「セキュリティに対して具体的に何をやればよいか、PCI DSSをきっかけに意識する顧客が増えた」。そう語るのは、PCI DSSにSIerとして取り組む京セラコミュニケーションシステム株式会社(以下、KCCS)だ。今回は、PCI DSSに対する同社の姿勢や、PCI DSSへの対応で最も不足しているという「変更管理」について、PCI DSSプロジェクト 副プロジェクト長の小澤浩一氏と、ICT営業本部 営業企画部 営業企画課長の新井英俊氏に話を聞いた。
|
PCI DSSプロジェクト 副プロジェクト長の小澤浩一氏
|
―PCI DSSは一般企業にも有効だといわれています。KCCSではその意義をどうとらえていますか?
小澤氏
一般企業でもセキュリティ基準、法律に基づいてさまざまな仕組みを作ってきましたが、個人情報保護法を見ても、日本版SOX法を見ても、どこまでやればいいのか分かりにくかった。PCI DSSは具体的にどこまでやればいいか明確です。
例えば、「90日ごとにパスワードを変えなさい」とあります。今まではあっても「定期的に変えなさい」といった程度でしたよね。一番びっくりしたのは、「セッション有効時間を15分以内にしなさい」という要件。
これらを参考に一般企業も取り組めるのは、大きな意義だと思います。
新井氏
PCI DSSは最低限のスタンダードです。こうしたものは日本にはあまりなかった。PCI DSSをきっかけに倍角官房情報セキュリティセンターもレギュレーションを作成し始めていて、そういうのに習っていくのはいい動きだと思います。
特に日本人は、コンプライアンスも明確な道しるべがないとやらないところがあります。PCI DSSは、言われればやるが、言われないとやらない日本人向け、といえば日本人向けでしょうね。
―自分たちが何をすればよいか、判断のきっかけになるということですね。
新井氏
はい。ただ1つ言っておきたいのは、「免責のため」と思われるのは良くないということ。「やっているからいいんだ」というわけではないんですよ。
小澤氏
これを基に「自分たちのセキュリティはどうなんだ」ということを知るためのあくまで基準ということですね。
―PCI DSSによって、顧客のセキュリティの意識に変化があったという実感はありますか?
小澤氏
やはり具体的に何をやるか意識するようになりましたよ。当社はSIerでもあるので、基幹システムを納入する場合があります。どのお客さまもセッション時間をどれくらいにするか、パスワード強度をどのくらいにするかいろいろと悩むものですが、この間お会いしたお客さまは、カードには関係ない製造業でもPCI DSSを勉強していて、セッション有効時間を15分に変えようと思うんですよね、とおっしゃってきました。ユーザー側でもガイドラインとして利用する事例が増えてきていて、迷いが減ってきたように感じます。
|
Tripwireはデータのあらゆる変更を検知することが可能
|
|
Tripwireによる完全性の監視
|
|
PCI DSS要件11.5を満たす
|
―顧客と接する中で、12個の要件でここが特に遅れていると感じる点はありますか?
小澤氏
うーん、そうですね。過去に入れた対策がPCI DSSに使えるのか気にしているユーザーが多いと思います。どこかが遅れているというよりも、現状はこれまでの対策がはまっているのかを確認するフェーズでしょうね。
新井氏
今までにもセキュリティ対策は、なんだかんだと行われていますからね。ただ、強いて言うならば、変更管理が遅れていると思います。ファイアウォールを入れていても、その設定がどうなっているかを管理しているところは少ないですからね。
―変更管理というと、KCCSではTripwireを扱っていますね。
小澤氏
はい。もともとは2001年ごろ、中国からのアタックが多発したことで官公庁でニーズが拡大し、Webページの改ざん防止用途に使われていました。しかし本来、Tripwireはホスト型IDSとしてだけでなく、ファイルのソースが変更・改ざんされていないかを確認するツールとしても利用できる製品です。
―PCI DSSでも有効なんでしょうか?
小澤氏
具体的にPCI DSSの要件に当てはめると、例として「完全性監視」を求める要件11.5で活用できます。ここでは、「重要なシステムファイル、設定ファイルまたはコンテンツファイルに権限のない修正があった場合、担当者に警告させる」などとありますが、Tripwire Enterprise 7の変更検知機能を使うことで実現できます。
監視対象ファイルを定期的に監視するようスケジュール化を実施し、ファイルの変更が検知できれば設定した担当者へアラートを送付して、変更をただちに把握できるわけです。
―売れ行きはいかがですか?
新井氏
やはりPCI DSSが追い風となって非常に好調です。当社のセキュリティ商材の中でも最も盛り上がっていて、今は宣伝や啓発を行わなくても引き合いが来るような状況です。
小澤氏
ただ、Tripwireの運用には工夫すべき点があって、例えば一時、IDSで大量なアラートが発生し、結局誰も見なくなるということがありましたが、Tripwireでも同じことが起こりえます。KCCSでは、過去に導入した変更管理のノウハウを生かして、「ここはこれくらいの設定にして運用しましょう」といったことを併せて提供できるのが強みです。
|
|
1カ月などの長期サイクルでの変更内容を確認することも可能
|
変更の詳細画面では、変更個所を行単位でハイライトする
|
|
ICT営業本部 営業企画部 営業企画課長の新井英俊氏
|
―PCI DSS関連でいうと、ほかにはどういった製品を扱っていますか?
