日本でも準拠への動きが出始めているクレジットカード情報取り扱いに関するセキュリティ基準「PCI DSS」。厳しい要件に対応する1つの方法として、ネットワークの分離を検討するべきだ。
Payment Card Industry Data Security Standard(PCI DSS:PCIデータセキュリティ基準)では、クレジットカードやデビットカードのデータを保存、処理、転送する販売業者やサービス業者が、この機密性の高い情報を保護するために順守すべき12の要件が定められている。ほとんどのセキュリティ専門家は、これらの要件(「ダーティダズン」という俗称で呼ばれることも多い)は、「現在の情報セキュリティのベストプラクティスを盛り込んだものであり、機密性の高いデータを管理するための妥当な指針を提供する」という認識で一致している。
PCI DSSの要件は、クレジットカード情報の保護という目的にかなっているかもしれない。だが、大企業などが日常的に扱うデータの大部分に適用するには、あまりに厳しく、コストが掛かりすぎる内容だろう。例えば、大規模な大学がネットワークの大部分を公開している場合を考えてみよう。恐らく、そのネットワーク上でカード処理にかかわるシステムは、ごくわずかなはずだ。このため、PCI DSSの12の要件すべてをネットワーク全体にわたって実装するのは、まったく非現実的だろう。
PCI DSSの初期バージョンでは、まさにそのように、つまり、PCI DSSの要件に全社的に対応することが求められているように思われた。この点について、PCIセキュリティ基準協議会(PCI Security Standards Council)はPCI DSS version 1.1の序文で、「PCI DSSの要件は、カード会員データ環境とそれに接続された要素に適用される」と述べた上で、次のように説明した。
「カード会員データ環境は、ネットワークの中で、カード会員データや機密の認証データを持つ部分である。カード会員データを保存、処理、伝送するシステムとそれ以外のシステムを隔離するようにネットワークを適切に分割すれば、カード会員データ環境の範囲が狭まる可能性がある」
この2つの文のおかげで、カード決済にかかわる情報を業務の中で扱っているものの、その業務の比重が小さい企業は大いに安心した。だが同時に、2つ目の文にある隔離を行おうとする企業は、新たな問題をクリアしなければならなくなった。「ネットワークを適切に分割」するにはどうすればよいかという問題だ。
多くの販売業者が、ネットワークの一部を隔離することでPCI DSSに対応している。これは、カード決済処理にかかわるすべてのシステムを含む、完全に隔離された「ネットワーク内のネットワーク」を実現するというアプローチだ。下の図のように、このカード処理ネットワークとその上位の企業ネットワークは、ファイアウォールを介して接続される。
この接続は、企業ネットワークとインターネット間の接続と同様に厳格に保護される。このため、カード処理ネットワークは、自身の外部の企業ネットワークをISPとして扱う。カード会員データや管理データの企業ネットワークを介した転送は、インターネット上での転送と同様に、暗号化しなければならないことになる。
この慎重なアプローチでは、カード会員データ環境内のシステムに、一般的なサービス、例えばディレクトリサービス、時刻同期、侵入検知、バックアップ、ファイル完全性監視などのサービスを提供するのが厄介だ。この「ISPモデル」では、PCI DSSの2.2.1項で規定されている「各サーバが主要機能を1つずつ担当する」というルールに従いながら、専用システムがこれらのサービスをカード会員データ環境に提供しなければならない。だが、スタンドアロンネットワークのサポートに必要な基本サービスをすべて考慮に入れると、そうした提供コストはかさみやすい。
一方、ISPモデルを採用すれば、カード会員データ環境内のシステムの範囲を最小化できるだけでなく、PCI DSSの一部の項を、あなたの会社の順守対象から外せる可能性がある。例えば、多くの企業のカード会員データ環境内では、無線ネットワーキングは不要だ。隔離されたカード処理ネットワークに既存の無線ネットワークを接続しなければ、PCI DSSの1.3.8、2.1.1、4.1.1、9.1.3、10.5.4の各項の要件を回避できるだろう。
このアプローチを取るかどうかは、あなたの会社のリスク許容度に基づいて決めることになる。あなたの会社が大規模なネットワークを持っている場合や、ほかにもコンプライアンス課題を抱えている場合には、隔離されたスタンドアロンネットワークを実現するコストは、ネットワーク全体をPCI DSSに対応させるコストに比べれば、取るに足りないという認識になるだろう。だが、こうしたネットワークを実現すれば、カード決済にかかわるデータが厳重に隔離される。このため、あなたの会社がセキュリティ事件で話題になり、ニュースの見出しを飾るというリスクを最小化できているという安心感が得られる。
本稿筆者のマイク・チャップル氏は、ノートルダム大学のITセキュリティプロフェッショナル職を務めており、CISA(公認情報システム監査人)、CISSP(公認情報システムセキュリティプロフェッショナル)の資格を持つ。米国国家安全保障局と米国空軍に情報セキュリティ研究員として勤務した経験がある。「CISSP: Cissp Certified Information Systems Security Professional」や「Information Security Illuminated」(共著)など、情報セキュリティに関する数冊の著書がある。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
最新のサイバー攻撃に即座に対応するためには、SOCを従来の在り方から変革することが重要になる。しかし、何をすればよいのか分からないという組織も多い。そこで本資料では、現在のSOCが抱えている5つの課題とその解決策を紹介する。
高度化するサイバー脅威に効率的に対処するには、セキュリティの自動化が欠かせない。だが自動化の効果を高めるには、使用ツールの確認、ワークフローの分析などを行った上で、正しいステップを踏む必要がある。その進め方を解説する。
脆弱性対策は作業量や難易度を予測しづらく、限られたリソースで対応するのが難しい。さらに、単体の深刻度評価のみとなる一般的なセキュリティ監査ツールでは、包括的な分析は容易ではない。これらの課題を、AIはどう解決するのか。
情報漏えいを防ぐためには、重大なインシデントになる前のヒヤリハットをいかに防ぐかが重要になる。そこで本資料では、Microsoft 365を利用している組織に向けて、情報漏えいの危険性が高い5つのヒヤリハットを紹介する。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...