このセクションの内容:

はじめに

Parasoft PCI DSS Compliance アーティファクトは、PCI DSS コーディング要件への準拠を証明できる、DTP インフラストラクチャのアセットの集合です。このアーティファクトは Security Compliance Pack の一部として提供されています。Security Compliance Pack のダウンロードおよびライセンス情報については、Parasoft 製品テクニカル サポート センターまでお問い合わせください。 

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) は、ペイメント カードのトランザクションを処理するソフトウェアのコーディング要件の集合です。この規格は、カード ブランドによって義務付けられており、Payment Card Industry Security Standards Council によって管理されています。標準の詳細については、PCI Security Standards Council の Web サイトを参照してください: https://www.pcisecuritystandards.org

Parasoft のコード解析チェッカーは PCI DSS 要件のコンテキスト内で違反をレポートすることによって、PCI DSS 要件を促進します。各コード解析チェッカーは 1 つ以上の要件にマップし、これは DTP ウィジェットとレポートに表示されます。

前提条件

以下のいずれかの Parasoft ツールからのコード解析データが必要です。

• 適切な Security Compliance Pack ライセンスがある Parasoft dotTEST
• 適切な Security Compliance Pack ライセンスがある Parasoft Jtest

前提条件の詳細については「Security Compliance Pack」を参照してください。

基本的な操作手順

1. Security Compliance Pack を DTP Extension Designer にインストールします。
2. DTP 環境に PCI DSS Compliance アーティファクトをデプロイします。これにより、 PCI DSS Compliance Assets もデプロイされます。
3. PCI DSS テスト コンフィギュレーションを使ってコードを解析し、DTP に違反をレポートします。ローカル テスト コンフィギュレーションまたは Security Compliance Pack に同梱のテスト コンフィギュレーションを使用するように Parasoft 静的解析/テスト ツールを設定できます。
4. PCI DSS Compliance ダッシュボードとウィジェットを DTP インターフェイスに追加します。このダッシュボードは、 PCI DSS ガイドラインのコンテキストでレポートされた違反を表示します。
5. ウィジェットとレポートを利用して、コンプライアンス目標を達成するために修正が必要なコードを特定します。

PCI DSS Compliance アセット

以下のアーティファクトはパッケージに含まれており、Security Compliance Pack のインストール時に DTP 環境に追加されます。

PCI DSS Compliance.json 

このファイルは Extension Designer 用のカスタム ロジック フローです。Security Compliance Pack をインストールすると、Extension Designer ライブラリにこのフローが追加されます。サービスにフローを追加し、DTP インフラストラクチャにデプロイできます。   

ダッシュボード テンプレート

ダッシュボード テンプレートには定義済みのウィジェットが含まれており、プロジェクトについての具体的な情報をすぐに確認することができます。DTP のダッシュボードの詳細については、「ダッシュボード」を参照してください。ダッシュボード テンプレートに表示されるウィジェットの詳細については「Adding the PCI DSS Dashboards」を参照してください。

• PCI-DSS-dotNET.json
• PCI-DSS-Java.json

コンプライアンス カテゴリ

個々のコード解析ルールは、「セキュリティ」や「例外」といったカテゴリに属します。PCI DSS Compliance アーティファクトには、コード解析ルールを PCI DSS 固有のカテゴリにマッピングするファイルが含まれています。以下のファイルで定義されたカテゴリに従って違反をレポートするようにウィジェットを構成して、PCI DSS カテゴリに従って違反を確認できます。  

• PCI-DSS-dotNET.xml
• PCI-DSS-Java.xml
  

テスト コンフィギュレーション

ツールに付属のテスト コンフィギュレーションまたは Security Compliance Pack と共にインストールされたテスト コンフィギュレーションを実行するようにツールを設定できます。詳細については、ご使用のツールのドキュメントを参照してください。この Compliance Pack には以下のテスト コンフィギュレーションが含まれています。

• PCI DSS 4.0

モデルとプロファイル

プロファイルは、DTP インフラストラクチャでさまざまな機能を提供します。たとえば、拡張によって実行されるカスタム計算の入力や、コンプライアンス レポートのためのデータなどです。プロファイルはモデルからその構造を取ります。これはフィールド、ヘッダー、あるいはプロファイルで使用される他のコンポーネントを定義します。DTP Enterprise Pack のプロファイルの詳細については「モデル プロファイルの使用」を参照してください。

