ICMS(国際マネジメントシステム認証機構)

日頃からよくいただく質問について、その背景にある要件を解説します。

「管理者がCDE内のジャンプサーバにMFAを使ってログインし、その後に内部のAPサーバやDBサーバにSFAを使ってアクセスする場合、それらのサーバへのログインは要件8.3.9の対象になりますか」

PCI DSSでは、多要素認証（MFA）と単一要素認証（SFA）の両方について、それぞれ異なる要件が定められています。多要素認証が導入されている環境において、単一要素認証に関する要件がどのように適用されるかを解説します。

結論から言うと、PCI DSSの要件8.3.9および8.3.10.1は、MFA（多要素認証）が使用されているシステムコンポーネントには適用されません。

PCI SSCのFAQで回答が示されています。
PCI SSC FAQ #1590参照 Do PCI DSS Requirements 8.3.9 and 8.3.10.1 apply to all system components?

 これらの要件は、パスワードやパスフレーズが単一要素認証（SFA）の一部として使用される場合に適用されます。
・要件8.3.9：パスワードの複雑性に関する要件
・要件8.3.10.1：パスワードの変更に関する要件

したがって、管理者がMFAを使ってCDE（カード会員データ環境）内のジャンプサーバにログインし、その後にSFAを使って内部のAPサーバやDBサーバにアクセスする場合、このジャンプサーバへのログインはMFAを使用しているため、要件8.3.9の対象にはなりません。しかし、ジャンプサーバから内部のAPサーバへのアクセスがSFAである場合、そのアクセスには要件8.3.9と8.3.10.1が適用されます。

なぜCDEへのアクセスにMFAが必須でもSFA要件が存在するのか？

PCI DSS要件8.4.2では、CDEへのアクセスにはMFAの使用が必須とされています。しかし、PCI DSSの対象範囲であっても、CDE外のシステムコンポーネントへのアクセスにはMFAが必須ではありません。
CDE外のシステムコンポーネントへのアクセスであっても、そのシステムがCDEへの接続に使用される場合はMFAが必須です。

 一方、要件8.3.9および8.3.10.1は、以下のすべての条件を満たす場合に限り、パスワード／パスフレーズが「ユーザーアクセスにおける唯一の認証要素（＝SFA）」として引き続き使用可能であることを示しています。

・アクセスされるシステムコンポーネントがPCI DSSの対象範囲内であるが、CDEには含まれない。
・そのシステムコンポーネントがCDEへの接続に使用されない。
・システムコンポーネントが接続対象またはセキュリティに影響を与えるシステムである。



つまり、CDE外でかつCDEへのアクセスに使用されないシステムについては、SFAが認められており、そのSFAに利用されるパスワードの要件として、8.3.9や8.3.10.1が適用されるのです。これにより、PCI DSSはCDEの厳格な保護を維持しつつ、関連するシステムに対しても適切なセキュリティ対策を要求しています。 

公式の回答と関連記事および資料は、PCI SSCの公式ホームページをご確認ください。
PCI SSC FAQ >#1591 [Do PCI DSS Requirements 8.3.9 and 8.3.10.1 apply to all system components?]
PCI SSC Blog PCI SSC [Releases New Guidance on Authentication and Cryptography]
PCI SSC Document Library>Guidance Document> Authentication