情報セキュリティ課題の整理・解決にPCI DSSの活用を
プロフェッショナルサービス事業部 執行役員 事業部長
内田昌宏氏
リスク管理、内部統制、組織管理など、コーポレートガバナンスにかかわる要求事項は増大の一途をたどり、企業が取り組まなければならないテーマも急増している。
「PCI DSS をモデルにした企業に求められるセキュリティ実装とは」と題して講演したラック プロフェショナルサービス事業部 内田昌宏氏は、金融機関を例に「BASEL II、安全対策基準、個人情報、BCPなどに対し、いろいろなツールが登場して企業に迫りつつある。これらを用いて効率よく進めるにはどうすべきか」と、問い掛けた上で、「それぞれは個別のものではなく、各マネジメントはガバナンスにつながっており、必ずやCSR活動にも貢献できる。これまでの施策も決して無駄ではない」と力説した。
一方、企業が取り組んでいる情報セキュリティ対策上の問題として、内田氏は警察庁のアンケート結果を基に、「どこまで行えばよいのか基準が示されていない」、「費用対効果が見えない」、といった点が共通の悩みであることを指摘した。
また、JNSAの報告書からインシデント件数とその内訳を取り上げて、「近年、件数自体は減っているものの、内部犯罪の脅威が増大している」と分析。これらの背景を踏まえて、一般企業のセキュリティ問題解決のヒントとしてPCI DSSを紹介した。
PCI DSS対象以外の企業にも応用可能
カード取扱事業者を対象とするPCI DSSは、ISMSと比べて、表現が具体的、定量的であり、ポリシーに基づくインプリメント(構築・実装)を要求している。具体的には、6つの目的に対し、12の要求が示されており、さらにブレークダウンされた200ほどの要求事項がある。
例えば、「安全なネットワークの構築・維持」という目的に対し、要求要件1で、ファイアウォールの導入と最適な設定の維持をうたっている。そしてブレークダウンした要件1.1以下でファイアウォール設定基準を明示。さらに1.1.1では、プロトコルを限定する文書や、四半期ごとのレビューを要求。また、認証系の要件8では、適切なユーザー認証とパスワード管理の徹底(8.5)などを求めている。
内田氏は、「これらの項目を見れば、PCI DSS対象以外の企業でも、どこまですべきかイメージがわくのではないか」と示唆し、これらの企業が実際に活用する場合は、「200項目にも上る要件を頭からすべて実施するのは困難であるから、関連する項目を整理して優先順位を付けて取り組むことが効率的、現実的」と提唱。また、情報セキュリティアセスメントにおいても、PCI DSSを適用した場合、一般的なステップより効率的に進められることを詳しく解説した。
例えば、ステップ5の「対策有効性の評価」では、評価結果を視覚的なマップに表現し、有効性の高い順に実装していけばよい。このように、PCI DSSは応用が可能な具体的ガイドラインといえる。
セキュリティ対策について内田氏は、「評価して改善に結び付ける組織の文化を築き上げることが不可欠」とした上で、「そのために目的を明確にし、自分たちの環境を把握し、要件をしっかりと定義し、それに見合う手段としてツールを選択することができればベスト」と語った。
最後に「ITガバナンスの目標イメージ」を掲げ、「これからは一元管理によって見える化を推進することが必要」と訴え、ネックの一つとして認証基盤の「特権管理」を挙げ、この点についても「PCI DSSが解決のヒントを与えてくれる」ことを事例で示した。
【関連リンク】
・株式会社ラック IT実装コンサルティングサービス