アーティファクトには以下のプロファイル ファイルが含まれています。

• pci-dss-java.json
• pci-dss-dotnet.json
• pci-dss-compliance.model.json

PDF の提供

Parasoft ルールと PCI DSS 要件との関連を示す PDF が <PACK>/rules/jtest および <PACK>/rules/dottest ディレクトリに用意されています。  

• PCI_DSS_4.0.pdf

PCI DSS Compliance アセットのデプロイ

PCI DSS Compliance アセットは、Security Compliance Pack の一部としてインストールされます (操作手順については「インストール」を参照してください)。アーティファクトをインストールした後、DTP 環境にアセットをデプロイする必要があります。

1. DTP の設定メニュー (歯車のアイコン) から [Extension Designer] を選択します。
2. [サービス] タブをクリックし、DTP ワークフロー サービス カテゴリを選択します。アセットはどのサービス カテゴリにもデプロイできますが、Parasoft のアセットのカテゴライズに合うように DTP ワークフロー カテゴリを使用することを推奨します。[カテゴリの追加] をクリックして独自のサービス カテゴリを作成することもできます (詳細については「サービスの使用」を参照)。
    
3. 既存のサービスにアーティファクトをデプロイするか、新しいサービスを追加できます。サービスにデプロイしたアーティファクトの数は、全般的なパフォーマンスに影響します。詳細については「Extension Designer のベスト プラクティス」を参照してください。既存のサービスを選択し、ステップ 5 まで継続するか、または [サービスの追加] をクリックします。
4. サービスの名前を指定して [確認] をクリックします。
5. タブ化されたインターフェイスは、サービス内でアーティファクトを配置するのに役立ちます。複数のタブにまたがってアーティファクトを配置してもシステムのパフォーマンスには影響しません。タブをクリックし (または [+] アイコンをクリックして新しいタブを追加し)、縦の三点メニューから [読み込み] を選択します。
6. [Local] > [Flows] > [Workflows] > [Security] > [PCI DSS Compliance] を選択し、[読み込み] をクリックします。
7. 空いている任意の箇所をクリックしてサービスにアーティファクトを追加します。
8. [デプロイ] をクリックし、DTP 環境へのアーティファクトのデプロイを完了します。 
9. DTP に戻ってダッシュボードをリフレッシュします。

これで、PCI DSS ウィジェットを追加できるようになりました。

PCI DSS ダッシュボードの追加

Java および .NET の PCI DSS ダッシュボード テンプレートを使用すると、PCI DSS コンプライアンスを監視する、あらかじめ構成されたウィジェット セットをすばやく追加できます。このアーティファクトに同梱されているダッシュボード テンプレートのリストについては「」を参照してください。 

ダッシュボード テンプレートは、Security Compliance Pack のインストールの一部として DTP 環境にデプロイされます。ダッシュボード テンプレートが表示されない場合は、DTP サービスを再開始してください (「DTP サービスの停止」および「DTP アプリケーションの開始」を参照)。

1. DTP ツールバーから [ダッシュボードの追加] をクリックして名前を指定します。
2. (オプション) 以下の情報を指定して、ダッシュボードのデフォルト ビューを設定できます:
   1. [フィルター] メニューで、プロジェクトに関連するフィルターを選択します。フィルターは、DTP に格納されたデータをカスタマイズして表示できるラン コンフィギュレーション セットを表します。詳細については「DTP の概念」を参照してください。
   2. [期間] メニューで時間の範囲を指定します。 
   3. [ベースライン ビルド] および [ターゲット ビルド] メニューで、ビルド範囲を指定します。  
3. [テンプレートからダッシュボードを作成] を有効化し、関連メニューから PCI DSS - .NET または Java テンプレートを選択します。
    
4. [作成] をクリックしてダッシュボードの追加を完了します。

既存のダッシュボードに PCI DSS ウィジェットを手動で追加する 

アーティファクトに同梱された PCI DSS ウィジェットは、既存のダッシュボードに追加できます。ダッシュボードにウィジェットを追加する方法については「ウィジェットの追加」を参照してください。アーティファクトのデプロイ後、[ウィジェットの追加] オーバーレイの PCI DSS カテゴリに PCI DSS ウィジェットが表示されます。

