コンプライアンスの理想と現実をつなぐ手段：企業セキュリティをあるべき姿に（2/2 ページ）

[米澤一樹，ベライゾンビジネス]

代替コントロールのツボ

　代替コントロールとは、PCI DSSでは「事業体が正当な技術上の制約または文書化されたビジネス上の制約のために記載されているとおりに明示的に要件を満たすことができないが、その他の（つまり代替の）コントロールを通じて要件に関連するリスクを十分に軽減している場合」に、検討できるものとしています。

　それでは、代替コントロールとして認められるにはどのような要件が必要になってくるのでしょうか。前記の項目を例に挙げて考えて行きたいと思います。まず、要件3.4ですが、この項目に関しては、PCI Security Standards Council （PCIセキュリティ標準協議会）が、付録Bにおける代替コントロールの事例として取り上げて解説しています。

　ちなみに、当該の事例では、（1）内部ネットワークのセグメンテーション、（2）IP アドレスまたはMACアドレスフィルタリング、（3）内部ネットワークからの2因子認証、の3つを組み合わせることで、当該のPANへのアクセスを極度に制限することになります。つまり、「すべての保存場所でPANを少なくとも読み取り不能にする」という代わりに、「すべてのPANの保存場所へのアクセスを極度に制限して読み取りを極度に困難にする」ことをもって代替コントロールとしています。ここで重要なことは、「読み取り不能にする」ことに捉われるのではなく、本来の目的である「読み取りによるリスクを極小化する」ことに主眼が置かれているという点です。

　同様に前記に取り上げた要件10.2.1についても考えてみましょう。この要件にうたわれた「カード会員データへのすべての個人アクセスがログ記録されることを確認する」規定のそもそもの目的は、データ漏洩などの事件が起こった際に被害の特定と拡大防止を効率的かつ効果的に行うことにあります。つまり、アクセス元があるレベルまで特定でき、アクセス内容が記録され、また、期間も絞り込むこめる仕組みを導入することで、代替コントロールにできるのです。これを見る限りは、前記3.4で挙げたアクセス制御の仕組みを少し拡張することで、代替コントロールにできるでしょう。

　しかし、ここで注意すべきことは、代替コントロールは監査者に妥当と認められる必要が有るということです。そのためには、（1）要件が想定しているリスクを正確に把握すること、（2）把握したリスクが自社のどの部分にどのように存在しているかを認識すること、（3）で認識したリスクへの対応策を他者に説明できる形で策定し実行していることを証明すること――が必要になってきます。

　監査者への説明は、特に（3）が重要になってきますが、監査者は妥当なリスク対策を行っているかを判定するために来ているということを念頭に置けば、それはそのままステークホルダーへの説明にもつながります。ひいては前回述べた「アリバイ作りのスパイラルを断ち切り、実効性の有る実践的なコンプライアンスを確立する」ことにもつながります。

---

　代替コントロールはコンプライアンスだけではなく、一般的な情報セキュリティ対策でも「現場の業務上どうしても必要な例外処置」という形で現れてくるものです。これらへいかにうまく対応し、それを内外に説明できることこそが本当に効果のあるコンプライアンスや情報セキュリティ対策を実現することにつながります。

　次回は、そのような実効性を試される局面となる実際の事件・事故発生時へどのように対応すべきかを考察し、そのために普段から行っておくべきことを紹介します。

筆者プロフィール

プロフェッショナル・サービス部シニア セキュリティ・コンサルタント。情報セキュリティや情報資産管理に関する総合的なプロジェクトのマネジメント、サービスインテグレーション、電子商取引、事業継続対策に関わるソリューションなどを担当。情報システムセキュリティ協会(ISSA) 東京支部長・支部長連絡会アジア太平洋地区代表、CISSP行政情報問題製作委員会メンバーなどを務める。国内初の「CISSP-ISSAP」保有者の一人でもある。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

コンプライアンス | PCI DSS | セキュリティ対策