Special Issue
“どこまで、どのようなセキュリティ対策を行えば良いのか”に応える、実装レベルでの具体的基準「PCI DSS」
2009/12/17 19:55
週刊BCN 2009年12月14日vol.1313掲載
クレジットカード業界から生まれたセキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」。クレジット情報や個人情報を保護するためにつくられた基準だから、その他の業種・業態の企業には関係ないと考えてはいないだろうか? それは大きな間違いだ。PCI DSSは、これまでセキュリティ対策の課題であった “どこまで、どのようなセキュリティ対策を行えば良いのか”に、具体的に実装を定義した基準になっている。「PCI DSSソリューション」を提供し、クレジットカード業界だけではなく、多種多様な企業でPCI DSS準拠を支援してきた、京セラコミュニケーションシステム(KCCS)のセキュリティ事業部長でPCI DSSプロジェクトリーダーを兼ねる桑原 貴志氏にPCI DSSへ準拠するためのポイントを伺った。
PCI DSS準拠の前に
「クレジットカード業界に限らず、企業は情報システムをセキュリティ上の脅威から守るためにさまざまな対策を講じてきています。ファイアウォールやルータなどのネットワーク機器を利用したセキュリティ対策などは、その一例です。PCI DSSを導入する際には、そのような既存のICTシステムをベースに検討・対応をはじめるのが一般的ですが、その前にやらなければいけないことがあります。それは、現状とPCI DSSの要件とのギャップを明確にすることです。つまり、“既存のシステム”“既存の運用”を明確にし、何が不足しているのかを洗い出し、“ICTを活用することで高い効果が得られること”と“人による運用で実施すべきこと”に分類することが必要なのです。そのうえで“新たに導入すべきもの”“外部に委託したほうが良いもの”を、導入や運用のコスト、期間などを考慮して総合的に判断することが求められます」(桑原)
このような事前の分析は、二重投資のようなムダな出費を防ぐなど、将来にわたる運用のコストや負担を低減するためにも非常に重要なことだろう。
さらに、PCI DSS要件と現状とのギャップを分析するうえでは、乗り越えなければならない壁が3つあると言う。
「1つ目の壁は“文書(ルール)”です。PCI DSS導入の対象となるシステムにおいて、各種の文書(ルール)がすでに用意されているかということが重要です」(桑原)
PCI DSSで定義される文書とは、ネットワーク図や機器一覧表、サービスやアプリケーション/OSなどのリストのほか、アクセス権の管理方法、システム運用基準、変更管理手順、脆弱性の対策基準などをまとめたマニュアルのこと。このような文書が、現場担当者の頭の中にしか存在しないというケースは珍しいことではなく、もしそうだとすれば、第三者による監査は不可能だ。そのときは、内容が妥当かどうかを検討し、必要に応じて文書を作成しなければいけない。
「2つ目の壁は“ICTのシステム”です。PCI DSSの場合、クレジットカード情報を取り扱うセグメントに対して厳重なアクセス制御を実施することを求めています。具体的には、外部(インターネットや無線LANなど)とのセグメントの境界にファイアウォールが設置されていること、アンチウイルス・ソフトウェアが導入されていること、OSやアプリケーションがPCI DSSのこれらを満たしていることなどが要求されています」(桑原)
ファイアウォールやアンチウイルス・ソフトウェアに関しては、実際には導入済みの企業がほとんどだ。したがって、そのようなICT資産を有効活用することを前提に、既存のICTシステムがPCI DSSの要件を満たしているか、設定を変更すれば要件を満たすことができるのか、その場合はどのように設定するべきかといった点を確認することが求められるのだと言う。
「3つ目の壁は“運用”です。これは、多くの企業にとって最も困難な壁と言えるのではないでしょうか。運用は、適用→チェック→証跡確保→適用というサイクルで繰り返し実施する必要があるだけではなく、どのように運用し、どのようにチェックし、問題が発生したらどのように対処したのかということまで記録しなければいけません」(桑原)