以下の設定を使用できます。

PCI DSS Compliance ウィジェット

この Compliance アーティファクトに同梱されているダッシュボード テンプレートのリストについては「ダッシュボード テンプレート」を参照してください。次のウィジェットは、1 つ以上のダッシュボードに含まれています。

PCI DSS Compliance Status

PCI DSS への準拠の現在のステータスを表示します。

7 種類のステータスがあります。

• Compliant (準拠): 違反はまったくレポートされていません。抑制は適用されていません。 
• Not Compliant (準拠していない): 重大なリスクを示す違反がレポートされました。 
• Missing Rule(s) in Analysis (見つからないルールが解析に存在): プロファイル で文書化された Parasoft コード解析ルールが、指定のビルドに含まれていませんでした。すべてのルールが Jtest または dotTEST で有効化されていることを確認し、解析を再実行してください。
• Compliant With Deviations (逸脱があるが準拠): レポートされた違反は許容範囲であり、抑制されています。逸脱/抑制の詳細については「Deviation Report」を参照してください。
• Compliant With Violations (違反があるが準拠): レポートされた違反は、重大なリスクを示すものではありません。

ウィジェットをクリックすると、PCI DSS Compliance Report が開きます。 

PCI DSS Compliance Percentage

このウィジェットは、PCI DSS に準拠しているコードの割合を表示します。ウィジェットをクリックすると、PCI DSS Compliance Report が開きます。

PCI DSS Compliance - Requirements by Status

このウィジェットは、PCI DSS 要件を円グラフとして表示します。赤の部分は、解析したコードが現在準拠していない要件を表します。緑の部分は、解析したコードが準拠している要件を表します。このウィジェットは、違反と逸脱の数も表示します。

以下の操作を行うことができます。

• 円グラフ中をクリックすると、選択したステータスでフィルタリングされた PCI DSS Compliance Report が開きます。
• Violations セクションをクリックすると、PCI DSS Compliance Report が開きます。
• Deviations セクションをクリックすると、Deviations Report が開きます。 

Rules in Compliance

このウィジェットは、DTP 標準の [違反がないルール] ウィジェットの実装です。違反をレポートしていない (準拠している) PCI DSS 要件にマッピングされた Parasoft ルールの割合を表示します。このウィジェットの詳細については「違反がないルール - サマリー」を参照してください。 

Categories - Top 5 Table

ダッシュボードは、PCI DSS 用に設定された [カテゴリ - 上位 5 表] ウィジェットのインスタンスを含みます。最も違反の多い PCI DSS カテゴリを上位 5 つ表示します。このウィジェットの詳細については「カテゴリ - 上位 5 表」を参照してください。

Rules - Top 5 Table

ダッシュボードは、PCI DSS 用に設定された [ルール - 上位 5 表] ウィジェットのインスタンスを含みます。最も違反の多い PCI DSS カテゴリにマッピングされた Parasoft ルールを上位 5 つ表示します。このウィジェットの詳細については「ルール - 上位 5 表」を参照してください。

Violations by Requirement - Treemap

このウィジェットは、PCI DSS 要件別にグループ化した違反をツリー マップで表示します。各タイルは色分けされ、1 つの要件を表します。このウィジェットの設定方法については「Manually Adding PCI DSS Widgets to an Existing Dashboard」を参照してください。

PCI DSS Compliance Report の表示

メインの PCI DSS Compliance Report は、 コンプライアンス ステータスの詳細を提供し、準拠を証明するための主要文書の役割を果たします。 

このレポートは以下のステータスを表示できます:

• Compliant (準拠): 違反はまったくレポートされていません。抑制は適用されていません。 
• Not Compliant (準拠していない): 重大なリスクを示す違反がレポートされました。 
• Missing Rule(s) in Analysis (見つからないルールが解析に存在): プロファイル で文書化された Parasoft コード解析ルールが、指定のビルドに含まれていませんでした。すべてのルールが Jtest または dotTEST で有効化されていることを確認し、解析を再実行してください。
• Compliant With Deviations (逸脱があるが準拠): レポートされた違反は許容範囲であり、抑制されています。逸脱/抑制の詳細については「Deviation Report」を参照してください。
• Compliant With Violations (違反があるが準拠): レポートされた違反は、重大なリスクを示すものではありません。
• No Rules Enabled (有効化されたルールなし): ガイドラインにマッピングされた Parasoft コード解析ルールはありません。

