SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

IT Compliance Summit 2008 Summer セミナーレポ―ト

PCI DSSをモデルにした企業に求められるセキュリティ実装とは


PCI DSS(Payment Card Industry Data Security Standard)は、カード会員のクレジット情報と取引情報を安全に守るために、JCBやVISAなどの国際ペイメントブランド5社が、共同で策定したカード業界における国際セキュリティ基準である。具体的な構築・実装を要求しているため、カード業界のみならず、セキュリティ対策をどこまで行えばよいのか悩んでいる一般企業にも、PCI DSSが解決のヒントを与えてくれるかもしれない。

情報セキュリティ課題の整理・解決にPCI DSSの活用を

株式会社ラック 
プロフェッショナルサービス事業部 執行役員 事業部長
内田昌宏氏
内田昌宏氏

 リスク管理、内部統制、組織管理など、コーポレートガバナンスにかかわる要求事項は増大の一途をたどり、企業が取り組まなければならないテーマも急増している。

 「PCI DSS をモデルにした企業に求められるセキュリティ実装とは」と題して講演したラック プロフェショナルサービス事業部 内田昌宏氏は、金融機関を例に「BASEL II、安全対策基準、個人情報、BCPなどに対し、いろいろなツールが登場して企業に迫りつつある。これらを用いて効率よく進めるにはどうすべきか」と、問い掛けた上で、「それぞれは個別のものではなく、各マネジメントはガバナンスにつながっており、必ずやCSR活動にも貢献できる。これまでの施策も決して無駄ではない」と力説した。

 一方、企業が取り組んでいる情報セキュリティ対策上の問題として、内田氏は警察庁のアンケート結果を基に、「どこまで行えばよいのか基準が示されていない」、「費用対効果が見えない」、といった点が共通の悩みであることを指摘した。

 また、JNSAの報告書からインシデント件数とその内訳を取り上げて、「近年、件数自体は減っているものの、内部犯罪の脅威が増大している」と分析。これらの背景を踏まえて、一般企業のセキュリティ問題解決のヒントとしてPCI DSSを紹介した。

PCI DSS対象以外の企業にも応用可能

 カード取扱事業者を対象とするPCI DSSは、ISMSと比べて、表現が具体的、定量的であり、ポリシーに基づくインプリメント(構築・実装)を要求している。具体的には、6つの目的に対し、12の要求が示されており、さらにブレークダウンされた200ほどの要求事項がある。

 例えば、「安全なネットワークの構築・維持」という目的に対し、要求要件1で、ファイアウォールの導入と最適な設定の維持をうたっている。そしてブレークダウンした要件1.1以下でファイアウォール設定基準を明示。さらに1.1.1では、プロトコルを限定する文書や、四半期ごとのレビューを要求。また、認証系の要件8では、適切なユーザー認証とパスワード管理の徹底(8.5)などを求めている。

 内田氏は、「これらの項目を見れば、PCI DSS対象以外の企業でも、どこまですべきかイメージがわくのではないか」と示唆し、これらの企業が実際に活用する場合は、「200項目にも上る要件を頭からすべて実施するのは困難であるから、関連する項目を整理して優先順位を付けて取り組むことが効率的、現実的」と提唱。また、情報セキュリティアセスメントにおいても、PCI DSSを適用した場合、一般的なステップより効率的に進められることを詳しく解説した。

 例えば、ステップ5の「対策有効性の評価」では、評価結果を視覚的なマップに表現し、有効性の高い順に実装していけばよい。このように、PCI DSSは応用が可能な具体的ガイドラインといえる。

 セキュリティ対策について内田氏は、「評価して改善に結び付ける組織の文化を築き上げることが不可欠」とした上で、「そのために目的を明確にし、自分たちの環境を把握し、要件をしっかりと定義し、それに見合う手段としてツールを選択することができればベスト」と語った。

 最後に「ITガバナンスの目標イメージ」を掲げ、「これからは一元管理によって見える化を推進することが必要」と訴え、ネックの一つとして認証基盤の「特権管理」を挙げ、この点についても「PCI DSSが解決のヒントを与えてくれる」ことを事例で示した。

資料ダウンロード

【関連リンク】
株式会社ラック IT実装コンサルティングサービス

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
IT Compliance Summit 2008 Summer セミナーレポ―ト連載記事一覧

もっと読む

この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/701 2008/12/22 16:10

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング