コンプライアンスの理想と現実をつなぐ手段企業セキュリティをあるべき姿に(1/2 ページ)

コンプライアンスに際して必ず付きまとう問題が代替コントロールです。これは企業の情報セキュリティ対策を構築する上でも例外処置として現れてきますが、これ非準拠として切り捨てるのではなく、全体バランスの中で運用していくことが実践的な方法を探ります。

» 2009年11月26日 07時20分 公開
[米澤一樹,ベライゾンビジネス]

 前回はコンプライアンスに潜む問題点について代表的なものを幾つか紹介し、それに対する対策をそれぞれ提起しました。実際にそういった対策はどのような局面でどのような形で必要になってくるものでしょうか。今回は「PCI DSS」を例に、実践に際して出現する「代替コントロール」とその実施について紹介します。

PCI DSSとは

 PCI DSSとは、正式名称を「Payment Card Industry Data Security Standard」といい、クレジットカード会社5社(JCB、VISA、Master、AMEX、Discover)がクレジットカード情報と決済情報の保護の目的で策定したデータ保護の基準です。PCI DSSには、6つのコントロールと12の要件が有り、それぞれデータ保護に必要な事柄が定められています。詳細は下記の通り(PCIDSS Ver1.2 日本語版)です。

安全なネットワークの構築と維持

  • 要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること
  • 要件2:システムパスワードおよびほかのセキュリティパラメータにベンダー提供のデフォルト値を使用しないこと

カード会員データの保護

  • 要件3:保存されたカード会員データを保護すること
  • 要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること

脆弱性管理プログラムの整備

  • 要件5:アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新すること
  • 要件6:安全性の高いシステムとアプリケーションを開発し、保守すること強固なアクセス制御手法の導入
  • 要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限すること
  • 要件8:コンピュータにアクセスできる各ユーザーに一意の ID を割り当てる
  • 要件9:カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト

  • 要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する。
  • 要件11:セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの整備

  • 要件12:従業員および派遣社員向けの情報セキュリティポリシーを整備する

 PCI DSSの特徴は、目的がクレジットカード情報と取引情報の保護に絞り込まれているため、ISO27002などと比較して各要件が具体的であると同時に、カバー範囲が限定されています何をすれば良いかが比較的明確になるので、個人情報保護のベストプラクティスとしてクレジットカード情報を扱わない企業でも採用するところが増えています。

 要件が具体的でかつカバー範囲が限定されていることは、一見すると比較的容易に実効性のあるコンプライアンスを達成できるようにみえますが、実際には、その具体性とカバー範囲の絞込みがハードルになってきます。つまり、具体的であるために「書かれている通りに」あるいは「教科書どおりに」対応しようとすると、現実的なレベルを超えるコストや手間がかかってしまう状況が出現しかねないのです。

代替コントロールが必要になる局面

 現実的なレベルを超えるコストや手間がかかってしまいかねない状況の典型的な例として、要件3.4の「以下の手法を使用して、すべての保存場所でPAN(Primary Account Number=クレジットカード会員番号)を少なくとも読み取り不能にする(ポータブルデジタルメディア、バックアップメディア、ログを含む)。アカウント情報のうち、少なくとも PANは読み取り不能にする必要がある」が挙げられます。

 ここで言う以下の手法とは、「強力な暗号化技術をベースにしたワンウェイハッシュ」「トランケーション」「インデックストークンとパッド(パッドは安全に保存する必要がある)」「関連するキー管理プロセスおよび手順を伴う、強力な暗号化」です。一見すると、すべて既知で使用実績も少なくない技術であり、それほど難しくはなさそうですが、実際に導入するとなると大変な困難を伴うことが散見されます。なぜなら、クレジットカード決済に使用されるシステムは規模が大きくなり、また、データ構造や処理も複雑になる傾向にあるため、新たに暗号化などの仕組みを導入するとなるとシステム全体の見直しが必要になるためです。

 要件10.2の「以下のイベントを再現するためにすべてのシステムコンポーネントの自動監査証跡を実装する」における10.2.1「カード会員データへのすべての個人アクセス」も似たような事例として挙げられます。この要件には「10.2.1 カード会員データへのすべての個人アクセスがログ記録されることを確認する」ことが規定されています。この規定をそのまま読むと、データ構造や処理の複雑さゆえに大規模化するデータベースやデータベース処理に後付けでログ収集の仕組みを実装することというように読み取れます。しかし、これも、前記の要件3.4と同様に現実的な方策とは言えません。

 そういった時に必要になってくるのが「代替コントロール」です。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