以下の操作を行うことができます。

• メニューを使って脆弱性プロパティでソートします。
• 違反エクスプローラー で違反を確認するには、[違反の数] 列のリンクをクリックします。
• 違反エクスプローラー で違反を確認するには、[逸脱の数] 列のリンクをクリックします。
• [Requirement] 列のリンクをクリックして Requirement Enforcement Plan を開きます。脆弱性を検出する Parasoft コード解析ルールをレビューできるように、リンクから特定の要件に直接移動します。 
• サブ レポートの 1 つを開きます (Requirement Enforcement Plan、Deviations Report、ビルド監査レポート)。
• プリンター印刷に適した PDF 形式のレポートをエクスポートするには、[Download PDF] をクリックします。「ナビゲーション バーへの画像の追加」で説明するように DTP にカスタム グラフィックを追加した場合、PDF にもカスタム グラフィックが表示されます。 

Requirement Enforcement Plan

Requirement Enforcement Plan は、PCI DSS 要件を促進するために使用する静的解析ルールを表示します。各要件をどのように推進するかをユーザーに説明することを目的とします。このレポートは、コンプライアンス プロファイルで指定されたデータを使用します (「プロファイルの設定」を参照)。プロジェクトに関係する特定の問題をより反映するために、プロファイルで各脆弱性プロパティに関連する値を設定できます。  

Deviation Report

標準からの逸脱が文書化され、ソフトウェアの安全性に影響しない限り、コードは違反があっても PCI DSS 準拠であることができます。逸脱とは、コード中で直接抑制されたコード解析ルール、または DTP の違反エクスプローラーで抑制されたコード解析ルールです。コード中で違反を抑制する方法については、dotTEST または Jtest のドキュメントを参照してください。DTP で違反を抑制する方法については、違反エクスプローラーのドキュメントの「違反の抑制」を参照してください。

PCI DSS Compliance Report で Deviation Report リンクをクリックすると、Deviation Report が開きます。

Deviations Report は、すべての要件の ID とヘッダーを表示しますが、抑制された要件には追加情報を表示します。以下の操作を行うことができます。

• [Only Deviations] を有効化して、逸脱だけを表示します。
• [変更履歴の非表示] を有効化して、逸脱の変更履歴を非表示にします。

ビルド監査レポート

このレポートは、コード解析違反の概要を表示するほか、ビルドに関連したテスト結果とカバレッジ情報も表示します。また、データのアーカイブをダウンロードすることもできます。これは、定期的な監査で PCI DSS への準拠を証明するために使用できるアーティファクトです。

アーカイブをダウンロードするには、ビルドがロックされていなければなりません。このレポートの詳細については「ビルド監査レポート」を参照してください。  

プロファイルの設定

モデルとプロファイルは、DTP Enterprise Pack を有効にしてカスタムの計算とデータ処理タスクを実行するアセットです。モデルは、計算で使用される属性を定義し、プロファイルのテンプレートの役割を果たします。モデルとプロファイルの詳細については「モデル プロファイルの使用」を参照してください。 

PCI DSS Compliance アーティファクトには、Parasoft dotTEST および Jtest のコード解析結果用のデフォルトのモデルとプロファイルが同梱されています。また、Parasoft ルールを PCI DSS 要件にマッピングするためのカテゴリ情報を持ちます。  

このプロファイルには、コンプライアンス レポートを生成するために必要な情報、および PCI DSS アーティファクトと共に出荷されたウィジェット内のデータを表示するために必要な情報が含まれています。ユーザー独自の目標を達成するためにガイドラインを再分類したい場合、または独自のレポート用に追加メタデータを指定したい場合、このプロファイルを変更できます。変更は Requirement Enforcement Plan で反映されます。

デフォルト プロファイルの複製を作成して複製を変更することを推奨します。

1. [プロファイルのエクスポート] をクリックして複製をダウンロードします。
2. 複製の名前を変更し、[プロファイルのインポート] をクリックします。
3. 複製を選択してアップロードします。
4. [編集] をクリックして変更を加えます。 
5. [保存] をクリックします。

PCI DSS アーティファクトに同梱のウィジェットを構成する際に、別のプロファイルを選択できます。