Proofpoint のソリューションを使った PCI DSS への適合

電子メールセキュリティ、情報漏洩防止、暗号化ソリューション

PCI DSS 準拠への課題

PCI DSS と電子メールセキュリティの両方に対応しなければならないことは、企業のコンプライアンス責任者、監査担当者、システム管理者にとって大きな問題です。カード会員データは、クレジットカード取扱企業のシステムから、電子メールシステムのようなアプリケーションを経由してネットワーク上を移動します。こういった移動は、情報漏洩のリスクを高め、移動の過程で外部の犯罪者に情報が渡る危険があります。情報の漏洩は PCI DSS への準拠違反を意味し、顧客との訴訟、カード会社への高額の罰金、ブランドの毀損などを引き起こすことがあります。情報漏洩を起こすと、システムの修正や度重なる監査への対応で、システム管理部門のパフォーマンスにも重大な影響を及ぼします。さらに、企業は PCI DSS への準拠という観点からだけでなく、電子メールセキュリティの問題に取り組まなければなりません。インバウンドの電子メールに係るウイルスやスパムなどは、企業の生産性やセキュリティに悪影響を及ぼすからです。

Proofpoint のソリューション

Proofpoint では、PCI DSS への準拠のために、全世界で豊富な導入実績を持つソリューションを用意しています。これらのソリューションは単一のプラットフォーム上で動作します。

• 情報漏洩防止 (DLP): 電子メール (SMTP)、Web アクセス (HTML)、ファイル転送 (FTP) などの様々な通信経路を通じたアウトバウンド通信の内容を監視
• 電子メールセキュリティ: インバウンドの電子メールとともに入り込むスパム、ウイルスを検知して防御

これらのソリューションは4種類のアプライアンスのどれにでも搭載可能で、Proofpoint Attack Response Center (PARC) の研究と組み合わせて使えば、タイムリーで正確なアンチスパム、ゼロアワーアンチウイルスなどを実現できます。

Proofpoint Solution Platform

Proofpoint の情報漏洩防止機能

PCI DSS の要件 4.2 では、カード会員データを、暗号化していない電子メールで送信することを禁じています。 Proofpoint のソリューションは、ネットワーク上の通信を監視し、カード会員データなどを検出すると、そのメールを強制的に暗号化したり、送信を停止したり、処理を保留して管理者の指示を待つなどの対応を行います。同時にこれらのポリシー違反について管理者およびエンドユーザに通知し、インシデント、違反者リスト、違反の傾向などについてのレポートを作成します。すべてのプロセスは、 Proofpoint の統合されたポリシー管理画面を使って、シンプルかつ容易に管理することができます。

監視: どこで違反が起きているか

PCI DSS では、電子メールを情報漏洩リスクの高い通信経路と位置づけており、カード会員データの漏洩を防ぐために、常に監視することを求めています。 Proofpoint では、この要件に適合し、さらに高いセキュリティを実現するため、SMTP だけではなく、HTTP (Webメールやブログへの書き込みなど)、FTP(大容量のファイル送信) も監視します。Proofpoint のソリューションはまた、差出人、宛先、添付ファイルや国コードなど、電子メールのあらゆるフィールドを検査することができます。Network Content Sentry™ モジュールは、Yahoo! や Gmail、Hotmail などの主要な Web メールシステムをサポートしています。ポリシー設定により、これらの通信経路を使ったエンドトゥエンドの通信は差出人/宛先、ソース/配信先やWebメールサイトなどの知識をベースにして、さらに解析されます。

PCI DSS準拠のためのシンプルなポリシー設定

Proofpoint Regulatory Compliance™ モジュールは、カード会員データの保護に関するポリシーセットをあらかじめ組み込んでおり、導入と同時に、簡単に運用を開始できます。もちろん、ポリシーのカスタマイズも可能です。

カード会員データの検出

Proofpoint Regulatory Compliance™ モジュールは、クレジットカード番号や日本の運転免許証番号などの様々なタイプの非公開情報 (NPI) を、様々な手法で検出して情報保護に役立てます。主要な NPI 識別子に対する設定は最初から組み込まれており、後からカスタマイズすることも可能です。PCI DSS においては、クレジットカード番号や顧客情報などを含むカード会員データを検出する設定が登録されています。

• スマート識別子: 有効なカード番号などを検出
• 定義済み辞書: キーワードや正規表現による検索ができる様々な辞書があらかじめ登録されています(カスタマイズも可能)
• 近接一致: 電子メールの中でカード関連用語の近くにあるカード番号を検出

Digital Asset Security™ モジュールは、高度な MLX テクノロジを使ってファイル間の類似性を解析します。機密情報を含むファイルと類似するファイルもまた、機密情報を含むと考えられるからです。

• デジタル指紋: PCI DSS に関連する機密情報を含むテキストやイメージのハッシュを作成
• コンテンツマッチ: デジタル指紋の全部または一部を含むデータを検出
• ファイルタイプ: .xls、.doc、.ppt などのファイルタイプを検知。（拡張子が変更されていても検出可能）

ポリシーベースの自動暗号化

Proofpoint Secure Messaging™ モジュールは、ゲートウェイまたはデスクトップ PC 上で、ポリシーに基づいた電子メールの暗号化を行います。ユーザーが自分で暗号化する場合に比べて、暗号化のし忘れや誤送信などを防ぐことができます。

• ユーザがそのメールを暗号化すべきかどうか、どのような暗号化技術を使うべきか、迷う必要はありません
• 様々な (Brackberryなど) デバイスからのメールも暗号化可能
• ゲートウェイからエンドユーザへの通信では、Identity Based Encryption™ (IBE) をサポート
• ゲートウェイ間の通信では TLS を利用可能

暗号化は PCI DSS 準拠の第一歩

Secure Messaging を使うと、暗号化ソフトを持っていない受信者でも暗号化メールを受け取ることができます。

• ステップ 1: 暗号化メールの受信者は、メッセージ本文の場所を示すリンクを受け取ります。
• ステップ 2: 受信者はサイトにアクセスしてパスワードを登録し、暗号化メールを復号化します。

重要情報を含む電子メールを検知し、上司の承認まで送信を留保

非常に重要な情報を含む電子メールは、送信前に上司の承認を受けたほうが良いものもあります。Proofpoint の内蔵 MTA は、重要なデータを検知し、送信せずに保留し、上司の承認を待ちます。(検疫機能)

Proofpoint の検疫・承認機能

メールセキュリティ

PCI DSS は要件 5 でアンチウイルスおよびアンチマルウェアプログラムの利用も必須としています。 Proofpoint の最高度の精度をもつアンチスパムとアンチウイルスの組み合わせは、お客様に安全で効率的な電子メールサービスを提供します。

Proofpoint のプラットフォームも PCI DSS の監査対象です

電子メールのセキュリティソリューション自身もまた、カード会員データを保存し、転送することから、PCI DSS の監査の対象となるでしょう。以下のテーブルには、Proofpoint のソリューションを導入するにあたって関連する、これまで述べた以外の PCI DSS の要件をまとめました。