要件12.1.2では,セキュリティ・ポリシーが正式なリスク評価につながる年間プロセスを含むことを求めている。PCI DSSにおいて,リスク評価は重要な要素である。

12.1 以下を満たすセキュリティ・ポリシーを確立,公開,維持,配布する。
12.1.2 脅威と脆弱性を特定し,正式なリスク評価につながる年間プロセスを含んでいる。

リスク評価

 正式なリスク評価とは,組織で承認された方法に基づく評価のことである。リスク評価は,一般的には情報資産,脅威および脆弱性の組み合わせによって行うが,PCI DSSにおける情報資産は以下のものが該当する。このうち,重要なファイルおよび重要なサービスについては,対象となるカード会員データ環境において,何が該当するかをあらかじめ特定しておく必要がある(表4)。

表4●リスク評価の対象となる情報資産
カード会員データ カード番号(PAN),カード会員名,サービスコード,有効期限
センシティブ認証データ 全磁気ストライプ,CVC2/CVV2/CID,暗証番号(PIN)/PINブロック
重要なファイル 重要なシステム・ファイル,重要なコンテンツ・ファイル,監査証跡など
重要なサービス 監視サービスなど

 実際のリスク評価手法としては、ISO/IEC TR 13335 GMITS(The Guidelines for the management of IT Security:ITセキュリティマネジメントのためのガイド)のPart3で紹介される詳細リスク分析が参考となる。詳細リスク分析では「情報資産の価値」「脅威」「脆弱性」およびリスクを低減させる可能性のある「既存および計画中の管理策」を洗い出し,それぞれを数値化することによりリスク水準を評価する手法が紹介されている。

 リスク評価の際には,脅威と脆弱性を特定する必要がある。情報資産に対する脅威は,一般的には,(1)破壊,(2)改ざん,(3)紛失あるいは盗難,(4)漏えい,(5)中断の5種類である。このため,脅威の候補には下記のようなものがある。

【リスク評価の対象となる脅威】
・重要なファイルの破壊
・カード会員データあるいはセンシティブ認証データの改ざん
・重要なファイルの改ざん
・カード会員データあるいはセンシティブ認証データの紛失あるいは盗難
・カード会員データあるいはセンシティブ認証データの漏えい
・重要なサービスの中断

 これらの脅威に対して,その原因となる事象を想定してリスク評価を行う。例えば,VISAが公開している「Incident Response Procedure」Version 1.2, 2004によれば,システムのセキュリティ侵害の原因となるセキュリティ・インシデントは,図1に挙げる4種類に分類される。

図1●セキュリティ・インシデントの分類
図1●セキュリティ・インシデントの分類

 4種類のセキュリティ・インシデントが発生した場合を想定して,リスク評価を実施することが望ましい。リスク評価は,PCI DSSのすべての要件を対象とする必要があるため,各要件に対応するリスク評価を網羅的に実施する。表5に、脆弱性評価の例を示す。

表5●脆弱性評価の例
関連する
要件項番
脆弱性の例 関連する脅威の例
要件1 危険性のあるプロトコルが許可されている 許可されないアクセスによる,カード会員データの漏えい
要件5 ウイルスチェックのパターンファイルが最新版でない端末が存在する 悪意あるプログラム(ウイルス)攻撃による,重要なファイルの破壊
要件8 不適切なパスワードが使用されている 許可されないアクセスによる,カード会員データの盗難
要件9 管理されていない媒体が存在する 媒体配送手段の不備による,カード会員データの盗難

 このように,脆弱性評価を行った後にリスク評価を行う。リスク評価は「情報資産の価値」「脆弱性のレベル」および「脅威のレベル」を数値化して評価する。数値化およびこれらの数値を用いたリスク評価には,様々な手法が提唱されているため,ここではその詳細の記述は省略する。前述の資料を参考に,自らの事業体に合った手法を採用することを推奨する。

代替コントロールとリスク評価

 要件3.4への対応における代替コントロールの採用について,PCI DSSの「付録B:代替コントロール」で以下のように記述している。

 企業が技術的制約で,もしくは業務上の制約で(例えば暗号化などによって)カード会員データを判読不可能な状態にしておくことができない場合,代替コントロールが考えられうる。リスク分析を行い,かつ,正当な技術上のあるいは文書化された業務上の制約がある企業のみが,準拠達成のための代替コントロールの使用を考えてもよい。

 代替コントロールは,条件が整えば,要件3.4以外の要件への適用も可能である。リスク評価は,この条件における重要な要素となっている。すなわち,代替コントロールを導入する場合にはリスク評価を実施することが不可欠であり,導入した代替コントロールの有効性を見極めるために,導入後においても見直し評価を実施しなければならない。このことは,PCI DSSの準拠性において技術上あるいは業務上の制約がある企業にとって道を拓くものであるが,代替コントロールの導入を安易に検討すべきでないことを示唆している。

表6●関連製品
分野 メーカー/ベンダー 製品/サービス
リスク分析/管理ツール 富士通SSL RACONTIS/PC
RACONTIS/Web
リスク分析/管理ツール 住商情報システム SAS Risk Dimensions
ISMS取得支援ツール アズジェント RA2 art of risk
ISMS取得支援ツール アトラクス TRIANGLE 27001 Enterprise

豊田 祥一
ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部 コンサルティング部 部長
2005年11月,ネットワンシステムズ株式会社入社。前職において,iDCにおけるECシステムの運用業務に携わる。主にPKIを導入したインターネット・サービスの運用業務設計を担当。現職においては,ネットワーク・ベンダーの視点に基づくコンサルティング・ビジネスを推進。2006年より,PCI DSSに関するセミナー講師を実施。前宮内庁CIO補佐官。