小澤氏
いずれもPCI DSS以前から扱っているものですが、脆弱性管理製品の「nCircle IP360」やID・アクセス管理システムの「GreenOffice Directory」、Web脆弱性対策などがあります。
―方針としては、12項目を網羅的に支援していくのでしょうか、得意なところにフォーカスしていくのでしょうか。
小澤氏
見せ方としては網羅的になると思いますが、製品の使い方といったレベルになると特徴がでるのは、以前から扱っている分野になるでしょうね。今までやってきたことを、PCI DSSだから急に変えるということはありません。ただ「ここしかやりませんよ」というストーリーでもないので、臨機応変な対応となるでしょう。
―KCCSというと、Webアプリケーションの脆弱性対策に強いというイメージがあります。2008年はSQLインジェクションが多発した1年でした。PCI DSSでもWeb脆弱性検査か、Webアプリケーションファイアウォール(WAF)を導入しなければいけないことになっていますが、そうしたことを受けて、現在、Webのセキュリティはどういった状況でしょうか?
新井氏
PCI DSS認定を受ける際には、ASV(認定脆弱性診断事業者)による検査があります。ところが、これは主にネットワークの脆弱性を対象にしたもの。PCI DSSに準拠するためには、ほかにたくさんの種類の診断やセルフチェックが必要となることがあり、その結果がQSAに監査されます。自主的に行うためには、nCircle IP360を導入するという手もありますが、最近は定期的に診断を行いたいというニーズも増えています。
ただユーザーからすると、「ソースコード診断」「ペネトレーション」「ネットワーク診断」「無線LAN診断」など、さまざまな脆弱性のテストをどこに依頼すればよいのか分かりにくい面があって、別々の企業に依頼してしまうこともあります。KCCSとしては、こういう問題が発生しないように取り組んでいきたいですね。
―WAFはいかがでしょうか? 以前はチューニングが難しいという面があったかと思いますが、最近はだいぶこなれてきたような気もしますが。
新井氏
WAFはできることが限られているので、それがあればすべて良しというわけではなく、あくまでWebアプリを守るだけの限定的なものです。シグネチャを使うことも多いですからね。まったく未知の攻撃がきた時に防げない可能性があります。Webアプリに脆弱性がある場合、やはり最善策はソースを改修することです。ただ、すぐにできることでもないので、脆弱性を直すまでの応急措置として有効なのがWAFというものでしょう。ソースを改修せずにWAFだけ入れて済ますのはナンセンス。導入する側がこの辺を理解していれば良いですが、「とりあえずWAFを購入しました」では、「うーん、どうかな」と思ってしまいます。
―PCI DSSが出てきた中で、KCCSとしてはどんなセキュリティ戦略を描いていくのでしょうか?
小澤氏
PCI DSSといわれたときに、ユーザーが一番気にするのはやっぱりコスト。導入、運用、定期的監査など、一回取り組んで終わりというものではありませんですからね。特に今はちょうど不景気で投資が抑えられている時期だと思いますが、コストを気にする思考は5年後も10年後も変わらないはずです。
そうした中で、現在、率先して取り組んでいるのは、情報システムに力があるところがほとんどです。今後、スキルのないところも、PCI DSS対応を進めていかなければならないという段に入ったときに、当社としてはサービス提供やアウトソーシングが重要な戦略になってくると思います。
カード会社、加盟店、プロセサ(決済処理代行事業者)が多くいる中で、PCI DSSへ対応しましょうとなると、そこら中でコストが発生することになります。そうすると、センシティブ認証データをなるべく自社で持たないような方向へ進んでいくことが予想されますからね。それがプロセサの急増の背景にもなっていると思います。
KCCSとしては、こうしたデータを預かって、というのが戦略になります。nCircle IP360などのサービス提供をしているが、それに限らず、ID管理サービスの「GreenOffice Directory On Demand」(仮称)など、サービスの幅を広げていくことがお客さまの手助けになると思います。
新井氏
PCI DSSのチェックとしては、だいぶ素材はそろっています。ISMS認証済みのデータセンターも持っていますしね。足りないところはSIerらしく得意なところに頼んで、スキルのない事業者もPCI DSS対応を進めやすいよう、これらの素材をきれいにメニュー化していくことが重要だと考えています。
―サービス提供が重要ということですね。
新井氏
はい。PCI DSSは製品を売っただけでは終わりません。WAFもTripwireも運用にはノウハウが必要。それをユーザーが自身で抱えるのではなく、当社に言っていただいた方が、両社がハッピーになれると思います。
―ありがとうございました。
■ URL
京セラコミュニケーションシステム株式会社
http://www.kccs.co.jp/
■ 関連記事
・ NIerのネットワンがPCI DSSに注力するワケ-「当社には地図のようなもの」(2008/11/14)
・ VISA、大手のカード加盟店にPCI DSS準拠を義務化-2010年9月30日までに(2008/11/13)
( 川島 弘之 )
2008/12/24 11:07
|