コンプライアンスの理想と現実をつなぐ手段:企業セキュリティをあるべき姿に(2/2 ページ)
コンプライアンスに際して必ず付きまとう問題が代替コントロールです。これは企業の情報セキュリティ対策を構築する上でも例外処置として現れてきますが、これ非準拠として切り捨てるのではなく、全体バランスの中で運用していくことが実践的な方法を探ります。
代替コントロールのツボ
代替コントロールとは、PCI DSSでは「事業体が正当な技術上の制約または文書化されたビジネス上の制約のために記載されているとおりに明示的に要件を満たすことができないが、その他の(つまり代替の)コントロールを通じて要件に関連するリスクを十分に軽減している場合」に、検討できるものとしています。
それでは、代替コントロールとして認められるにはどのような要件が必要になってくるのでしょうか。前記の項目を例に挙げて考えて行きたいと思います。まず、要件3.4ですが、この項目に関しては、PCI Security Standards Council (PCIセキュリティ標準協議会)が、付録Bにおける代替コントロールの事例として取り上げて解説しています。
ちなみに、当該の事例では、(1)内部ネットワークのセグメンテーション、(2)IP アドレスまたはMACアドレスフィルタリング、(3)内部ネットワークからの2因子認証、の3つを組み合わせることで、当該のPANへのアクセスを極度に制限することになります。つまり、「すべての保存場所でPANを少なくとも読み取り不能にする」という代わりに、「すべてのPANの保存場所へのアクセスを極度に制限して読み取りを極度に困難にする」ことをもって代替コントロールとしています。ここで重要なことは、「読み取り不能にする」ことに捉われるのではなく、本来の目的である「読み取りによるリスクを極小化する」ことに主眼が置かれているという点です。
同様に前記に取り上げた要件10.2.1についても考えてみましょう。この要件にうたわれた「カード会員データへのすべての個人アクセスがログ記録されることを確認する」規定のそもそもの目的は、データ漏洩などの事件が起こった際に被害の特定と拡大防止を効率的かつ効果的に行うことにあります。つまり、アクセス元があるレベルまで特定でき、アクセス内容が記録され、また、期間も絞り込むこめる仕組みを導入することで、代替コントロールにできるのです。これを見る限りは、前記3.4で挙げたアクセス制御の仕組みを少し拡張することで、代替コントロールにできるでしょう。
しかし、ここで注意すべきことは、代替コントロールは監査者に妥当と認められる必要が有るということです。そのためには、(1)要件が想定しているリスクを正確に把握すること、(2)把握したリスクが自社のどの部分にどのように存在しているかを認識すること、(3)で認識したリスクへの対応策を他者に説明できる形で策定し実行していることを証明すること――が必要になってきます。
監査者への説明は、特に(3)が重要になってきますが、監査者は妥当なリスク対策を行っているかを判定するために来ているということを念頭に置けば、それはそのままステークホルダーへの説明にもつながります。ひいては前回述べた「アリバイ作りのスパイラルを断ち切り、実効性の有る実践的なコンプライアンスを確立する」ことにもつながります。
代替コントロールはコンプライアンスだけではなく、一般的な情報セキュリティ対策でも「現場の業務上どうしても必要な例外処置」という形で現れてくるものです。これらへいかにうまく対応し、それを内外に説明できることこそが本当に効果のあるコンプライアンスや情報セキュリティ対策を実現することにつながります。
次回は、そのような実効性を試される局面となる実際の事件・事故発生時へどのように対応すべきかを考察し、そのために普段から行っておくべきことを紹介します。
筆者プロフィール
プロフェッショナル・サービス部シニア セキュリティ・コンサルタント。情報セキュリティや情報資産管理に関する総合的なプロジェクトのマネジメント、サービスインテグレーション、電子商取引、事業継続対策に関わるソリューションなどを担当。情報システムセキュリティ協会(ISSA) 東京支部長・支部長連絡会アジア太平洋地区代表、CISSP行政情報問題製作委員会メンバーなどを務める。国内初の「CISSP-ISSAP」保有者の一人でもある。
関連記事
- 「コンプライアンス」という言葉に潜む問題点
企業の情報セキュリティ対策を構築する上で、常につきまとう言葉が「コンプライアンス」です。対策の指針を決定する重要な要素ですが、理解を誤れば適切な対策を講じるのは難しくなります。今回はコンプライアンスの言葉に潜む問題点を考察しましょう。 - 調査官に聞く、不正アクセス攻撃の今とは?(前編)
不正アクセス事件は年々巧妙化し、RAMスクレーパーという新手のマルウェアによる攻撃も登場した。近年の傾向と対策を米Verizon Businessで事件調査を担当するブライアン・サーティン氏らが紹介してくれた。 - 調査官に聞く、不正アクセス攻撃の今とは?(後編)
年々巧妙化する不正アクセス事件。既存の対策技術を回避する手法も登場する中で、企業はどのような策を講じたらいいか。米Verizon Businessの事件調査官にポイントを聞いた。 - セキュリティ管理の基本を徹底すべし、情報漏えい統計に見るデータ侵害
米Verizon Businessが担当した情報漏えい事件の調査では、システムの脆弱性解消やパートナー企業に対するセキュリティ管理の徹底がデータ侵害の予防につながることが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.