- 会員限定
- 2009/02/12 掲載
PCI DSSから学ぶグローバルセキュリティ標準(5)バリューチェーン全体を見渡したエンタープライズDSSへ
ビジネスアシュアランス 代表取締役社長
ネットワンシステムズ セキュリティ事業推進本部本部長
工学院大学 技術者能力開発センター 客員講師
システム監査技術者(経済産業省)/英国規格協会公認BS7799情報セキュリティ・スペシャリスト
大手外資系会計監査法人にてシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。(以下、委員などの就任実績)内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
主な著書に「PCIデータセキュリティ基準 完全対策」(日経BP社 監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)などがある。
バリューチェーン全体のセキュリティ水準向上を図る
「エンタープライズ・データセキュリティ・スタンダード」という考え方
第2回(ISMSをベースにしたアプローチの限界)でも述べたが、昨今、企業のデータ処理は必ずしも1社の社内ステムの中だけで完結する時代ではない。そのため、サプライチェーン、もしくはアウトソーシングを含めた付加価値を創造するバリューチェーン全体を見渡したセキュリティ対策がこれから一層重要になる。エンタープライズと呼ぶにふさわしい大手企業では、すでにISMSの導入が一巡している現在、下請け企業や関係企業に広がるサプライチェーン全体のセキュリティ水準の向上が次なる課題だからだ。
その具体的な推進策として、取引先を含めたグループ企業間でデータセキュリティ・スタンダードを共有する「エンタープライズ・データセキュリティ・スタンダード(以下、eDSS)」という考え方を提唱したい。
サプライチェーンにかかわる関係各社が、共通したセキュリティ水準(eDSS)を実装していることが確認されれば、そのサプライチェーン全体でも最低限のセキュリティが確保されていることになる。結果的に、自社の株主をはじめ、ステークホルダーや第三者への説明に用いることも可能になるだろう。
eDSSにおけるセキュリティポリシーの共有
また、特別編(PCI DSS1.2の概要--フロリダで開催の総会レポート)でもご紹介したPCI DSSの原則「不必要なデータは持たない、重要なデータは保護する」は、シンプルだが、eDSSを考えるうえで非常に重要だ。さらに、「重要情報の特定セグメントへの隔離」も重要な原則だろう。この2つのPCI DSSの原則は、システムの設計段階から考慮される必要がある要求事項でありながら、従来のシステム開発の現場では、ほとんど考慮されてこなかったのが現実ではないだろうか。
eDSSを実効性の高いセキュリティ基準とするためには、関係各社がシステム設計を行う際に、共通のポリシーとして、まずはこうした基本的な原則が実践される必要があるだろう。
関連タグ
PR
PR
PR