ScanNetSecurity -
前回「クラウド時代のPCI DSS」では、PCI SSCによって公開されたガイドライン“Information Supplement: PCI DSS Virtualization Guidelines”の前半を読み解きました。
前半では、まず使用される言葉や概念の定義を行っており、PCI DSSにあまり依存しない形で、仮想環境特有のリスクを考察していると考えられます。本稿では、前回挙げられたリスクに対して、どのような対策を行うべきであるのかを、比較的細かく説明しています。
付録文書、Appendix-Virtualization Considerations for PCI
DSSでは、要件毎に何をすべきかが記載されています。PCI
DSSへの準拠が求められる環境や、同等のセキュリティレベルが求められる環境において仮想技術の導入を検討する場合は、この付録文書を参考にしてリスク
洗い出しと適切な対策の検討を行っていただくことをお勧めします。
前回の連載では、仮想環境に特有のリスクを洗い出し、対応していく際の観点が上げられましたが、本稿は、それを踏まえてどのような対策を行うべきかを説明
しています。なお、ここではまだ解説は概念的で、具体的に何をすべきかが記載されているわけではありません。対策を行う際のひとつの観点であると考えるのが良いでしょう。 ... 続きを読む
http://scan.netsecurity.ne.jp/article/2011/12/13/27869.html
2011/12/13
仮想環境下のPCI DSS対策 第1回「仮想技術に関連するリスクの評価」