自社スタッフのみで、このような項目を分析し、的確な判断を下していくのが困難なケースもあるはずだ。そのような場合のために、経験・実績の豊富なパートナーなどを見つけておくことも重要だろう。
新たな製品・サービスの導入では
現状とPCI DSS要件とのギャップを分析した結果、新たな製品・サービスやソリューションの導入が必要な場合、何を基準に選べば良いのか。
最近は、PCI DSS準拠をうたう製品やサービスが数多く市場に出回っている。“WAF(Web Application Firewall)”や“ファイル完全性監視ソフトウェア”“脆弱性診断ツール”などは顕著だ。
「例えばWAFに関しては、PCI DSSの要件6『安全性の高いシステムとアプリケーションの開発と保守』の中で、外部に公開されたWebアプリケーションの脆弱性対策の1つとして導入が推奨されています。そのため、この部分の記述だけを見ると、WAFを導入した方が良いという意味に受け取ったとしても不思議ではないでしょう。しかし、WAFは不正アクセスを完全に防止するものではなく、また脆弱性診断を網羅的に行えるものでもありません。脆弱性の根本的な対策としては、脆弱性診断を行い発見されたシステムやプログラムの改修を行うことの方が重要です。WAFは、暫定的な対策に用いると考えるのが適切ではないでしょうか」(桑原)
さらに、重要なファイルが変更されたときには警告を発し、また少なくとも1週間に1回はチェックする、というPCI DSSの要件11『セキュリティ・システムおよび管理手順を定期的にテストすること』でも、監視ソフトウェアを導入したからといって簡単にこなせるわけではなく、適切に監視していくためには、製品の知識や設定に関する高いスキルが必要だと言う。
「ご存知のとおり、OSやアプリケーションで使用されるファイルの数は数万~数十万個あります。また、各ファイルはさまざまな特性を持っているため、それらを一律に同じ条件下で監視することは困難です。仮に、すべてのファイルを同じ設定で監視しようとすれば、監視ソフトウェアが発する無数のアラートに翻弄されて、なかなかチェックが進まないという状態に陥るでしょう」(桑原)
ファイル完全性監視ソフトウェアを検討する際は、開発元や製品の実績に注目するとともに、その製品の導入経験が豊富でスキルの高いインテグレータを選定する必要があるだろう。
負担を軽減する
PCI DSSの認定は、製品の選定・導入後に監査をパスすれば取得できるというものではなく、毎年、すべての項目にわたって監査を受ける必要がある。
例えば、PCI DSSの要件11.2『少なくとも四半期に1回、また、ネットワークの大幅な変更後に、外部ネットワークの脆弱性スキャンを実行する』がある。
これは、企業のICTシステムは常に進化・変化し、何らかの変更が加えられていくものという前提にもとづいている。新しい技術が導入されたり、未知のセキュリティ・リスクが発見されたりすることもある。
こうした絶え間ない変化に対応していくのは、企業にとってかなりの負担となるに違いない。その負担を軽減するためには、アウトソーシングが有効な手段となる。ただし、アウトソーシング先に対しては、コスト削減だけではなく、さらなる改善の提案といったプラス効果も求めるべきであろう。
「KCCS は、さまざまな業種、業態のお客様のPCI DSS準拠をサポートしてきた実績と経験から12 要件の中でも、ICT導入で高い効果が得られる4つの要件に対応する“PCI DSSソリューション”を提供しています。中でも、要件12.2に対応した“PCIスキャンサービス”は、検査運用の負担を軽減するべく、スキャンの予約、レポートの作成までをKCCSがサポートするサービスです。また、他の要件への対応も“アウトソーシングサービス”により、応えています」(桑原)
情報漏えい事件の多くは、PCI DSSの遵守事項が守られていれば起こらなかっただろうと言われている。PCI DSSの2百数十項目に及ぶ要件は、一般企業でもすぐに役立つものばかり。具体的で即効性のあるこれらを遵守するだけでも、大幅に情報セキュリティリスクを低減できるだろう。PCI DSS は情報セキュリティ対策のベストプラクティスではないだろうか。
