カード会員情報のセキュリティ基準「PCI DSS」への対応：Column

日本でも準拠への動きが出始めているクレジットカード情報取り扱いに関するセキュリティ基準「PCI DSS」。厳しい要件に対応する1つの方法として、ネットワークの分離を検討するべきだ。

≫ 2007年05月29日 05時00分公開

[Mike Chapple，TechTarget]

　Payment Card Industry Data Security Standard（PCI DSS：PCIデータセキュリティ基準）では、クレジットカードやデビットカードのデータを保存、処理、転送する販売業者やサービス業者が、この機密性の高い情報を保護するために順守すべき12の要件が定められている。ほとんどのセキュリティ専門家は、これらの要件（「ダーティダズン」という俗称で呼ばれることも多い）は、「現在の情報セキュリティのベストプラクティスを盛り込んだものであり、機密性の高いデータを管理するための妥当な指針を提供する」という認識で一致している。

　PCI DSSの要件は、クレジットカード情報の保護という目的にかなっているかもしれない。だが、大企業などが日常的に扱うデータの大部分に適用するには、あまりに厳しく、コストが掛かりすぎる内容だろう。例えば、大規模な大学がネットワークの大部分を公開している場合を考えてみよう。恐らく、そのネットワーク上でカード処理にかかわるシステムは、ごくわずかなはずだ。このため、PCI DSSの12の要件すべてをネットワーク全体にわたって実装するのは、まったく非現実的だろう。

　PCI DSSの初期バージョンでは、まさにそのように、つまり、PCI DSSの要件に全社的に対応することが求められているように思われた。この点について、PCIセキュリティ基準協議会（PCI Security Standards Council）はPCI DSS version 1.1の序文で、「PCI DSSの要件は、カード会員データ環境とそれに接続された要素に適用される」と述べた上で、次のように説明した。

　「カード会員データ環境は、ネットワークの中で、カード会員データや機密の認証データを持つ部分である。カード会員データを保存、処理、伝送するシステムとそれ以外のシステムを隔離するようにネットワークを適切に分割すれば、カード会員データ環境の範囲が狭まる可能性がある」

　この2つの文のおかげで、カード決済にかかわる情報を業務の中で扱っているものの、その業務の比重が小さい企業は大いに安心した。だが同時に、2つ目の文にある隔離を行おうとする企業は、新たな問題をクリアしなければならなくなった。「ネットワークを適切に分割」するにはどうすればよいかという問題だ。

　多くの販売業者が、ネットワークの一部を隔離することでPCI DSSに対応している。これは、カード決済処理にかかわるすべてのシステムを含む、完全に隔離された「ネットワーク内のネットワーク」を実現するというアプローチだ。下の図のように、このカード処理ネットワークとその上位の企業ネットワークは、ファイアウォールを介して接続される。

　この接続は、企業ネットワークとインターネット間の接続と同様に厳格に保護される。このため、カード処理ネットワークは、自身の外部の企業ネットワークをISPとして扱う。カード会員データや管理データの企業ネットワークを介した転送は、インターネット上での転送と同様に、暗号化しなければならないことになる。

　この慎重なアプローチでは、カード会員データ環境内のシステムに、一般的なサービス、例えばディレクトリサービス、時刻同期、侵入検知、バックアップ、ファイル完全性監視などのサービスを提供するのが厄介だ。この「ISPモデル」では、PCI DSSの2.2.1項で規定されている「各サーバが主要機能を1つずつ担当する」というルールに従いながら、専用システムがこれらのサービスをカード会員データ環境に提供しなければならない。だが、スタンドアロンネットワークのサポートに必要な基本サービスをすべて考慮に入れると、そうした提供コストはかさみやすい。

　一方、ISPモデルを採用すれば、カード会員データ環境内のシステムの範囲を最小化できるだけでなく、PCI DSSの一部の項を、あなたの会社の順守対象から外せる可能性がある。例えば、多くの企業のカード会員データ環境内では、無線ネットワーキングは不要だ。隔離されたカード処理ネットワークに既存の無線ネットワークを接続しなければ、PCI DSSの1.3.8、2.1.1、4.1.1、9.1.3、10.5.4の各項の要件を回避できるだろう。

　このアプローチを取るかどうかは、あなたの会社のリスク許容度に基づいて決めることになる。あなたの会社が大規模なネットワークを持っている場合や、ほかにもコンプライアンス課題を抱えている場合には、隔離されたスタンドアロンネットワークを実現するコストは、ネットワーク全体をPCI DSSに対応させるコストに比べれば、取るに足りないという認識になるだろう。だが、こうしたネットワークを実現すれば、カード決済にかかわるデータが厳重に隔離される。このため、あなたの会社がセキュリティ事件で話題になり、ニュースの見出しを飾るというリスクを最小化できているという安心感が得られる。

本稿筆者のマイク・チャップル氏は、ノートルダム大学のITセキュリティプロフェッショナル職を務めており、CISA（公認情報システム監査人）、CISSP（公認情報システムセキュリティプロフェッショナル）の資格を持つ。米国国家安全保障局と米国空軍に情報セキュリティ研究員として勤務した経験がある。「CISSP: Cissp Certified Information Systems Security Professional」や「Information Security Illuminated」（共著）など、情報セキュリティに関する数冊の著書がある。