今,米国ではクレジットカード会社が策定した情報システムのセキュリティ規準「PCIDSS(PCIデータセキュリティ基準)」がホット。情報システムのセキュリティ基準としては「ISMS」や「プライバシーマーク」が既に普及しているが,それらに比べてPCIDSSは認定の要件が具体的に定められているのが特徴だ。セキュリティ・パッチ適用を支援するアプライアンス「ServerShield」を開発・販売する米BlueLane社のAllwyn Sequeira氏は「PCIDSSの認定を取得するために製品を導入したいという案件が米国では増えてきた」と言う(国内の総販売代理店は住商情報システム)。PCIDSSを巡る動向を聞いた。
そんなにインパクトが大きいのか。
 米Blue Lane TechnologiesのSequeira技術最高責任者 [画像のクリックで拡大表示] |
2007年の後半から「PCIDSSの認定を取得するためにServerShieldの導入を検討したい」というユーザーが急に増えてきた。それ以前はほとんど見られなかったのに。
PCIDSSは2004年に策定されて,既に3年以上経っている。なぜ,今なのか。
VISAやMasterといったカード会社が本腰を入れてきたためだろう。この認定を取得していないと,米国では罰金を科せられる可能性が出てきた。当面はトランザクションの多い大企業に対象が限られるものの,いずれは幅広く加盟店も認定取得を迫られることになるだろう。ところが,その認定を取得するのが簡単ではない。
何が難しいのか。
PCIDSSでは,満たすべき要件が具体的に定められている。ファイアウオールの設置など多くの要件は,既に多くの企業が満たしているから問題ない。ただ,技術的な観点から,多くの企業が頭を抱える要件がいくつかある。
その一つが,要件6.1。「すべてのシステム・コンポーネントとソフトウェアに,最新のベンダー供給セキュリティ・パッチが適用されていることを確認する。関連するセキュリティ・パッチはリリース後1ケ月以内にインストールする」というものだ。ベンダーが提供するすべてのセキュリティ・パッチを1カ月以内に適用するなどという運用ができるだろうか。極めて難しいはずだ。パッチを適用するためには計画停止をしなければならないことも多いが,ミッションクリティカルなシステムでは,そう頻繁にシステムを止められない。また,オープンソース・ソフトウエアのパッチは提供されるタイミングがバラバラなので計画停止をスケジューリングしにくい。
「ServerShield」はどう役に立つのか。
ServerShieldは,OSやミドルウエアのメーカーが提供するセキュリティ・パッチをエミュレートするアプライアンス装置だ。OSやミドルウエアにパッチを適用しなくても,ネットワーク上に配置しておくだけで,OSやミドルウエアに対して最新のセキュリティ・パッチを適用しているのと同じ効果が得られる。つまり,要件6.1をクリアできる。
データセンターで運用しているサーバーの場合,ミドルウエアより下のレイヤーをユーザーがいじることはできない。PCIDSS対策でServerShieldを入れたくても入れられないユーザーもいるのではないか。
その通りだ。特に(データセンターがサーバー資産を保有する)ホスティングの場合,ユーザーだけでPCIDSSの認定を取得するのは難しいだろう。データセンターがServerShieldを導入するなどして,その分をオプションなどの形で価格に転嫁しユーザーに提供するといった工夫が必要かもしれない。ただ,自分が見聞きした範囲では,これまでそういう例はまだないが。
| ■変更履歴 製品名をPatchPointと表記している個所がありましたが,正しくはServerShieldです。お詫びして訂正します。また,国内の総販売代理店の情報を追加しました。本文は修正済みです。 [2008/2/19 20:10] |
