SOX法やPCI DSSなどユーザー企業を取り巻くセキュリティ要件は,日々広がっている。こうした中,業務アプリケーションのデータ・セキュリティに特化したアプライアンス「SecureSphere」によって企業のセキュリティ需要に応えようとしているのが米Impervaである。来日中の同社幹部に,企業が直面しているセキュリティのトレンドについて聞いた。

(聞き手は日川 佳三=ITpro



米Impervaで戦略マーケティング担当シニア・ディレクタを務めるMark Kraynak氏
[画像のクリックで拡大表示]

最近のセキュリティのトピックについて教えてほしい。

 企業データを守る分野のトピックとして,PCI DSS(Payment Card Industry Data Security Standard)への対応がある。大手クレジットカード会社が策定した,クレジットカード情報を取り扱う事業者に向けた情報システムの構成や運用に関するガイドラインだ。まだ取り組んでいない企業も多いが,PCI DSSに対応した顧客と話をした印象では,オンライン決済サービスのような,比較的リスクの高い業務でのPCI DSS対応が見られる。

 米国は日本と比べるとクレジットカードにおける認証などのセキュリティが立ち遅れていることもあり,全世界の中で米国で真っ先にPCI DSSへの取り組みが始まったというのは合理的なことだ。その後に18カ月遅れて欧州の大企業が追従し,日本では欧州からさらに9カ月ほど遅れて浸透を開始した。割賦販売法の改正という動向もあり,クレジットカード情報の漏えい防止はトレンドとなっている。

 企業がPCI DSSの要件を満たしているかどうかを調査した結果として米VeriSignが報告したところによると,半数近くの企業がいくつかの要件で失格している。例えば,(1)PCI DSSの要件6「Develop and maintain secure systems and applications」(Webアプリケーションを安全にすること)では45%の企業が失格。(2)用件10「Track and monitor all access to network resources and cardholder data」(全アクセスを監視すること)では40%の企業が失格。(3)要件3「Protect stored cardholder data」(カード所有者の個人情報を保護すること)では45%の企業が失格している。

企業は,PCI DSSへの対応を,問題なく受け入れているのか。

 確かに,ユーザー企業の多くがPCI DSSに対応するための作業やコストに不満を感じている。様々な法規制やガイドラインごとに,情報システムに対する監視/管理項目がそれぞれ若干異なっているのが一つの要因。こうした個々のシステム要件に,その都度取り組んでいくのは難しいことだ。

 米国では,まずSOX法という正確な財務報告のための法律への対応が取られた。これは否応なしに対応せざるを得なかった。手作業により,多大な人件費をかけて対応していった。この後に,PCI DSSのようなシステム要件が登場し,ユーザーの不満は大きく膨れ上がっている。だからこそ,SOX法対応のときのような手作業ではなく,1回の取り組みで多くのセキュリティ要件を満たす仕組みが求められている。

 ImpervaのアプライアンスであるSecureSphereは,ライセンスによって3つの機能を利用できる。(1)DBアクセスを対象としたコンプライアンス/監査レポート機能,(2)DBアクセスを対象とした不正アクセスの防御,(3)Webアクセスを対象とした不正アクセスの防御---である。これらの機能が,満遍なく平均的に使われている。

 実は,米国のSOX法は,日本のJ-SOXを参考に,より合理的なものへと,より緩やかなものへと変わってきている。かつての米国では,なんと52%の企業が純利益の3%以上をSOX法対応のコストに消費していた。66%はメリットよりもコストの方がはるかに大きく,24%はどちらかと言うとメリットよりもコストの方が大きい。つまり,全体の9割は,SOX法対策により生まれた何らかのメリットよりも,コストの方が大きかった。これを見直し,より現実的な法律へと変わってきている。

法律であるSOX法とガイドラインであるPCI DSSとでは,ユーザー企業の取り組み方に違いがあるのではないか。

 確かにその通りだが,米国ミネソタ州などのように州法によってPCI DSSでうたわれた要件への準拠を義務付ける動きもある。日本でも,割賦販売法の改正という動向があり,クレジットカード情報の保護が注目されている。

 現実の問題として,クレジットカード情報を漏えいさせた会社がクレジットカード会社から取引を停止され,その結果として倒産してしまったケースもある。このケースでは,「データ保護を約束していたのに守られなかった」として,米連邦取引委員会(FTC)からも追求されていた。