法律や基準で求められる暗号化対策IT資産を守る根幹対策

重要なデータを保護する技術的な対策の1つに暗号化がある。情報保護関連の法令や基準でも暗号化の活用が推奨されているが、具体的にどのようなものかをみていこう。

» 2009年07月22日 07時35分 公開
[北原真之(日本PGP),ITmedia]

 前回は、データ保護と法令や基準との関連を解説し、コアとなる「情報」そのもの保護する重要性を述べました。ここでは、もう少し詳細に基準や法令で求められている内容について例を挙げ、暗号化対策に関して解説します。

ISMSとPCI DSSの詳細規定から

 データの暗号化と運用は、「情報セキュリティマネジメントシステム」(ISMS)や「Payment Card Industry Data Security Standard」(PCI DSS)、各種法律やガイドラインでも明確に規定されています。特にPCI DSSでは、ISMSの示す組織や管理体制などの広範な規定を補完する形で、具体的にその適用方法を規定しています(図1参照)。

 このような事情からPCI DSSは、単にクレジットカード加盟店やECサイト、決済代行会社、クレジットカード発行会社などのクレジットカード関連業界の基準としてだけではなく、一般の企業や団体も適用できるセキュリティ対策のベストプラクティス「データセキュリティ・モデル」として、一般企業への適用が勧められています。

図1:ISMSとPCI DSSの関係

 ここで、PCIDSSについて少し詳しくみてみましょう。PCI DSSは、6つのカテゴリーと12の要件に区分されています。このうち、要件3と4が、暗号化とその運用に直接言及しています。また、要件7が、データへのアクセスを管理するという観点から、利用者の権限に応じた暗号のパスフレーズ(文字数の多いパスワード)と暗号鍵の適切な管理を求めています(図2参照)。

 PCI DSSの要件3には、「暗号化はカード会員データ保護のための重大な要素である。例え侵入者がネットワーク・セキュリティ・コントロールを回避し、暗号化されたデータにアクセスできても、正しい暗号化鍵がなければそのデータを読み取り、使用することはできない。保管したデータを保護するための効果的な別の方法として考えられるのは、リスクを軽減する方法である。例えば、リスクを最小限にする方法として、カード会員データを絶対的に必要でない限り保管しない、カード番号の全桁数が不要ならカード会員データを切り捨てる、電子メールで暗号化していないカード番号は送信しない、などである。」と記載されています。

 これは、クレジットカード番号を保存するあらゆる場所(店舗・小売店、支社、本社など)と、そこで使用される各システムでクレジットカード情報の暗号化が必要であるということを意味しています。PC端末は当然ですが、外部とやり取りするファイル転送サーバ、本社のメインフレーム、さらにバックアップシステムまで暗号化を考慮すべきでしょう。

 要件4では、「センシティブ情報をネットワーク経由で伝送する場合、ハッカーによる妨害、改ざん、流用が容易で一般的であるため、伝送中暗号化しなければならない」と定めています。

 前回、情報漏えい事件の例で説明した米TJXのケースでは、ハッカーが伝送中のデータを狙い、侵入に成功しました。ハッカーは、まずセキュリティの保護がされていないワイヤレスネットワーク上で、パスワードを含む平文のまま伝送されたトラフィックを盗聴し、そのパスワードを使ってTJXの内部ネットワークに侵入しました。そして顧客情報を含んだデータベースへのアクセスに成功したのです。もし伝送されるデータが暗号化されていれば、事件は未然に防げたのではないでしょうか。

 このように、アプリケーション間でやり取りを行う際の暗号化と併せて、電子メールでのコミュニケーションにも暗号化の対策が必要です。PCI DSSでは、このように具体的な対処方法に踏み込んで、規定されており、暗号化を含むデータセキュリティのベストプラクティスとして、大変分かりやすいものとなっています。

図2:PCI DSSの要件と暗号化

法令と暗号化のガイドライン

 以下の図3の通り、個人情報保護法に対応して策定された経済産業省のガイドラインでも、個人情報の送信や保管に際して、高度な暗号化と厳格な暗号鍵の管理を求めています。

 また、この中で個人情報の漏えい事故が発生した場合の対処について、(ア)〜(エ)の6項目を定めていますが、「影響を受ける可能性のある本人への連絡」と「事実関係、再発防止策等の公表」については、高度な暗号化が施されていれば、省略することを認めています。

 このように暗号化は、悪用という最悪の事態を回避するとともに企業活動を維持するためにも有効な対策であると言えるでしょう。ほかにも、経済産業省による情報セキュリティ管理基準、その他の法律に基づくかガイドラインや基準でも暗号化と暗号鍵の厳格な管理、運用を求めており、暗号化は不可避な対策として、企業にその実施を求めています。

図3:法律で求められる暗号化対策

 それでは具体的にどの部分へ暗号化を適用し、運用していけばいいのでしょうか。次回以降、情報が漏えいするポイントを4つに大別し、具体的な対策方法についてみていきます。

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

暗号化 | PCI DSS | 情報漏洩 | ISMS


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