コンプライアンスに際して必ず付きまとう問題が代替コントロールです。これは企業の情報セキュリティ対策を構築する上でも例外処置として現れてきますが、これ非準拠として切り捨てるのではなく、全体バランスの中で運用していくことが実践的な方法を探ります。
前回はコンプライアンスに潜む問題点について代表的なものを幾つか紹介し、それに対する対策をそれぞれ提起しました。実際にそういった対策はどのような局面でどのような形で必要になってくるものでしょうか。今回は「PCI DSS」を例に、実践に際して出現する「代替コントロール」とその実施について紹介します。
PCI DSSとは、正式名称を「Payment Card Industry Data Security Standard」といい、クレジットカード会社5社(JCB、VISA、Master、AMEX、Discover)がクレジットカード情報と決済情報の保護の目的で策定したデータ保護の基準です。PCI DSSには、6つのコントロールと12の要件が有り、それぞれデータ保護に必要な事柄が定められています。詳細は下記の通り(PCIDSS Ver1.2 日本語版)です。
PCI DSSの特徴は、目的がクレジットカード情報と取引情報の保護に絞り込まれているため、ISO27002などと比較して各要件が具体的であると同時に、カバー範囲が限定されています何をすれば良いかが比較的明確になるので、個人情報保護のベストプラクティスとしてクレジットカード情報を扱わない企業でも採用するところが増えています。
要件が具体的でかつカバー範囲が限定されていることは、一見すると比較的容易に実効性のあるコンプライアンスを達成できるようにみえますが、実際には、その具体性とカバー範囲の絞込みがハードルになってきます。つまり、具体的であるために「書かれている通りに」あるいは「教科書どおりに」対応しようとすると、現実的なレベルを超えるコストや手間がかかってしまう状況が出現しかねないのです。
現実的なレベルを超えるコストや手間がかかってしまいかねない状況の典型的な例として、要件3.4の「以下の手法を使用して、すべての保存場所でPAN(Primary Account Number=クレジットカード会員番号)を少なくとも読み取り不能にする(ポータブルデジタルメディア、バックアップメディア、ログを含む)。アカウント情報のうち、少なくとも PANは読み取り不能にする必要がある」が挙げられます。
ここで言う以下の手法とは、「強力な暗号化技術をベースにしたワンウェイハッシュ」「トランケーション」「インデックストークンとパッド(パッドは安全に保存する必要がある)」「関連するキー管理プロセスおよび手順を伴う、強力な暗号化」です。一見すると、すべて既知で使用実績も少なくない技術であり、それほど難しくはなさそうですが、実際に導入するとなると大変な困難を伴うことが散見されます。なぜなら、クレジットカード決済に使用されるシステムは規模が大きくなり、また、データ構造や処理も複雑になる傾向にあるため、新たに暗号化などの仕組みを導入するとなるとシステム全体の見直しが必要になるためです。
要件10.2の「以下のイベントを再現するためにすべてのシステムコンポーネントの自動監査証跡を実装する」における10.2.1「カード会員データへのすべての個人アクセス」も似たような事例として挙げられます。この要件には「10.2.1 カード会員データへのすべての個人アクセスがログ記録されることを確認する」ことが規定されています。この規定をそのまま読むと、データ構造や処理の複雑さゆえに大規模化するデータベースやデータベース処理に後付けでログ収集の仕組みを実装することというように読み取れます。しかし、これも、前記の要件3.4と同様に現実的な方策とは言えません。
そういった時に必要になってくるのが「代替コントロール」です。
Copyright © ITmedia, Inc. All Rights Reserved.