PCI DSS 4.0 対応に求められる多要素認証(MFA)はRSAにご相談ください!

この記事は約6分で読めます。
多要素認証(MFA)を含むID認証・管理の「SecurID」、「ID Plus」、「Governance & Lifecycle(G&L)」を揃えた次世代型の統合ID認証管理プラットフォーム「Unified Identity Platform」を2023年4月5日~7日の情報セキュリティEXPOにてご紹介いたしますので是非ご参加ください。
RSA Security Japan合同会社 (本社:東京都渋谷区、代表:ジョン・マシュー・シェリル、URL:https://www.rsa.com/ja/、以下 RSA)は、世界で最もセキュリティ対策に敏感な組織向けのアイデンティティ・アクセス管理(IAM)ソリューション「Unified Identity Platform」を提供する企業として、セキュリティと利便性を兼ね備えた多要素認証(MFA)が数多くの企業に採用されています。その中で、2024年4月1日より、PCI DSSのメジャー新バージョン「v4.0」が運用を開始し、前バージョン「v3.2.1」から新項目が64項目追加され、そのうち51項目は2025年3月31日までに準拠する必要があります。特に多要素認証(MFA)においては、多くの信頼と実績を持つRSAのソリューションに注目されています。

RSAは2023年4月5日から東京ビッグサイトで開催される「情報セキュリティEXPO」に出展をして、より詳しい情報やセミナーによる講演、デモ環境での実際の動きなどをご体感いただける場となっておりますので是非ご来場ください。

PCI DSS4.0の重要ポイント

  • 準拠対象事業者が拡大

カード会員データ環境(CDE)のセキュリティに影響を与える可能性のあるすべての事業体

 

  • 多要素認証の必須領域が拡大

全てのカードデータ環境(CDE)へのアクセスにおいて、多要素認証が必須に
 

  • 多要素認証の適切な実装が求められる

多要素認証を適切に実装する必要があり、現状の認証方式では不充分とみなされることも

RSA Security Japanがご提供できること
以下にあげる要件の項目においてRSAのソリューションが活用できます。

  • 7.2.4:すべてのユーザアカウントと関連するアクセス権限を適切にレビューする。

RSA ID管理ソリューション「G&L」では、すべてのユーザアカウントのアクセス権について必要なサイクル(半年以下も可能)でレビューを実施することが可能です。レビューは職務分掌に反する権限や、不要な権限の検出、削除されていない離任者のアカウントの検出など様々な切り口で実施できます。

  • 7.2.5:すべてのアプリケーションおよびシステムのアカウント、並びに関連するアクセス権を適切に割り当て、管理する。 

RSA ID管理ソリューション「G&L」を利用する事で、すべてのアプリやシステムアカウントと関連するアクセス権が、操作上必要な最小限の権限で付与することが出来ます。

  • 7.2.5.1:アプリケーションおよびシステムアカウントによるすべてのアクセス、並びに関連するアクセス権を適切にレビューする。

RSA ID管理ソリューション「G&L」では、すべてのユーザアカウントのアクセス権について必要なサイクル(半年以下も可能)でレビューを実施することが可能です。レビューは職務分掌に反する権限や、不要な権限の検出、削除されていない離任者のアカウントの検出など様々な切り口で実施できます。
違反状態の是正は即時の削除や、期限付き例外の承認など複数の対応が可能です。またレビュー結果とその対応は記録され確認することが出来ます。
 

  • 8.3.6:認証要素として使用されるパスワードの最小限の複雑さのレベル

12文字以上(またはシステムが12文字に対応していない場合は、8文字以上)であることに加え、 数字とアルファベットの両方が含まれていることと定められています。
※本要件はパスワードを利用する場合のものです。RSAの多要素認証ソリューション(ID Plus/SecurID)を導入することで、パスワード自体を廃止(パスワードレス)し、ユーザーの利便性を損なうことなく高セキュリティを実現します。

  • 8.4.2:カード会員データ環境(CDE)へのすべてのアクセスに多要素認証が適用される。

RSAの多要素認証ソリューション(ID Plus/SecurID)は多くのシステム/ソリューションへのMFAの提供実績があります。またAPI/SDKを利用する事で実績のないシステム/ソリューションへ提供を行うことが可能な場合があります。

  • 8.5.1:多要素認証システムが適切に実装されている。

RSAの多要素認証ソリューション(ID Plus/SecurID)のワンタイムパスワードは1分毎に更新され、その時点でパスワードを再利用出来ない仕様になっています。また、管理者が許可した場合のみバイパスする事が可能です。
SecurIDでは2種類の認証要素が使用され、すべての認証要素に成功した場合のみアクセスが許可されます。

情報セキュリティEXPO RSA Security Japanブースにぜひご来場ください

RSA Security Japanのブース紹介はこちら
https://www.japan-it.jp/spring/ja-jp/search/2023/directory/directory-details.org-00f3e9fa-61a4-4c6b-9619-9deee8511d83.html#/

RSAのソリューション
 

 ■RSAについて
RSAは、サイバーセキュリティとリスク管理のリーダーカンパニーとして、デジタル時代のセキュリティ対策、リスク管理、オンライン不正対策における様々な課題に最新のテクノロジーを提供します。RSAソリューションは、高度なサイバー攻撃に対する効果的な検知と対応、ユーザーアクセスの管理による不正アクセス対策をはじめとして、ビジネスリスクやオンライン不正、サイバー犯罪による被害を軽減するよう設計されています。世界中の数百万人のユーザーをサイバー攻撃から守り、Fortune 500の9割以上の企業の成長と継続的なデジタルビジネス改革に役立てられています。

© 2023 RSA Security LLC、その関連会社。All Rights Reserved.

RSAおよびRSAロゴは、米国RSA Security LLC 又はその関連会社の商標又は登録商標です。RSAの商標は、https://www.rsa.com/rsa-trademarks/を参照してください。その他の製品の登録商標および商標は、それぞれの会社に帰属します。

 

<将来予測に関する記述>

本ドキュメントの将来予測に関する記述は、RSA Securityおよびその関連会社(RSA)における、作成された日付の時点でのことを記載したものにすぎません。すべての将来に関する記述は、あくまでも係る記述の作成日現在における内容であり、法律で義務付けられている場合を除き、RSAは周囲の状況や期待の変化、予期せぬ事象の発生、またその他の状況を反映させるなど、係る将来に関する記述を作成した日以降に当該記述を更新する義務を負いません。

タイトルとURLをコピーしました