- 会員限定
- 2009/01/07 掲載
PCI DSSから学ぶグローバルセキュリティ標準(4)QSA監査基準からPCI DSSの原則を見る
ビジネスアシュアランス 代表取締役社長
ネットワンシステムズ セキュリティ事業推進本部本部長
工学院大学 技術者能力開発センター 客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。(以下、委員などの就任実績)内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。
QSA監査基準からPCI DSSの原則を見る
PCI DSSには、PCI DSSへの準拠性について監査し、証明するためのQSA(Qualified Security Assessor:認定監査機関)という仕組みが用意されている。QSAとは、企業とその企業に従業員の双方が、PCI DSSに準拠していることを認定された機関となる。PCI DSSがセキュリティに関する実装基準であり、要求事項が具体的に示されていることは何度か述べたが、実は、PCI DSSをより正確に理解しようとするならQSA監査基準を理解する必要がある。なぜならば監査基準には、より具体的な例が記述されているからだ。
たとえばPCI DSSの要求事項9.1では、「9.10.1 カード会員データを再現できないよう、ハードコピー資料を裁断、焼却、またはパルプ化する。」と定められており、不要になったカード会員データを含む媒体を破棄することを求めている。
この要求事項に対してQSA監査として実施すべきテスト手順には「9.10.1.a ハードコピー資料が、再現できないことを合理的に保証するように、クロスカット裁断、焼却、またはパルプ化されていることを確認する」と記述されており、「裁断」が「クロスカット裁断」でなければならないことがわかる。一見非常に細かいようだが、クロスカットではなく、いわゆるスパゲティカットで裁断してしまった場合、裁断片をイメージリーダーで読み取り、自動的に裁断片を元通りに配列して修復してしまうツールが出回っていることに配慮した結果である。
こうしたテスト手順の理解が要求事項の正確な理解につながるとの判断から、2008年10月1日から適用が開始されたPCI DSSの新バージョン1.2からは、要求事項とテスト手順が並列に記載されている。
このように、PCI DSSをQSA監査の視点で捉えるとセキュリティに対する「原則」がさらに見えてくるのである。
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
PR
PR
PR