Enterprise Watch
最新ニュース

「PCI DSSの審査基準を高めるべき」-脆弱性スキャンベンダーの米nCircleが語る


 PCI DSS準拠の認定を受けるには、カード情報取扱件数に応じて、訪問審査機関(QSA)、脆弱性スキャニングベンダー(ASV)、あるいは自己問診などのチェックをパスしなければならない。企業が実施したセキュリティ対策が十分なのか、不足している点はないか。こうした審査を行う機関によって、PCI DSSの有効性は保たれている。今回は、2007年以来、ASV認定を受ける米nCircleのVice President of Product Management、マーク・ウッド氏に話を聞き、審査機関の視点からPCI DSSの現状を探ってみた。


活発化するPCI DSS準拠への動き

米nCircleのVice President of Product Management、マーク・ウッド氏
 nCircle社は、セキュリティ・コンプライアンス監査ツール「nCircle Suite360」を提供するベンダーだ。いくつかラインアップはあるが、そのうちの脆弱性管理システム「nCircle IP360」で、2007年にASV認定を受けた。

 nCircle IP360は、企業内にアプライアンスを設置して、数千・数万単位のクライアントPCの脆弱性を管理する製品だ。nCircle社はこれを使って、PCI DSS準拠を目指す企業システムを外部から診断。同時に製品販売もしており、日本国内では、京セラコミュニケーションシステム株式会社(KCCS)が代理店として活動している。

 ではASVの同社に、現状のPCI DSSはどのように映るのか。

 ウッド氏は「(ASV認定を初めて受けた)2007年は(PCI DSSの)準拠率は低かった。当時は、コンプライアンス違反がどのような影響を引き起こすか、あまり理解されていなかったのだ。しかし、この2年でその認識もずいぶん高まった」と語る。

 認識を高めたのは、相次ぐカード情報漏えい事件だった。米国でも日本でも、カード情報の流出が残念ながら後を絶たない。漏えいすればその代償は大きく、米国情報漏えい研究会からは2月に、顧客データの漏えい1件あたり、202ドルのコストがかかるとの試算が発表されている。これには郵送・通信費など直接コストがすべて含まれているというが、それ以外にも、信頼失墜による間接コストが多大なものとなる。必然的に、カード情報を扱う企業にとって、セキュリティ対策は死活問題となっていった。

 その流れをさらに推し進めたのが、カードブランド各社の対応である。PCI DSSに関する罰則のルール化を始めたのだ。国内でも2008年にVISAが、カード取引件数が多いレベル1の加盟店に2010年までに準拠するようにと義務づけた。準拠しなければ、罰金も辞さないという厳しい内容だ。

 「こうしたことにより、カード業界でも必然的にセキュリティやコンプライアンスの認識が高まっていった。準拠率もこの2年でだいぶ増えている。VISAによれば、米国の加盟店のうち50%がVISA直接加盟店で、そのうち80%がすでに準拠しているという。政府レベルでも、これまで各州でばらばらだった対応基準を合衆国として1つにまとめる案も出ており、米国でのPCI DSSは動きは活発化している」(同氏)。


PCI DSS認定企業からのカード情報大流出

 ところが、活発化する動きに水を差しかねない事件が、1月20日に発生した。米HeartLand Payment Systemsからの過去最大ともいわれるカード情報大流出事件だ。同社はカード決済処理の代行などをするプロセサだが、その処理システムが不正侵入され、マルウェアに感染した結果、カード情報が流出する事態となった。ここで重要なのは、同社がPCI DSS準拠の認定を受けていたという点である。

 これが業界に与えたインパクトは計り知れない。Gartnerは「定期的なファイル完全性監視を行っていなかったのでは」と指摘し、eIQnetworksは「外部への通信の監視あるいはフィルタリングがなされていなかったのではないか」と指摘しているが、いずれにしても、PCI DSSで規定されているセキュリティ管理策の一部が実装されていなかった、あるいは利用されていなかった可能性が高いとのことで、一度PCI DSSに準拠しても安心してはならないという事実を関係者に突きつけたのだ。

 しかし、この事態は決して予想できないものではなかった。PCI DSSでは、準拠を目指す企業をQSAやASVが審査を行い、さらにその審査機関をPCI SSC(PCI DSS運営団体)が審査するという二重チェックの仕組みを設けることで、根本的な信頼性を担保しているのだが、この仕組みが完全に機能しているとは言い難かった。同じ対策をしても、QSAによっては認定が下りたり、下りなかったりということがあり、つまるところ審査の基準があいまいだったのだ。

