとつです (業界平均はさらに低いです)。他の WAF ではトラフィックに悪影響が発生し、セキュリティ担当者は頻繁に誤検知のトリアージやチューニングに時間を費やす必要があります。一方、精度の高い Next-Gen WAF の場合、組織は少ないリソースでアラートをトリアージし、ビジネスの成長を促す重要な取り組みにより多くの時間を割くことができます。

要件 6.4.2 に対応する使いやすい WAF を入手してください

WAF の購入は、要件6.4.2に準拠するための最初のステップであり、この選択はセキュリティチームに長期的な影響をもたらします。他の従来型 WAF は、セキュリチームによる管理とチューニングが必要な何千ものルールを使用して脅威の検出とブロックを行いますが、Fastly の Next-Gen WAF ではまったく異なるアプローチが採用されています。

他の従来型 WAF のように手のかかる正規表現を使用してブロックする代わりに、Fastly の Next-Gen WAF では SmartParse を利用してシグナルを割り当てています。FAKE

シグナルは攻撃の種類に関して明確なガイダンスを提供します。また、Fastly の直感的に操作できるツールと連携し、アラート機能やブロック機能を通じて攻撃に積極的に対処するのに役立ちます。組織は、シグナルと Fastly のしきい値ベースのブロック手法を併用してブロックの決定が正当なトラフィックに影響を及ぼす可能性を抑えることができます。従来とは異なるこの手法により、将来的に即時ブロックに移行する前に Next-Gen WAF の判断力を信頼し、ブロックモードに移行することができます。他の WAF ではブロックの決定を確認することが困難なため、気づかずに正当なトラフィックに影響する可能性がありますが、Next-Gen WAF ではインサイトやツールを活用して正当なトラフィックに影響を及ぼすことなく組織を保護することが可能です。

要件6.4.2およびそれ以降に適した選択をする

Fastly の Next-Gen WAF は、6.4.2などの新しい4.0要件に準拠するために WAF を導入する組織にとって明確な選択肢であり、既存の6.4.1や6.3.3の要件の解決にも役立ちます。その堅牢な機能と使いやすさにより、組織は専門知識やリソースに関係なく、アプリ、API、マイクロサービスを簡単に保護できます。Fastly が PCI DSS 要件をどのように解決できるのか、デモをご覧になりたい方、または詳細をお知りになりたい方は、お問い合わせください。

¹ : 約90%のお客様がフルブロックモードで Fastly Next-Gen WAF を使用