開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/10/06

PCI DSSから学ぶグローバルセキュリティ標準(3)セキュリティ実装基準策定の要諦と具体的な数値基準

クレジットカード会員情報を保護するための事実上の国際標準規格で、2008年に入ってから日本国内でもセキュリティ業界を中心に急速に関心が高まっている「PCI DSS:Payment Card Industry Data Security Standard」。本連載では、ビジネスアシュアランス 代表取締役社長で、ネットワンシステムズ セキュリティ事業推進本部本部長をつとめる山崎文明氏に、PCI DSSについて解説いただくとともに、そこから学べる情報セキュリティ対策についての戦略をご紹介いただく。

山崎文明

山崎文明

ビジネスアシュアランス 代表取締役社長
ネットワンシステムズ セキュリティ事業推進本部本部長
工学院大学 技術者能力開発センター 客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
 大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。(以下、委員などの就任実績)内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
 主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。

 一定のセキュリティ水準を確保するために、PDCAをまわすだけのISMSをベースにしたアプローチだけでは、限界があることは前回に述べたと思う。しかし、いざ実装基準を作ろうとして、どのような考え方で取り組めば良いのかは疑問として沸いてくることだろう。PCIDSSを手本にするとしても、実装基準の網羅性の確認や表記方法など実装基準の策定にあたって、いくつかの課題があることに気付く。今回は、PCIDSSのベースにあるISO/IEC27033(注1)を紹介するとともに、「網羅性の確保」と「数値基準の明確化」という実装基準を策定する際の2つの要諦について解説する。
(注1)ISO/IEC27033
ISO/IEC27033の原典は、ISO/IEC18028Information technology -- Security techniques -- IT network security -- Part 1: Network security management)。現在、27000シリーズへの移行が予定されている。


セキュリティ対策の網羅性

 セキュリティポリシーを策定するにしても、要求事項の網羅性が保証されなければ、セキュリティポリシーとして欠陥があると言わざるを得ない。重要な要求事項が漏れていればセキュリティホールを生じる可能性があるわけで、要求事項を決定する上で脅威とその脅威に対する脆弱性を網羅的に認識することは極めて重要である。経験から網羅性を担保することも不可能ではないが、客観性がない網羅性には不安が残る。ベストプラクティス集と呼ばれる国際標準が重宝されるのも、この種の不安を解消するためだ。結果、セキュリティポリシーの策定には、情報セキュリティマネジメントシステムの国際標準である「ISO/IEC27000」が多くの企業・団体のセキュリティポリシーのベースにされている。

 ISO/IEC27000は、マネジメント領域の網羅性を保証するものではあるが、事業継続やネットワークセキュリティなど、個々のマネジメント領域に対するガイドラインとしては、十分とは言えない。そのため、個々のマネジメント領域におけるガイドラインを充足させるため、ISO/IEC27000には次々とガイドラインが追加されている。セキュリティ実装基準に深く関わるネットワークセキュリティに関しては、ISO/IEC CD 27033-1(Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security)の追加が予定されている。

 セキュリティ実装基準を策定する場合も網羅的な検討が不可欠で、網羅性を検証する意味でもISO/IEC27033に基づいた現状のセキュリティ対策の整理や実装基準作成の基本とすることが極めて重要である。このコラムの第1回「PCI DSSとは何か」で「PCI DSSの登場の背景にはCNP犯罪(Card Not Present Fraud)と呼ばれるインターネット上の犯罪を防止することを目的としていることを知っておくことは、PCI DSSの要求事項を理解する上で重要であろう。」と書いたが、PCI DSSの各要求事項はISO/IEC27033-1が定義する「ネットワークセキュリティを確保する上でコントロールしなければならない領域」とそれぞれ対応している。

 ISO/IEC27033-1の原典であるISO/IEC18028では、72の領域をカバーすることで網羅性を担保しようとしている。72の領域とは、Security layerとSecurity Plane、Security Dimensionの3軸で表現される立体上に位置する領域をさす。Security Dimension、Security layer、Security Planeはさらにそれぞれ次のように認識される。 つまり、ネットワークのセキュリティ対策は、3つの階層(Security layer)それぞれにおいて管理すべき3つの側面(Security Plane)があり、それぞれの側面に対して8つの検討課題があるとする考え方で、これらを掛け合わせると72の領域が定義される。この考え方に合わせて現状のセキュリティ対策を再整理すると、どの領域に対して認識が不足しているかが自ずと明らかとなり、今後のセキュリティ対策に対する方向性を確認することができる。

ネットワークのセキュリティ対策を3つの側面から考える
ネットワークのセキュリティ対策を3つの側面から考える

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!