- 会員限定
- 2008/10/06 掲載
PCI DSSから学ぶグローバルセキュリティ標準(3)セキュリティ実装基準策定の要諦と具体的な数値基準
ビジネスアシュアランス 代表取締役社長
ネットワンシステムズ セキュリティ事業推進本部本部長
工学院大学 技術者能力開発センター 客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。(以下、委員などの就任実績)内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。
ISO/IEC27033の原典は、ISO/IEC18028Information technology -- Security techniques -- IT network security -- Part 1: Network security management)。現在、27000シリーズへの移行が予定されている。
セキュリティポリシーを策定するにしても、要求事項の網羅性が保証されなければ、セキュリティポリシーとして欠陥があると言わざるを得ない。重要な要求事項が漏れていればセキュリティホールを生じる可能性があるわけで、要求事項を決定する上で脅威とその脅威に対する脆弱性を網羅的に認識することは極めて重要である。経験から網羅性を担保することも不可能ではないが、客観性がない網羅性には不安が残る。ベストプラクティス集と呼ばれる国際標準が重宝されるのも、この種の不安を解消するためだ。結果、セキュリティポリシーの策定には、情報セキュリティマネジメントシステムの国際標準である「ISO/IEC27000」が多くの企業・団体のセキュリティポリシーのベースにされている。
ISO/IEC27000は、マネジメント領域の網羅性を保証するものではあるが、事業継続やネットワークセキュリティなど、個々のマネジメント領域に対するガイドラインとしては、十分とは言えない。そのため、個々のマネジメント領域におけるガイドラインを充足させるため、ISO/IEC27000には次々とガイドラインが追加されている。セキュリティ実装基準に深く関わるネットワークセキュリティに関しては、ISO/IEC CD 27033-1(Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security)の追加が予定されている。
セキュリティ実装基準を策定する場合も網羅的な検討が不可欠で、網羅性を検証する意味でもISO/IEC27033に基づいた現状のセキュリティ対策の整理や実装基準作成の基本とすることが極めて重要である。このコラムの第1回「PCI DSSとは何か」で「PCI DSSの登場の背景にはCNP犯罪(Card Not Present Fraud)と呼ばれるインターネット上の犯罪を防止することを目的としていることを知っておくことは、PCI DSSの要求事項を理解する上で重要であろう。」と書いたが、PCI DSSの各要求事項はISO/IEC27033-1が定義する「ネットワークセキュリティを確保する上でコントロールしなければならない領域」とそれぞれ対応している。
ISO/IEC27033-1の原典であるISO/IEC18028では、72の領域をカバーすることで網羅性を担保しようとしている。72の領域とは、Security layerとSecurity Plane、Security Dimensionの3軸で表現される立体上に位置する領域をさす。Security Dimension、Security layer、Security Planeはさらにそれぞれ次のように認識される。 つまり、ネットワークのセキュリティ対策は、3つの階層(Security layer)それぞれにおいて管理すべき3つの側面(Security Plane)があり、それぞれの側面に対して8つの検討課題があるとする考え方で、これらを掛け合わせると72の領域が定義される。この考え方に合わせて現状のセキュリティ対策を再整理すると、どの領域に対して認識が不足しているかが自ずと明らかとなり、今後のセキュリティ対策に対する方向性を確認することができる。
ネットワークのセキュリティ対策を3つの側面から考える |
---|
関連タグ
PR
PR
PR