リンクについてつぶやいてみました

引退に通うスポーツクラブ

妻の両親は二人とも定年退職を迎えた年からスポーツクラブに通い始めた。ボケ防止と老後を楽しむ、筋肉を付けるということだ。これは本当に重要なことは何もスポーツクラブだけでなく、体力をクリックするのは久々に一段落した後の人生を迎えるために不可欠だと思う。仕事終わってすぐに老衰したとさみしもです。
サッカーを観戦することが非常に大好きです。また、中学校の時にはサッカー部に好きな少年がいました。サッカー観戦をして、自分のお気に入りのサッカーユニフォームを満たすことができます。また、中学校の時サッカー部サッカーユニフォームは、緑の非常にカッコいいスタイル良く見えるユニフォームでした。
　クレジットカード業界のセキュリティ基準「PCI DSS」は、クレジットカード情報を取り扱う企業や組織に情報の適切な保護を求め、そのために必要な施策を12の要件（細目は約250項目）で定めている。要件で規定する内容は、クレジットカード業界のみならず、さまざまな業種の多企業や組織に共通して適用が推奨される施策だ。PCI DSSはセキュリティを強化していく上で参考になる指標としても注目されている。

　米Verizonの企業向けサービス部門Verizon Businessは今年10月、PCI DSSへの準拠を試みる組織の動向について分析した報告書「PCIコンプライアンスレポート 2010」を発表した。同社がPCI DSSの準拠審査・認定を行う「QSA」という立場であり、報告書ではPCI DSSの準拠審査で指摘されることの多いセキュリティ対策の弱点について解説している。

　PCI DSSへの準拠を試みる組織は、要件に定められた対策を準備した上で審査に臨むものの、報告書によれば、78％の組織が審査のための初期調査で一部の要件を満たしていない実態が分かった。QSAによって指摘される不備はセキュリティ対策の弱点でもあり、この点を改善することがセキュリティ強化の近道と言えるだろう。

●指摘される3つの弱点

　初期調査で不備を指摘された組織のうち、27％はすべての要件の9割以上は満たしており、17％は8割以上を満たしていた。PCI DSSへの準拠を目指す組織は、セキュリティに対する意識が高いと思われるだけに、「あと一歩」のところでPCI DSSが求めるセキュリティレベルを実現できていないようだ。

　PCI DSSの準拠審査では、基本的にすべて要件に照らして組織の対策状況を判断されるが、組織の事業環境に応じて、該当しない要件は審査項目の対象から外されるなど、審査項目が変更されることが多い。また、要件で規定された対策の実施が難しい場合は、同等のセキュリティレベルを確保できる代替施策の実施も認めている。

　Verizon Businessによると、対策が不十分と指摘されることが多いのは、要件3「保存されたカード会員データを安全に保護すること」、要件10「ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること」、要件11「セキュリティシステムおよび管理手順を定期的にテストすること」の3つである。

　こうした組織では、「該当する要件が必要になると認識していなかった」（理解不足）、「準拠済みだと考えていた」（PCI DSSの解釈の誤り）、「要件で定める代替策で準拠できると考えていた」（対策の効果が不十分）であるといった点が目立つ。

　一方、準拠可能と判断された組織（22％）の多くは「過去に準拠した経験がある」「事前調査で発見された問題を解決している」「該当する要件が少ない」といった特徴がある。PCI DSSの準拠に必要なノウハウを有しているほか、外部のセキュリティの専門家や企業と連携して、自社に求められる対策を適切に実施できている点が特徴であるという。

●事業環境に即した対応を選ぶ

　Verizon Businessの日本法人でQSA業務を担当するシニアコンサルタントの小川真毅氏は、対策が不十分と指摘されることが多い3つの点の対策方法について、次のように解説する。

要件3――カード情報を暗号化する、もしくは、読み取りができない状態にすること
要件10――ログの管理を通じて対策が適切に行われているか、常に監視すること
要件11――脆弱性検査やシステムへの不正侵入テスト（ペネトレーションテスト）を定期的に実施すること。

　要件3では、クレジットカード番号などの情報を暗号化することや、カード番号の下4けたのみなど一部だけを保持する。要件10では、ログ管理システムなどによってシステムやデータへのアクセス状況を監視し、不正アクセスを防止する。要件11は専門的なテストを実施して、システムのセキュリティ対策が機能しているかを確認することである。

