2007年
NetOne PCIDSS実践セミナー~情報セキュリティ対策はどこまでやれば良いのか?~当日の内容
基調講演「米国情報セキュリティ最新動向とPCIDSS」 〜ISMSへの過信が招くサプライチェーン・リスク〜
セキュリティ事業推進本部 本部長
山崎 文明
【Profile】
- システム監査技術者(経済産業省)/米国公認情報システム監査人(CISA)
- 英国規格協会 BS7799情報セキュリティ・スペシャリスト
- 元内閣官房 安全保障危機管理室 情報セキュリティ対策推進室WG委員
- 元警察庁不正アクセス犯罪等対策専科講師
- 2007年学校セキュリティ検討委員会委員
- 警察政策学会正会員
- 日本リスク・マネジメント学会正会員
- 大手会計監査法人にてシステム監査に永年従事
■カード業界における最低限のセキュリティ基準PCIDSS
今年1月に発覚した米国大手小売りチェーンTJXで起こった4500万件を越えるクレジットカードデータ漏洩事件は、いまなおその対応が終わらず、最終的な被害総額は86億ドルに上るという試算結果も報告されています。
このように、ひとたびカード会員情報の漏洩事故が起きれば、その対応のための小売業者としてコストが発生することは当然として、カード会社にとっては最も重要な信頼を失い、ブランドそれ自体が崩壊する危険性があります。
こうした背景から、国際カードブランド5社により、クレジットカード業界における最低限のセキュリティ対策要求基準として策定されたのがPCIDSSです。PCIDSSは大きく12の要件からなり、各要件はさらに中項目、小項目で構成され、データ保護のために実施すべき事項を具体的に規定しています。
このように、ひとたびカード会員情報の漏洩事故が起きれば、その対応のための小売業者としてコストが発生することは当然として、カード会社にとっては最も重要な信頼を失い、ブランドそれ自体が崩壊する危険性があります。
こうした背景から、国際カードブランド5社により、クレジットカード業界における最低限のセキュリティ対策要求基準として策定されたのがPCIDSSです。PCIDSSは大きく12の要件からなり、各要件はさらに中項目、小項目で構成され、データ保護のために実施すべき事項を具体的に規定しています。
■自己責任のISMS、実践を要求するPCIDSS
日本ではPCIDSSに先立ち、情報セキュリティを組織的に向上させていく枠組みとしてISMS(Information Security Management System)が広く認知されており、策定予定までを含めると95.8%の企業が導入しています。にもかかわらず、情報漏洩事件は後を絶たないというのが現状です。
その原因は、ISMSが技術的なセキュリティ要件そのものを定めたものではなく、リスクを取るかどうかを含めて、全て企業自らが判断し、対策を取っていかなければならないという点にあります。
そのため、せっかくISMSを導入したにもかかわらず、「何をどこまでやればよいのかわからない」あるいは有効な対策を取ることができないという状況に陥っているといえます。
その原因は、ISMSが技術的なセキュリティ要件そのものを定めたものではなく、リスクを取るかどうかを含めて、全て企業自らが判断し、対策を取っていかなければならないという点にあります。
そのため、せっかくISMSを導入したにもかかわらず、「何をどこまでやればよいのかわからない」あるいは有効な対策を取ることができないという状況に陥っているといえます。
これに対してPCIDSSは「カード情報(一般企業に当てはめれば重要情報)」を保護するためには、何をすべきか」を基準にしており、その実装を無条件に要求するものです。PCIDSSに準拠しているということは、カード会社と同等のセキュリティレベルを達成していることを意味するため、「何をどこまでやればよいのか」といった問題に対するひとつの解と考えることができます。
また、PCIDSSは実施すべき基準が厳密に定められているため、情報セキュリティにおけるベンチマークとして活用することで、自社のセキュリティレベルについて客観的評価を行い、対策方針を決定していくことが可能です。
■サプライチェーンリスク・マネジメント
