2008年
「PCI データセキュリティ基準 完全対策」出版記念セミナー~当日の内容
基調講演「米国情報セキュリティ最新動向とPCI DSS」 〜ISMSへの過信が招くサプライチェーン・リスク〜
セキュリティ事業推進本部 本部長
山崎文明
【Profile】
ビジネスアシュアランス株式会社代表取締役社長
大手外資系会計監査法人にてシステム監査に永年従事。システム監査技術者(経済産業省) /英国規格協会公認BS7799情報セキュリティ・スペシャリスト。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。
(以下、委員等就任実績)
内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員
警察大学校不正アクセス犯罪等対策専科講師
学校セキュリティ検討委員会委員(経済産業省)
サイバーテロ演習評価委員会委員(経済産業省)
不正プログラム調査研究委員会委員(警察庁)
サイバーセキュリティ調査研究委員会委員(警察庁)
主な著書に「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社 共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社 共著)等がある。
■事例が示すPCI DSSの導入意義
先日、ドラッグストアの経営・インターネット通販をされている企業の通販のサイトから、たくさんのクレジットカード情報が盗まれる、ハッキングの被害に遭うという事件が報道されました。
これは、SQLインジェクションという手口を使ったハッキングで、セキュリティの業界では、非常に広く認知されていますが、今日現在、まだこのような脅威にさらされる企業がたくさんあるということをこの事件は象徴していると思います。
先月も同様の事件が発生しています。音響機器、楽器などの輸入販売を行っているS社のインターネット通販サイトにおけるSQLインジェクションによるハッキングです。こちらもまさに今を象徴するSQLインジェクションによる顧客情報の流出でした。
結果、S社は流出対象者を最大9万7500名程度特定した上で、2007年の1月から今年3月22日までに新規会員登録した約12万名の方全員に補償、いわゆる慰謝料という形で1000円分のクレジットを進呈されています。
S社の経営者は、今回の事件を踏まえて次のようなコメントを発表されています。
「本来ならばクレジットカードの取り扱いを開始するに当たって、インターネットセキュリティ構築のガイドラインがあってしかるべきであり、少なくとも最低限のセキュリティレベルが明示されているべきです。ところがどこまでやれば十分か、という明確な準備がないため、加盟店はそれぞれが独断で実行している部分があることを否めません。セキュリティシステムは日々陳腐化してもハッカー技術は常に日々新しい策を見つけて進化しているわけですから、100%安全なシステムなどもはや存在しないのです。」
PCI DSSは「カード情報を保護するためには、何をすべきか」を基準にしており、その実装を無条件に要求するものです。
これは、SQLインジェクションという手口を使ったハッキングで、セキュリティの業界では、非常に広く認知されていますが、今日現在、まだこのような脅威にさらされる企業がたくさんあるということをこの事件は象徴していると思います。
先月も同様の事件が発生しています。音響機器、楽器などの輸入販売を行っているS社のインターネット通販サイトにおけるSQLインジェクションによるハッキングです。こちらもまさに今を象徴するSQLインジェクションによる顧客情報の流出でした。
結果、S社は流出対象者を最大9万7500名程度特定した上で、2007年の1月から今年3月22日までに新規会員登録した約12万名の方全員に補償、いわゆる慰謝料という形で1000円分のクレジットを進呈されています。
S社の経営者は、今回の事件を踏まえて次のようなコメントを発表されています。
「本来ならばクレジットカードの取り扱いを開始するに当たって、インターネットセキュリティ構築のガイドラインがあってしかるべきであり、少なくとも最低限のセキュリティレベルが明示されているべきです。ところがどこまでやれば十分か、という明確な準備がないため、加盟店はそれぞれが独断で実行している部分があることを否めません。セキュリティシステムは日々陳腐化してもハッカー技術は常に日々新しい策を見つけて進化しているわけですから、100%安全なシステムなどもはや存在しないのです。」
PCI DSSは「カード情報を保護するためには、何をすべきか」を基準にしており、その実装を無条件に要求するものです。
■PCI DSSの現在・未来
PCI DSSはPCI DSSとして、再編成されてからまだ日が浅いということもあり、ほとんどの加盟店、プロバイダーレベルでもこのDSSの対応が出来ていないというのが、いま私たちの日本の現状ということだろうと思います。
※AISプログラムはPCIのことです。
この普及が急がれるPCI DSSは、カウンシルのメンバーの協議によってVersionアップが審議されます。2006年の9月にカウンシルが設立されてからVersion1.0 1.1に対して2000件以上の意見が寄せられているそうです。
当社ネットワンシステムズはカウンシルメンバーとして、参加しており、Versionの改定に対する意見表明することもできますし、いちはやく改定案についても入手することができます。
