「10の神話」で明らかなように,PCI DSSは,カード処理にかかわらない一般企業や団体にも適用できるセキュリティ対策のベストプラクティスである。米国のコンサルタントの間でもデータセキュリティ・モデルという表現でPCI DSSの一般企業への適用を促す論調は増加傾向にある。
日本のこれまでの情報セキュリティ政策は,ISMSやプライバシーマーク制度といったセキュリティをマネジメントすることに主眼が置かれてきた。セキュリティに対するマネジメントシステムを構築し,定着させることは,情報セキュリティという日本人になじみのない文化を組織に定着させる上で重要な施策であったことは間違いない。一方,ISMSやプライバシーマークの取得が進みつつある中で,セキュリティ対策に取り組む企業や団体から聞かれる声は,「何をどこまでやればいいかが分からない」という現実だ。
ISMSは自己責任が原則
ISMSは,自己責任の下に自らの価値観でリスク分析を行い,認識されたリスクを自らの許容範囲に留め置くために必要なセキュリティ対策を導入することが大前提とされている仕組みである。しかし,現実的には,セキュリティの脅威を適確に把握し,さらに,その脅威を制御するための対策を適確に定めることができるのは,ごく一部の専門家に限られている。担当者が自信を持ってセキュリティ対策に取り組んでいるケースは,まれである。
一方,PCI DSSは,多くの専門的知識と実践経験を併せ持った関係者が,コンセンサスを形成しながら定めた実装対策への要求基準であり,認識されている現実の脅威に対する有効な対抗手段として機能するものである。また,自己責任を前提にした実装対策は,「何をもってそれでよし」としたかについての説明が困難である。PCI DSSに準拠することで「クレジットカード会社なみのセキュリティ対策」との説明も可能となり,ITセキュリティに関する専門知識を持ち合わせていない一般の人々に対しても分かりやすく,説明責任を果たせる手段となり得るのではないだろうか。
自社のポリシーと同一のポリシーを求める
ボーダレスな経済活動が前提となっている今,各国の事業体が同じセキュリティの実装対策を行うことで,世界中が同じセキュリティ水準を維持することは不可欠である。しかし,日本ではエンタープライズと呼ぶにふさわしい大手企業グループですら,ようやく関係各社に対してセキュリティ・ポリシーの策定を終えた段階にあるのがせいぜいのようだ。
現実は,製品原価,部品単価,成分配合表,特許関連情報,新製品の発売予定日などいわゆるトレードシークレットと呼ぶべき重要情報がグループ各社間で伝送され,保管されている。各社の自己責任を前提としたISMSだけで果たして重要情報を保護しきれるのか,各社のポリシーに自らの重要情報の保護を委ねていてよいのか不安が残る。
欧米のエンタープライズでは,セキュリティ・ポリシーの策定を要求するのではなく自社のポリシーと同一のポリシーの実践を要求し,直接指揮が可能な関係会社に対しては,セキュリティ製品の一覧を提示し,そのリストされた製品からのみ実装を許可するといった統制を行っている。
情報の価値がますます高まる現代において,日本のエンタープライズもサプライチェーン全体のセキュリティ・レベルを確保するためには,セキュリティ対策のボトムラインを明確に関係会社に要求する必要があるし,そのための実装レベルのエンタープライズ標準仕様を固める時期にあるのではないだろうか。
セキュリティ対策費の妥当性を納得できる
データセキュリティ基準(DSS)が策定されることの効用は,経営者にとっても大きい。経営者にとってのセキュリティ対策は,難解で費用対効果が推し量れない課題のひとつである。毎年のように申請されるセキュリティ対策費の妥当性を心底から納得して了承している経営者は,少ないのではないだろうか。
DSSが明確に定義されることで,それへの完全準拠を果たすためには「あといくらの投資が必要か」を明確にすることができる。その費用が単年度予算では荷が重いということであれば優先順位を検討した上で,3カ年計画のような形で投資を計画することができ,経営にとって非常に合理的な判断が可能となる。
また,DSSは,セキュリティの専門家のアドバイスが得られない企業や団体にとっても有意義だ。新規のシステム調達に際してDSSを調達仕様の機能要件として位置づけることで,最低限のセキュリティ対策の実装が期待できる。
PCI DSSは,国際的にやり取りされるカード会員情報をそのサプライチェーン全体のセキュリティ・レベルを統一することで保護しようとする壮大な試みである。決して日本だけが例外であってはいけないし,その発想は,グローバルな事業展開を行っているエンタープライズにとっても,重要だ。今回の連載が,PCI DSSの国内普及やエンタープライズDSSの普及つながれば幸いである。
PCI DSS ver1.2の日本語訳はこちら |
ネットワンシステムズ株式会社 セキュリティ事業推進本部本部長
[委員等就任実績]
内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員,警察大学校不正アクセス犯罪等対策専科講師,学校セキュリティ検討委員会委員(経済産業省),サイバーテロ演習評価委員会委員(経済産業省),不正プログラム調査研究委員会委員(警察庁),サイバーセキュリティ調査研究委員会委員(警察庁)