企業がパーソナルデータを利活用できるのは、データの漏洩を防ぐセキュリティへの信頼があればこそだ。だがベネッセコーポレーションの事件など、相次ぐ情報漏洩事件で、この信頼が揺らぎつつある。

 クレジットカード番号や取引情報を保護するセキュリティ標準「PCI DSS(Payment Card Industry Data Security Standard)」の最新版は、「データベース管理者やバックアップ管理者には、システム全体の管理者と同じ特権を割り当てない」など、情報漏洩を防ぐ具体的な方策を示している。PCI DSSの策定や普及啓発を担うPCI SSC(Security Standards Council) ジェネラルマネージャー(GM)のボブ・ルッソ氏、CTO(最高技術責任者)のトロイ・リーチ氏、バイス・プレジデント(VP)のエッラ・ネビル氏に、データセキュリティの勘所を聞いた。

(聞き手は浅川 直輝=日経コンピュータ


ベネッセが起こした情報漏洩事件は、広範なアクセス権限を持つ内部のエンジニアによる犯行だった。カード業界では、内部犯行による漏洩を防ぐため、どのようなセキュリティ要件を設けているのか。

PCI SSC ボブ・ルッソGM(中央)、トロイ・リーチCTO(左)、エッラ・ネビルVP(右)
PCI SSC ボブ・ルッソGM(中央)、トロイ・リーチCTO(左)、エッラ・ネビルVP(右)
[画像のクリックで拡大表示]

 ベネッセの件は、我々も英字ニュースで知っている。内部の人間が絡む情報漏洩は、防御が極めて困難なのは確かだ。

 PCI DSSの最新版(2013年11月にリリースしたPCI DSS Ver3.0)では、「内部の脅威」を考慮した要件をいくつか追加、強化した。組織内の人間による内部犯行はもちろん、社内のネットワークに侵入し、社員のアクセス権限を乗っ取るような攻撃も「内部の脅威」に当たる。

 内部の脅威に対抗するために不可欠なことが二つある。一つは、アクセス権限の最小化だ。

 PCI DSSでは「特権ユーザーIDに与えるアクセス権が、職務の実行に必要な最小限の特権に制限されていること」「特権の付与は、個人の職種と職務に基づくこと」などを要件に挙げている。もっといえば、「なぜこの社員に、このアクセス権限を与えているのか。職務上、もっと権限を縮小できないか」を常に考え、絶えず権限を見直す姿勢が求められる。