【ホワイトペーパーダウンロード】
【お問い合わせ先】
京セラコミュニケーションシステム株式会社
KCCSカスタマーサポートセンター
0120-911-901 (フリーコール)
050-3161-3924(携帯電話・PHS・IP電話など)
受付時間 平日9:00~17:00
(17:00以降のお問い合わせは自動応答になります。)
ホームページ http://www.kccs.co.jp/
E-mail kccs-support@kccs.co.jp
PCI DSS準拠の前に
3つの壁
 |
| 京セラコミュニケーションシステム株式会社 プラットフォーム事業本部 セキュリティ事業部長 兼PCI DSSプロジェクトリーダー 桑原 貴志 |
このような事前の分析は、二重投資のようなムダな出費を防ぐなど、将来にわたる運用のコストや負担を低減するためにも非常に重要なことだろう。
さらに、PCI DSS要件と現状とのギャップを分析するうえでは、乗り越えなければならない壁が3つあると言う。
「1つ目の壁は“文書(ルール)”です。PCI DSS導入の対象となるシステムにおいて、各種の文書(ルール)がすでに用意されているかということが重要です」(桑原)
PCI DSSで定義される文書とは、ネットワーク図や機器一覧表、サービスやアプリケーション/OSなどのリストのほか、アクセス権の管理方法、システム運用基準、変更管理手順、脆弱性の対策基準などをまとめたマニュアルのこと。このような文書が、現場担当者の頭の中にしか存在しないというケースは珍しいことではなく、もしそうだとすれば、第三者による監査は不可能だ。そのときは、内容が妥当かどうかを検討し、必要に応じて文書を作成しなければいけない。
「2つ目の壁は“ICTのシステム”です。PCI DSSの場合、クレジットカード情報を取り扱うセグメントに対して厳重なアクセス制御を実施することを求めています。具体的には、外部(インターネットや無線LANなど)とのセグメントの境界にファイアウォールが設置されていること、アンチウイルス・ソフトウェアが導入されていること、OSやアプリケーションがPCI DSSのこれらを満たしていることなどが要求されています」(桑原)
ファイアウォールやアンチウイルス・ソフトウェアに関しては、実際には導入済みの企業がほとんどだ。したがって、そのようなICT資産を有効活用することを前提に、既存のICTシステムがPCI DSSの要件を満たしているか、設定を変更すれば要件を満たすことができるのか、その場合はどのように設定するべきかといった点を確認することが求められるのだと言う。
「3つ目の壁は“運用”です。これは、多くの企業にとって最も困難な壁と言えるのではないでしょうか。運用は、適用→チェック→証跡確保→適用というサイクルで繰り返し実施する必要があるだけではなく、どのように運用し、どのようにチェックし、問題が発生したらどのように対処したのかということまで記録しなければいけません」(桑原)
PCI DSSで必須とされている運用項目の例
・不要なプログラムが動いていないことを確認する
・セキュリティ機器の設定を半年ごとに見直す
・定期的にログイン・パスワードを変えさせる
・常に最適なアクセス権を維持する
・ログを安全に保管する/解析する
・すべての変更に証跡を残す
・不要なプログラムが動いていないことを確認する
・セキュリティ機器の設定を半年ごとに見直す
・定期的にログイン・パスワードを変えさせる
・常に最適なアクセス権を維持する
・ログを安全に保管する/解析する
・すべての変更に証跡を残す
自社スタッフのみで、このような項目を分析し、的確な判断を下していくのが困難なケースもあるはずだ。そのような場合のために、経験・実績の豊富なパートナーなどを見つけておくことも重要だろう。
新たな製品・サービスの導入では
何を基準に選べば良いのか
現状とPCI DSS要件とのギャップを分析した結果、新たな製品・サービスやソリューションの導入が必要な場合、何を基準に選べば良いのか。最近は、PCI DSS準拠をうたう製品やサービスが数多く市場に出回っている。“WAF(Web Application Firewall)”や“ファイル完全性監視ソフトウェア”“脆弱性診断ツール”などは顕著だ。