 もちろんPCI SSCでも、この課題を軽視していたわけではない。PCI DSSには、審査を受けた企業が審査機関の対応がどうだったか、PCI SSCにフィードバックする制度があるのだが、それを義務化するなど、QSAの審査品質を向上する施策を始めていたのである。HeartLandの事件はそうした矢先の出来事だった。

 nCircle社は、訪問審査を行うQSAではなく、外部からの脆弱性スキャンを行うASVである。とはいえ、PCI DSS準拠を目指す企業の対策度合いをチェックするのは同じだ。こうした事例に直接言及することはなかったが、ウッド氏も「最近はさまざまな意見をPCI SSCに言えるようになった。当社も、外部から脆弱性スキャンを行う際に、IDやパスワードを提出してもらい、より深くスキャンするようにルールを変更してはどうかと提案している」(同氏)と、審査品質向上の重要性に触れている。


脆弱性への迅速な対応を可能にするnCircle

nCircle IP360の構成イメージ
 nCircle社がASVとして審査を行うときに利用するのが、脆弱性管理システムのnCircle IP360だ。同製品では「VnE Manager」や「Device Profiler」などの専用アプライアンスを企業内に設置して、ネットワークに存在する脆弱性と各種リスクを診断する。

 仕組みは、VnE Managerが診断対象ネットワークを定義し、最新の診断ルールをDevice Profilerに配信。それに基づいて、Device Profilerが診断を行うというもの。「ネットワークへの負荷を極力抑える独自の診断手法により、リアルタイム診断を可能にしているのが特徴だ」(ウッド氏)。

 診断結果はVnE Managerが収集し、レポーティングを行う。発見された脆弱性に素早く対応するには、その脆弱性が持つリスク(影響度)を適切にレポートできなければならないが、nCircle IP360ではリスクを独自の計算式により数値化する仕組みで、それを実現している。「スコアという客観的な指標により、対策のきめ細かい優先順位付けが可能になる」(ウッド氏)というわけだ。

 事例としては、「米国国際開発庁(USAID)が同製品を導入している。米国では政府機関が準拠しなければならないFISMAという規定があり、この枠組みの中で、セキュリティレベルのランキングを行っている。USAIDはそこで上位の常連だ。デバイスの数は万の単位となり、導入以前はセキュリティリスクがどこにあるかが全く分からなかった。それが分かっても、どれから対処すべきか優先順位が分からなかったのだが、nCircle IP360のリスクに対するスコア付けの仕組みにより、スピーディな対応が可能になったという」。

 同社ではこれを使ってASVとして審査を行っているのだが、「ユーザーが社内導入すれば、毎年行われるQSAの審査にも迅速に対応できるのが、同製品の強みだ」と、社内導入のメリットにも言及。「実際にPCI DSSがドライバーとなって、nCircleへの問い合わせは格段に増加している」(同氏)とした。

 カード情報の漏えいは、非常に大きな被害を招く。2008年、米国の被害総額は、5億6600万ドルに上り、年間900~1000万人が何らかの被害に遭っているという。銀行にも損害となるし、盗難カードで買い物されたため、銀行からの支払いを受け取れない小売り店にとっては、それこそ簡単には癒えない傷となる。ウッド氏は「当社には、セキュリティベンダー、ASVという2つの顔があるが、いずれにしてもnCircleでこうした被害の低減に貢献したい」と述べ、さらに「セキュリティの話がいきつくのは、結局のところ、人の行動だ。パスワードをメモするといったリスクは、現状システムではどうすることもできない。nCircleでは、ゆくゆくはそうした人の行動によるリスクまでカバーできればと考えている」と、製品開発における今後の抱負を語った。


サマリーレポート。脆弱性の影響度別棒グラフなど トップ10アプリケーションやトップ10脆弱性などのレポート スコア順に表示された脆弱性詳細レポート


URL
  米nCircle
  http://www.ncircle.com/
  京セラコミュニケーションシステム株式会社
  http://www.kccs.co.jp/

関連記事
  ・ 訪問審査の資格を持つBBSec、PCI DSS準拠支援サービスを開始(2009/04/07)
  ・ 「PCI DSS対応で遅れているのは変更管理」-KCCSが描くセキュリティ戦略(2008/12/24)
  ・ VISA、大手のカード加盟店にPCI DSS準拠を義務化-2010年9月30日までに(2008/11/13)


( 川島 弘之 )
2009/04/17 11:45

Enterprise Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.