第28回 アムロにガンダムを持ち出された地球連邦みたいにならないための機密情報管理術（前編）：日本型セキュリティの現実と理想（3/3 ページ）

[武田一城，ITmedia]

情報の分割管理の例（クレジットカード）

　実は、この分離型の仕組みはモノの盗難防止対策だけではなく情報漏えい対策にも応用できる。それは、情報を分けて管理しておく手法だ。

　例えば、Webで買物をしてカード決済をする場合、クレジットカード番号と併せてセキュリティコードの入力が求められる。これはカード番号をどこかのWebサイトから盗まれた場合などに対処するために、カード番号だけでは決済させない仕組みだ。クレジットカード番号とセキュリティコードの2つを一つの情報とする考え方である。

　そのため、もしWebサイトがセキュリティコードとカード番号と一緒に保存してしまうと、この仕組みの意味（2回の入力）が無くなる。もし外部からのハッキングなどによって、この2つが漏えいした場合は、そのWebサイト運営企業に大きな損害が発生する。そして、そもそもこれはクレジットカード業界のセキュリティ基準「PCI DSS」（Payment Card Industry Data Security Standards）に違反する行為となり、金銭的な損害だけでなく守るべき基準や方法を守らなかった企業や組織としてブランド価値も地に落ち、取引すべきではない対象と市場に認識されてしまうだろう。こればビジネス継続ができないことと同義ともいえる非常にまずい事態だ。

　PCI DSSはクレジットカードの決済情報を扱うための厳格な基準であり、これ以外にも当然、いろいろと細かな規程もあるが、その中の一つとして、盗まれても使えないようにするために、このような守るべき情報の分割が定義されている。シンプルであるが、それゆえに根本的な対策でもあり、このような情報の管理は効果的だ。

　せっかく盗んでも、その情報がそのまま使えなければ、意味がなくなってしまう。このような方法はモノや情報を問わず、不正のそれを盗み出そうとする意図をくじくことができるのだ。

---

　このような例え話は、アニメと現実の両方を説明しなければならないので思いのほか文字数を費やしてしまった。そのため、今回は前編として、アムロにガンダムを容易に持ち出されてしまうような事態を回避する方法についてだけ述べた。次は後編として、この事態を招いた地球連邦側の管理体制の話を続けてみたい。

※出典：「機動戦士ガンダム」は株式会社サンライズ制作のアニメーションです。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）