「例えばWAFに関しては、PCI DSSの要件6『安全性の高いシステムとアプリケーションの開発と保守』の中で、外部に公開されたWebアプリケーションの脆弱性対策の1つとして導入が推奨されています。そのため、この部分の記述だけを見ると、WAFを導入した方が良いという意味に受け取ったとしても不思議ではないでしょう。しかし、WAFは不正アクセスを完全に防止するものではなく、また脆弱性診断を網羅的に行えるものでもありません。脆弱性の根本的な対策としては、脆弱性診断を行い発見されたシステムやプログラムの改修を行うことの方が重要です。WAFは、暫定的な対策に用いると考えるのが適切ではないでしょうか」(桑原)
さらに、重要なファイルが変更されたときには警告を発し、また少なくとも1週間に1回はチェックする、というPCI DSSの要件11『セキュリティ・システムおよび管理手順を定期的にテストすること』でも、監視ソフトウェアを導入したからといって簡単にこなせるわけではなく、適切に監視していくためには、製品の知識や設定に関する高いスキルが必要だと言う。
「ご存知のとおり、OSやアプリケーションで使用されるファイルの数は数万~数十万個あります。また、各ファイルはさまざまな特性を持っているため、それらを一律に同じ条件下で監視することは困難です。仮に、すべてのファイルを同じ設定で監視しようとすれば、監視ソフトウェアが発する無数のアラートに翻弄されて、なかなかチェックが進まないという状態に陥るでしょう」(桑原)
ファイル完全性監視ソフトウェアを検討する際は、開発元や製品の実績に注目するとともに、その製品の導入経験が豊富でスキルの高いインテグレータを選定する必要があるだろう。
負担を軽減する
アウトソーシングサービス
PCI DSSの認定は、製品の選定・導入後に監査をパスすれば取得できるというものではなく、毎年、すべての項目にわたって監査を受ける必要がある。例えば、PCI DSSの要件11.2『少なくとも四半期に1回、また、ネットワークの大幅な変更後に、外部ネットワークの脆弱性スキャンを実行する』がある。
これは、企業のICTシステムは常に進化・変化し、何らかの変更が加えられていくものという前提にもとづいている。新しい技術が導入されたり、未知のセキュリティ・リスクが発見されたりすることもある。
こうした絶え間ない変化に対応していくのは、企業にとってかなりの負担となるに違いない。その負担を軽減するためには、アウトソーシングが有効な手段となる。ただし、アウトソーシング先に対しては、コスト削減だけではなく、さらなる改善の提案といったプラス効果も求めるべきであろう。
「KCCS は、さまざまな業種、業態のお客様のPCI DSS準拠をサポートしてきた実績と経験から12 要件の中でも、ICT導入で高い効果が得られる4つの要件に対応する“PCI DSSソリューション”を提供しています。中でも、要件12.2に対応した“PCIスキャンサービス”は、検査運用の負担を軽減するべく、スキャンの予約、レポートの作成までをKCCSがサポートするサービスです。また、他の要件への対応も“アウトソーシングサービス”により、応えています」(桑原)
情報漏えい事件の多くは、PCI DSSの遵守事項が守られていれば起こらなかっただろうと言われている。PCI DSSの2百数十項目に及ぶ要件は、一般企業でもすぐに役立つものばかり。具体的で即効性のあるこれらを遵守するだけでも、大幅に情報セキュリティリスクを低減できるだろう。PCI DSS は情報セキュリティ対策のベストプラクティスではないだろうか。
【ホワイトペーパーダウンロード】
【お問い合わせ先】
京セラコミュニケーションシステム株式会社
KCCSカスタマーサポートセンター
0120-911-901 (フリーコール)
050-3161-3924(携帯電話・PHS・IP電話など)
受付時間 平日9:00~17:00
(17:00以降のお問い合わせは自動応答になります。)
ホームページ http://www.kccs.co.jp/
E-mail kccs-support@kccs.co.jp
- 1
