開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/09/03

PCI DSSから学ぶグローバルセキュリティ標準(2)ISMSをベースにしたアプローチの限界

クレジットカード会員情報を保護するための事実上の国際標準規格で、2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている「PCI DSS:Payment Card Industry Data Security Standard」。本連載では、ビジネスアシュアランス 代表取締役社長で、ネットワンシステムズ セキュリティ事業推進本部本部長をつとめる山崎文明氏に、PCI DSSについて解説いただくとともに、そこから学べる情報セキュリティ対策についての戦略をご紹介いただく。

山崎文明

山崎文明

ビジネスアシュアランス 代表取締役社長
ネットワンシステムズ セキュリティ事業推進本部本部長
工学院大学 技術者能力開発センター 客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
 大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。(以下、委員などの就任実績)内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
 主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。

 PCI DSS(Payment Card Industry Data Security Standard)は、クレジット産業界が導入した実装レベルのセキュリティ対策基準である。いま、なぜクレジット産業界が実装レベルのセキュリティ対策基準を必要としているかは明らかだ。前回ご紹介した「PCI DSSの背景」で紹介したように、相次ぐクレジットカード会員情報の漏えい事件を起原としたクレジットカードの不正使用による犯罪被害が急拡大している現状への対策として、その普及が急がれているのだ。

 こうした現象はクレジットカード業界に限ったことと、無関心な読者も多いのではないだろうか。だが、企業のコンピューターやデータベースがインターネットなどを通して強く結合している今、もはや1企業では情報セキュリティを確保し得ない。クレジットカード業界が置かれているのと同じような状況が、一般企業にも遅かれ早かれ訪れる日が来るのである。そのため、多くの企業はこうした事態を想定したセキュリティ対策への取り組みが求められる。

自らの判断でセキュリティ対策を行うことに限界

 米国では、2005年に発覚したカードシステムズソリューション社の4,000万件にものぼる大量のクレジットカード会員情報の漏えい事件に引き続き、2007年1月にも衣料雑貨チェーンストア大手のTJX社で、4,500万件以上ともいわれるクレジットカード情報漏えい事件が発生し、今もなお注目を集めている。クレジットカードの不正使用による被害が未だに収束の気配を見せないことから、一部の州では集団訴訟にも発展し始めている。

 この事件の直接の引き金になったのは中国国内からのハッキングによるものとされているが、そもそも小売店(加盟店)であるTJX社がPCI DSSの要求事項に従わず、不必要なクレジットカード番号情報を保存していたことが最大の原因である。さらに同様の事件は、日本国内でも急増している。今年3月には音響機器の輸入販売を行うサウンドハウス、また、5月には「アイドラッグストアー」「アイビューティーストアー」などのネット通販を展開するオズ・インターナショナルのWebサイトが、中国国内から行われたSQLインジェクション攻撃を使用した不正アクセスを受け、クレジットカード番号や有効期限、ログインパスワードなどが流出し、クレジットカードの不正利用が発生している。

 PCI DSSの本質は、情報を取り扱う当事者が自らの判断でセキュリティ対策を選択・実施している現在のスキームの延長では、もはや限界とみた国際カードブランドが、情報の取扱を許可する条件として、具体的なセキュリティ対策の実装を要求したことにある。事実上の国際標準とはいえ、情報管理の主体が情報を取り扱う当事者にも契約上の義務として基準への準拠を求めている点は、PCI DSSが情報セキュリティマネジメントシステム(ISO27001)に代表される他の国際標準規格と大きく異なる点だ。

相次ぐ情報漏えい事件から見えてきたセキュリティ対策の現実

 先に紹介したサウンドハウス社の事例では、社長の中島尚彦氏が「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ 2008年4月18日」と題して22ページにも及ぶやり場のない不満を切々と述べておられる(参考PDF)。その文書の中に興味深い一節がある。お客様からの指摘として「個人情報管理が甘かったのではないか」との問いに対して、2008年2月に警察庁が公表した企業におけるセキュリティ対策の実態調査報告書を引用して、ファイアーウォールや不正アクセス検知システムの導入率との比較を行い、「通常、企業が取るべき対策は取っており、完璧ではないが、落ち度があったと言えるレベルでもない」との見解を示されている。サウンドハウス社は、決してセキュリティをおざなりにしてきた企業でないことは、「お詫びとお知らせ」の内容からも推察できる。一方、セキュリティに関心が高いエンジニアであればセキュリティの専門家でなくともこの時期、SQLインジェクション攻撃によるハッキングの被害が急増していることも周知であるし、その対策として何をなすべきかは、明確ではないかとの意見も多い。問題の本質は、この認識のギャップにある。

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!