第8回 データ保護と暗号化はイコールではない?
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2010/1/27
要件として設定されている「保存されたカード会員データを保護すること」。この1文の意味をもう一度考えてみましょう(編集部)
先日、PCI DSSに派生するPA-DSS(ペイメントアプリケーションデータセキュリティ基準)に関連して、アメリカに出張する機会がありました。アメリカではカード会員データの漏えいをきっかけに企業が破たんすることも実際に起きており、依然、緊張感が高まっているとのことでした。それでもやはり、インシデントが発生してから、慌てて対策を行うという現状は変わらないそうです。
とはいえ、アメリカにおけるPCI DSS準拠率は日本に比べて高く、日本は数年遅れているといえるでしょう。よい意味でも悪い意味でも、この分野で先行している国があるので、筆者はその情報をうまく活用していくべきだと考えています。PA-DSSに関しては、別の機会に紹介できればと思っています。
さて、PCI DSSに準拠しようとしたとき、多くの組織で頭を悩ますのは「要件3 保存されたカード会員データを保護すること」でしょう。「暗号化」というキーワードだけが注目されがちですが、ここで求められているのは、暗号化することではなく、保存されたカード会員データを保護すること、つまりカード会員データを容易に判読できない形で保存することで、カード会員データ情報漏えいのリスクを軽減することが目的です。
しつこいようですが、製品を導入することが目的ではありませんし、高価な製品を導入しようとも、適切な運用が伴わなければ、本要件に対応したことにはなりません。
カード会員データの暗号化を検討する前に
「PCI DSSではカード会員データを暗号化しなければならないらしい。どうしようか?」という議題に入る前に、いくつかの段階があります。暗号化による対策が含まれるのは要件3ですが、QSAはいきなり「保存されたデータは暗号化されていますか? 暗号化されているか見せてください」と尋ねるわけではありません。
これはQSAによって違いがあるかもしれませんが、筆者が行う場合は、まずPCI DSS要件に入る以前に、システム全体の構成と、それによるカード会員データの流れを確認します。つまり、最初はネットワーク構成図を見ながら、下記のような質問をします。
「このシステムで行っている全体の処理と、カード会員データの流れを教えてください」
この質問の回答として、オーソリゼーションや売上処理が外部、内部ともにどのような流れで行われ、それによってどのような種類のカード会員データが、どのサーバに保管されるかといった概要を期待します。「美しく答えなければ失格」のようなものではありませんし、理解できないことがあれば何度でも質問させていただくので、率直に答えていただくことを望んでいます。これは必ずしも1人がすべてを答えていただく必要はなく、担当の方が分かれていれば皆さんで答えていただくのはまったく問題ありません。
このとき、ネットワーク図にカード会員データの流れや保存される場所、保存状態などを付加しておけば、審査を受ける企業にとってもQSAにとっても理解しやすく、カード会員データの洗い出しにも役立ちます。
 |
| 図1 カード会員データの流れや保存場所(外部とのやりとりを含む)を、ネットワーク図に明記する |
このやりとりの中で、およそどのカード会員データがどの場所に保管されているかが把握できます。この時点で「そこに保管されているデータは、暗号化などが行われていますか?」と聞くこともあります。ただし、最初に全体を把握しようとしている段階ですので、ここで得られた回答を最終的な結果と判断することはありません。そのあとで要件の詳細に入ったとき、実機の確認で異なる結果が見えてくることも珍しくないからです。
つまり、ここで必要とされることは、システム全体を見渡したときに、どのようにカード会員データが流れていくのか、どの部分に蓄積されていくのかを把握していることです。カード会員データに限らず、個人情報などを取り扱うシステムがある場合にも同じことがいえます。システムに対する入力と内部処理、出力までのライフサイクルを把握しておかなければ、その情報を守ることなど到底できません。ここまで把握ができたうえで、要件3に入ることができます。
この質問の回答では「どこにカード会員データが流れており、保存されているのか分からない」「そのカード会員データが本当に必要なのか分からない」ということが多いです。あまりにも散在している場合は、PCI DSS準拠を目指す第1ステップとして、業務分析が必要になるでしょう。
1/3 |
 |
| Index | |
| データ保護と暗号化はイコールではない? | |
 |
Page1 カード会員データの暗号化を検討する前に |
| Page2 要件3「保存されたカード会員データを保護すること」を読む 判読不能にする方法は暗号化だけではない |
|
| Page3 PCI DSSで求められる「強力な」暗号化技術 パフォーマンスが落ちるので暗号化したくない? |
|
 |
オール・ザッツ・PCI DSS 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