この普及が急がれるPCI DSSは、カウンシルのメンバーの協議によってVersionアップが審議されます。2006年の9月にカウンシルが設立されてからVersion1.0 1.1に対して2000件以上の意見が寄せられているそうです。
当社ネットワンシステムズはカウンシルメンバーとして、参加しており、Versionの改定に対する意見表明することもできますし、いちはやく改定案についても入手することができます。
■PCI DSSのその他の基準
4月15日に、PA-DSS(Payment Application Data Security Standard)という規格が公表されました。PCI DSSは、クレジットカードデータを扱うインフラに対する規格で、PA-DSSはアプリケーションを対象にしたデータセキュリティスタンダードです。
PA-DSSはVISAのPABP(Payment Application Best Practice)というプログラムを基盤としたもので、このPA-DSSの発行に伴い、PABPに準拠していたアプリケーションはすべてこのPA-DSSに移行することが求められています。
もう一つは、PED(PCI PIN Entry Device)という基準で、これはPOSの上でクレジットカード認証を行うような製品、POSデバイス等に対するセキュリティの基準です。こちらは2007年の7月からすでに発行されており、海外ではこれの認証を受けていないと”誰も買わないですよ”という状況です。
PA-DSSの対象となるアプリケーションが適合しているかを審査するPAQSAは、業者との癒着という問題も将来考えうるということで、適当な審査で合格を出した場合に罰金制裁をするということが計画されており、非常に厳格な審査体制のもとに、PAQSA制度を維持しようという姿勢がうかがわれます。
もう一つは、PED(PCI PIN Entry Device)という基準で、これはPOSの上でクレジットカード認証を行うような製品、POSデバイス等に対するセキュリティの基準です。こちらは2007年の7月からすでに発行されており、海外ではこれの認証を受けていないと”誰も買わないですよ”という状況です。
PA-DSSの対象となるアプリケーションが適合しているかを審査するPAQSAは、業者との癒着という問題も将来考えうるということで、適当な審査で合格を出した場合に罰金制裁をするということが計画されており、非常に厳格な審査体制のもとに、PAQSA制度を維持しようという姿勢がうかがわれます。
■エンタープライズ DSS
最後に、私どもネットワンシステムズはこのPCI DSSというものの一つの考え方として、その企業独自のエンタープライズデータレベルのセキュリティ実装対策基準を、そろそろ構築する時期に来ているのではないかと考えており、エンタープライズDSSの導入ご提案をしております。
これは先の事例でもお分かり頂いた様に、多くの企業は何をどこまですればいいのかが適切に判断できていない可能性があります。PCI DSSに準拠しているということは、カード会社と同等のセキュリティレベルを達成していることを意味するため、「何をどこまでやればよいのか」といった問題に対するひとつの解と考えることができます。ISMSに基づいてPDCAを運用したところで、自らの判断に基づいた必要性を議論した結果の実装対策であり、客観的なものではありません。
データセキュリティスタンダードを基本に、それに近いオリジナルのデータセキュリティスタンダードを各社作成することで、一定の水準が客観的にも保証されるものと考えます。
金融機関、あるいはクレジットカードに直接携わる企業がこのPCI DSSの対象であることは間違いありませんが、私個人としては是非この考え方をエンタープライズに向けて推奨していきたいと思っています。さらには、自治体版のデータセキュリティスタンダード、教育現場のデータセキュリティスタンダードなど、相次いで出てきてもいいのかと思っております。
クレジット業界にとどまらず、医療、一般製造業でもそういった考え方が今後広がってくることを期待しております。
これは先の事例でもお分かり頂いた様に、多くの企業は何をどこまですればいいのかが適切に判断できていない可能性があります。PCI DSSに準拠しているということは、カード会社と同等のセキュリティレベルを達成していることを意味するため、「何をどこまでやればよいのか」といった問題に対するひとつの解と考えることができます。ISMSに基づいてPDCAを運用したところで、自らの判断に基づいた必要性を議論した結果の実装対策であり、客観的なものではありません。
データセキュリティスタンダードを基本に、それに近いオリジナルのデータセキュリティスタンダードを各社作成することで、一定の水準が客観的にも保証されるものと考えます。
金融機関、あるいはクレジットカードに直接携わる企業がこのPCI DSSの対象であることは間違いありませんが、私個人としては是非この考え方をエンタープライズに向けて推奨していきたいと思っています。さらには、自治体版のデータセキュリティスタンダード、教育現場のデータセキュリティスタンダードなど、相次いで出てきてもいいのかと思っております。
クレジット業界にとどまらず、医療、一般製造業でもそういった考え方が今後広がってくることを期待しております。
