セキュリティ対策の「深さ」 PCIDSS|セキュリティ|ブログ|Computerworld

さて、本編初回となる今回は企業におけるセキュリティ対策の「深さ」についてお話します。

筆者はマイクロソフトのセキュリティエンジニアなのですが、同時に日本セキュリティ監査協会やISC2のメンバーでもあるため、公認情報セキュリティ監査人やCISSPとしての活動もおこなっています。このため、お客様のセキュリティ環境を上流から下流まで様々な視点で見る機会が非常に多くあるのですが、上流、下流に関わらず、ご相談頂く悩みの代表選手は「何をどこまでやればいいのか分からない」です。企業でセキュリティ対策を考える際には、「網羅性」と「深さ」の両方を考える事が大事になりますが、まさにその根幹の部分が難しいということが分かります。今回は前述の通り、「深さ」すなわち「どの程度までやれば良いのか」という部分について参考にして頂けそうな基準である「PCIDSS (Payment Card Industry Data Security Standard)」をご紹介しようと思います。

PCIDSS は、その名の通り、主に金融のクレジット業界で使用されているセキュリティ管理基準の一つですが、近年では、製造、流通といった他業種においてもセキュリティ管理基準として参考にされるケースが増えてきています。なぜ広く参考にされるようになってきているのか？それは対策の深さが分かりやすいからです。PCIDSS は、定量的に対策の深さを定義する事で、支持を得ています。例えば、「パスワードの７文字以上が含まれることを要求する。」や「少なくとも90日ごとにユーザパスワードを変更する。」といった具合に、実装時に参考にできる数値ごと定義されているため、使いやすいんですね。特に近年では、顕在化しやすいリスクに関しては、システム的にポリシー強制をかける傾向が強いため、PCIDSS のように定量化された指標は好んで使用されています。また、日本語版もありますので、読んで損はないと思います。

下記は監査時によくある一幕です。

監査側 筆者
「御社の管理基準にはパスワード７文字以上と策定されていますが、これは何か根拠がありますか？」

被監査側 リーダー 福原さん
「ラッキー７やからな」

被監査側 サブリーダー 青木さん
「決める時に、そんなん適当でええって言うてましたやん！」

こんな時でも参考にした指標があれば、説明責任を果たす事ができますので、是非一度ご参考にして頂ければと思います。

また、PCIDSS は主にシステム周りの基準ですが、企業における情報セキュリティはシステムの面倒だけ見ていれば良いわけでなく、紙を含む多くの資産が保護対象となる上、事業継続等の可用性も考慮する必要があるので、前述の通り「網羅性」が必要になってきます。PCIDSS だけでは、「網羅性」が不足してしまいますので、他の基準と組み合わせての使用が効率的であると思います。はさみも基準も使い所が大事という事です。

次回では、「網羅性」についてお話する予定です。

出張先の名古屋よりお届けしました。

※登場人物は全て架空の人物です。