“まず優先すべき対策”を見いだすPCI DSSの6つのマイルストーン：システム導入担当者のためのPCI DSS【後編】

PCI DSSで実践的なセキュリティ対策の要件が分かっても、どこから手を付けるべきかが分からない――。そこで役立つのが、リスク低減効果を基に対策の優先順を示す「6つの里程標」だ。

[山崎文明，ネットワンシステムズ]

一般企業への2つの応用ケース

　前編「カード業者じゃなくてもセキュリティに効く？　一般企業にとってのPCI DSS」では企業のPCI DSSへの対応意義などについて触れた。カード決済にかかわらない一般企業へのPCI DSSの応用については、本稿に限らず米フォレスターコンサルティング（Forrester Consulting）なども「PCI DSSは、データセキュリティモデルとして参照することができる」としている。

　PCI DSSの一般企業への応用には2つのケースが考えられる。1つは、一企業としてセキュリティ環境を構築する際のセキュリティ水準の目安としてPCI DSSの要求事項を参考とするケース。そして2つ目は、関係会社や取引先といったサプライチェーンを構成するグループ企業全体のベースラインセキュリティを確立するための統一基準として利用するケースである。特にデータセキュリティスタンダード（DSS）の作成は、異なる組織間のベースラインセキュリティを明確にする上で効果的なアプローチである。

　従来の日本における情報セキュリティへのアプローチは、ISMS（情報セキュリティマネジメントシステム）の認証取得ブームに代表されるように、情報セキュリティポリシーの策定と運用が中心であり、その本質は現在も変わらない。グループ企業間で原価や製造レシピなど外部への漏えいを阻止しなければならない重要情報が頻繁に交換されていたとしても、情報セキュリティポリシーが共有されているにすぎず、必要十分なセキュリティ水準が確保されている保証は確認できていないのが現状だ。

　ここに、情報セキュリティポリシーの策定と運用に依存した対策の取り組みの限界がある。情報セキュリティポリシーの策定は、当事者によるリスク分析とその分析結果に基づいたリスク低減のための対策導入を原則としている。つまり、リスク分析を行う担当者の知見や価値観の相違から実際に採用される対策がまちまちであるため、情報セキュリティポリシーが共有されていたとしても十分なベースラインセキュリティが確保されている保証はないということだ。この問題を解決する1つの手段として、グループ企業としてのDSSを策定し、実装レベルのセキュリティ対策を図るという考え方がデータセキュリティモデルというアプローチであり、PCI DSSが大いに参考となる。

　ちなみにPCI DSSは、情報セキュリティポリシーの策定と運用というアプローチを否定するものではない。PCI DSSでは「PCI DSSの要求事項を受け入れた上で、矛盾しないよう情報セキュリティポリシーを改定し、維持する必要がある」としていることを付け加えておきたい。

セキュリティ対策、何を優先する？

PCI DSS Prioritized Approachをまとめたリファレンスガイド（PCI DSS 1.2準拠）はPCI SSCのサイトから入手できる

　PCI DSSをデータセキュリティモデルとして採用する上で、どのような手順で対応していくかが悩ましい点である。セキュリティ対策を導入しようとした場合、「何から手を付ければよいか分からない」というユーザーの声をよく聞く。ISMSをベースにした従来のアプローチではリスク分析を基本としているため、リスクが高いと分析された分野から優先して対処していくべきであることは言うまでもない。しかし実際には、リスク分析の結果ですべての分野が整然と順位付けられるわけではなく、どの分野の対策を優先するのかをまず決める必要がある。PCI DSSでは、こうした疑問に対応するため「PCI DSS Prioritized Approach」という取り組みを推奨している。

6つのマイルストーン

　Prioritized Approachは、PCI DSSの要求事項を導入した場合のリスク低減効果の大きさを根拠に優先順位の設定を行っている。こうした考え方は、一般企業が現状のセキュリティ対策を再考する際にも大いに役立つはずだ。優先順位は、6つのセキュリティマイルストーンとして示されている。以降、これらPCI DSSが示す6つのマイルストーンを基に優先すべき対策を解説していこう。

マイルストーン1「不必要な情報の削除」

　不要な情報の消去は最重要課題である。特に、漏えいしては困る重要情報が業務上の必要性が検討されないままシステムに保存されているケースは少なからずあるはずだ。必要なければ保存しないという、データの保存に関するポリシーを定めて、必要最小限のデータ保存と確実な消去を徹底することでリスクは大幅に低減される。実際には、調査やアプリケーションシステムの改修作業に多大な労力を費やすことになるかもしれないが、リスク低減効果が非常に大きい対策の1つであり、ぜひ実践したい。

マイルストーン2「インターネット境界の保護」

　PCI DSSでは、インターネットとの接続ポイントと内部ネットワークの境界にファイアウォールを設置してDMZ（demilitarized zone）を形成することが求められている。当然、重要情報が格納されているデータベースサーバは、DMZで分離された内部ネットワーク領域に配置される必要がある。

ネットワークセグメンテーションとDMZの形成

　また、ファイアウォールに関しては、ステートフルインスペクション（※1）を有効にしておく必要がある。さらに内部アドレスが書き換えられインターネット上に露出するのを防止するため、RFC 1918で定義されたアドレス空間を使用することが求められている。従って、PAT（ポートアドレス変換）やNAT（ネットワークアドレス変換）といった装置の実装が必要となるのだ。システムを構成する装置は、設置前にパスワードやSNMPといった設定値をベンダー製品出荷時の状態から必ず変更しておかなければならない。

※1　IPアドレスやポート番号、アプリケーションの種類などのパケット情報を読み取ってフィルタリングを行うファイアウォールの機能。

　このほかPCI DSSでは、アンチウイルス製品の導入やIDS／IPS（侵入検知・防御システム）の設置が必須とされている。また、管理コンソール以外のアクセスはすべて暗号化することが原則とされており、SSH、VPN、SSL／TLS（Transport Layer Security）などの技術導入が必要となる。詳細な設定方法などの記述もあり、現状と比較してみることで、セキュリティのさらなる強化ポイントがどこにあるかを明らかにできるだろう。

関連ホワイトペーパー

PCI DSS | セキュリティ対策 | パスワード | 脆弱性 | パッチ | アクセス制御 | 暗号化 | ISMS | バイオメトリクス認証 | 情報漏洩 | IDS | IPS | VPN | XSS