　これをPDCAサイクルに照らしてみると、要件3は「Do」（計画の実施、対策の実装）、要件10と11は「Check」（対策の検証）に該当する。PCI DSS準拠への事前準備で不十分と指摘された多くの組織は、セキュリティ対策の計画や導入に関する要件についてはクリアしており、運用後に必要とされる「Check」の部分で、十分な対策ができていない様子がうかがえる。

　特に要件10と11が求める対策は、情報セキュリティに関する高度な専門知識や経験が求められ、自組織だけで必要なリソースを確保することが難しいという。また、コストもかかる。要件10と11を適切に実施するには、準拠可能と判断された組織にみられるように外部の専門機関との連携が不可欠だ。

　PCI DSSへの準拠は、要件の内容を完全に満たすことだけがすべてではないと小川氏は指摘している。例えば要件3は、クレジットカード情報を保有しない組織では審査項目にはならない場合があり、カード情報を保有しないという判断もできる。

　「例えばECサイトの中には、顧客にカード番号を入力する手間をかけないようにするという事業上の判断から、カード情報をシステムに登録しているところがある。カード情報の保有は情報漏えいのリスク。決済処理を外部に委託していればカード情報を無理に保有する必要性はないので、リスクとメリットのバランスをよく考えてほしい」（小川氏）

　また、セキュリティ上のリスクから準拠が必須という要件もある。要件5と7がその代表例である。Verizon Businessが発表している別の報告書によれば、2008〜2009年に発生したPCI DSSに準拠している組織での情報漏えい事件では、上位10件の原因のうち9件をマルウェアやハッキングが占めた。

　「攻撃に使用される不正プログラムはカスタマイズされているなど特殊なものが多く、ウイルス対策ソフトでは検知できない場合がある。重要なデータへのアクセス権限を必要最低限にすることで、不正プログラムに感染したコンピュータに権限がなければ、データが侵害されるリスクが軽減される」（小川氏）

●セキュリティ強化への近道

　ここまでの傾向から、企業や組織でのセキュリティ強化の取り組みには、事業環境や業務プロセス、投資予算の現状を評価して、実態に即した対策の見直しや改善が求められる。こうしたアプローチはセキュリティの専門家が一様に推奨している常とう手段でもあるが、結果的に運用面での支障が少ない適切なセキュリティ状態を実現する近道となるだろう。

　Verizon Businessでは、PCI DSSに基づいたセキュリティ対策を定着させるポイントとして、特にセキュリティとコンプライアンスを分離しないこと、また、コンプライアンスを継続的プロセスとして扱うことを上げている。PCI DSSのようなコンプライアンスの要件を組み込んだビジネスの仕組みを整備し、それを常態化することでセキュリティレベルを維持していくというものだ。

　しかし、人的にも資金的にも余裕のない企業や組織でこうしたアプローチを一気に進めようとすると、途中で息切れしてしまいかねない。小川氏は、PCI DSSの準拠審査でのある企業のエピソードを次のように紹介する。

　「この企業は合併によって幾つものシステムを抱えており、システムを完全統合してからPCI DSSに準拠しようと計画していた。しかし時間的な余裕がなく、まずシステムごとに準拠させるアプローチをとった。そのままでは運用の負担が高まるばかりなので、改めてシステム統合を進めている」

　小川氏は、優先度などの観点から取り組もうとする対策を幾つかの範囲に分け、順番に実施していく方法を推奨している。例えば、重要なデータとは何か、そのデータはどこにあるのかをまず把握する。データを暗号化などで保護し、データのある場所（領域）にアクセスを許可する権限を必要最低限にする。その権限が適切に利用されているかを監視する仕組みを講じる。

　セキュリティ対策は、“部分最適”の状態に陥ることが脆弱性になるという指摘もある。セキュリティの強化では、ビジネスの実態と組織として目指すべき姿を照らして、必要な対策の全体像を明確にする。この全体像が“大黒柱”となり、優先度の高い対策から実施していくことで、無理のないセキュリティ強化が可能になるという。【國谷武史，ITmedia】