もうひとつ、一般企業に対してPCIDSSが提示するソリユーションは、サプライチェーンにおける情報漏洩に対するリスク・マネジメントとして機能する点にあります。
ISMSは特定の組織を対象とし、その対策も各自の自己責任によって行うこととなっています。極端な話、A社で暗号化すべき機密情報が同じサプライチェーンを構成しているB社ではマネジメント方針として生データとして扱うというリスクを取っていることも考えられます。これに対してPCIDSSでは委託契約においてPCIDSSに準拠していることを確認しなければならないため、サプライチェーンにおける情報漏洩等のリスクを低減することができます。
今後XMLコンピューティング等の普及により企業間の結びつきはますます深くなっていくことが予想されます。また、web2.0に移行が進むに従い攻撃者の標的も公開サーバから内部サーバ、イントラネットへと移りつつある中、PCIDSSのような実装レベルでお互いに信頼できるセキュリティ実装基準の重要性はますます高まっていくことと予想されます。
■米国最新事情 −PCIDSS義務化の流れ−
さて、ここで米国における最新動向をご紹介します。もともとPCIDSSはSafe Harbor(免責自由)として米国で誕生した民間策定のガイドラインです。しかし、驚いたことに、今年になってから矢継ぎ早に米国各地でその義務化を定める法律が制定されています。例えば5月にテキサス州提出された法案では、PCIDSSに準拠しており、やむなく事故を起こした場合には免責されるとしています。
こうした動きは、今後活発に行われることは予想に難くなく、そうなれば連邦法として採択されることも十分に考えられます。
・テキサス州 CSHB3222 (2007年5月)
- PCIDSSに準拠しておらず漏洩事件・事故を起こした場合、金融機関は損害賠償訴訟を起こすことができる
・直接的損害
- 弁護士費用
- アクセスデバイスの取り消しならびに再発行費用
- 口座の閉鎖、支払い停止、口座再開費用
- 不正により生じた損害の口座開設者への返金費用
- 口座開設者への通知費用
- 金融機関が被った全ての費用
- 事件・事故を起こした組織は90日以内にPCIDSSに準拠していた事を証明する証明書を提出しなければならない。30日以内に証明できれば訴訟を免れる。
こうした動きは、今後活発に行われることは予想に難くなく、そうなれば連邦法として採択されることも十分に考えられます。
・テキサス州 CSHB3222 (2007年5月)
- PCIDSSに準拠しておらず漏洩事件・事故を起こした場合、金融機関は損害賠償訴訟を起こすことができる
・直接的損害
- 弁護士費用
- アクセスデバイスの取り消しならびに再発行費用
- 口座の閉鎖、支払い停止、口座再開費用
- 不正により生じた損害の口座開設者への返金費用
- 口座開設者への通知費用
- 金融機関が被った全ての費用
- 事件・事故を起こした組織は90日以内にPCIDSSに準拠していた事を証明する証明書を提出しなければならない。30日以内に証明できれば訴訟を免れる。
■最新情報セキュリティのトレンドとPCIDSS
最後に私見ながら今後の情報セキュリティのトレンドとしてPay palの取り組みをご紹介します。
日本ではフィッシング被害はユーザーの責任とされていますが、消費者の強い米国では企業リスクとして受け取られています。そこでPay PalではOTP(onetime password)の認証トークンをユーザーに配布し、ユニーク・トランザクションに基づく2FA(2Factor Authentication)を実装するとともに、サイト偽装を不可能にしています。
カード情報に対するセキュリティをユニーク・トランザクションという考え方に移行することで、仮にカード番号、有効期限が漏洩してもその情報を悪用することは不可能になるため、移行が進めば被害は激減するものと予想されます。
こうしたことから、次にPCIDSSの要件となるのはOTPではないか、と考えています。
私どもネットワンシステムズでは、今後も米国の動向等をいち早くとらえ、ご報告することで、みなさまのセキュリティ対策に貢献できれば、と考えています。
