ここまでの傾向から、企業や組織でのセキュリティ強化の取り組みには、事業環境や業務プロセス、投資予算の現状を評価して、実態に即した対策の見直しや改善が求められる。こうしたアプローチはセキュリティの専門家が一様に推奨している常とう手段でもあるが、結果的に運用面での支障が少ない適切なセキュリティ状態を実現する近道となるだろう。
Verizon Businessでは、PCI DSSに基づいたセキュリティ対策を定着させるポイントとして、特にセキュリティとコンプライアンスを分離しないこと、また、コンプライアンスを継続的プロセスとして扱うことを上げている。PCI DSSのようなコンプライアンスの要件を組み込んだビジネスの仕組みを整備し、それを常態化することでセキュリティレベルを維持していくというものだ。
しかし、人的にも資金的にも余裕のない企業や組織でこうしたアプローチを一気に進めようとすると、途中で息切れしてしまいかねない。小川氏は、PCI DSSの準拠審査でのある企業のエピソードを次のように紹介する。
「この企業は合併によって幾つものシステムを抱えており、システムを完全統合してからPCI DSSに準拠しようと計画していた。しかし時間的な余裕がなく、まずシステムごとに準拠させるアプローチをとった。そのままでは運用の負担が高まるばかりなので、改めてシステム統合を進めている」
小川氏は、優先度などの観点から取り組もうとする対策を幾つかの範囲に分け、順番に実施していく方法を推奨している。例えば、重要なデータとは何か、そのデータはどこにあるのかをまず把握する。データを暗号化などで保護し、データのある場所(領域)にアクセスを許可する権限を必要最低限にする。その権限が適切に利用されているかを監視する仕組みを講じる。
セキュリティ対策は、“部分最適”の状態に陥ることが脆弱性になるという指摘もある。セキュリティの強化では、ビジネスの実態と組織として目指すべき姿を照らして、必要な対策の全体像を明確にする。この全体像が“大黒柱”となり、優先度の高い対策から実施していくことで、無理のないセキュリティ強化が可能になるという。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.