ポリシーは定量的に！（「PCI DSS備忘録」への付記）|セキュリティ・ポリシー |ブログ|Computerworld

読者の皆様

お待たせしました。
ニットを着ると暑いが、脱ぐと寒い蔵本です。

本日の一枚は、表参道ヒルズに入っている「洋食 MIYASHITA」さんのハヤシライス with メンチカツです。
あ、思い出しただけでお腹減ってきましたｗ

さて、これまで3回に渡って、PCI DSSで定量的に定義されている項目を抽出してきたわけですが、PCI DSSでは「年に一度」「1カ月以内に」「半年以内に」「週に一度」「直ちに」と、定量的に期間が決まっていることがお分かりいただけたかと思います。

私自身の備忘録としてだけでなく、読者の皆様にもぜひご参考にして頂きたいと思っています。

最近、多様な業種のセキュリティポリシーの改訂をお手伝いさせて頂く機会が増えているのですが、多くのケースでは、定量的に定義されている項目がほとんどありません。例えば、

・時間的な事項に関しては、「なるべくはやく」
・パスワードの複雑性については「なるべく解析されにくいもの」
・USBメモリの使用については「必要となる場合以外の使用は禁止」

といった定性的な定義がずらっと並んでいるのです。

いずれも、

・「なるべくはやく」→「仕事が落ち着いたら」→結局やらない
・「なるべく解析されにくいもの」→「どういうものかがわからない」→覚えやすいパスワードを設定
・「必要となる場合以外の使用は禁止」→「今まさに必要」→結局いつも使用

と、容易にポリシーが破られていく様を想像することができます。

逆に、非常に厳しい企業等では、今回ご紹介した定義よりもさらに厳しく、詳細に定義されている企業もあります。

しかしながら、定量的に定義されていたとしても、それらが順守されているかどうかを確認する、もしくは、システム的に順守を強制するような仕組みがなければ意味がありません。

形骸化しないポリシーを運用するには、「順守状況のチェック」「守らせる仕組み」まで併せて考えていくことが非常に大事であることが分かって頂けるかと思います。

それでは次回をお楽しみに！