2013年5月10日8:23
情報漏洩は起こる前提での対策が必要
セーフネット チーフストラテジー&マーケティングオフィサーのTsion Gonen(スィーオン・ゴーネン)氏インタビュー
今までは情報漏えいをどう防ぐかというアプローチでセキュリティ対策は行われてきましたが、それでも起こっています。従来はファイアウォールやIPSなどにより境界線で防ぐことに重きが置かれていました。弊社では大企業のセキュリティオフィサーを対象に調査を行いましたが、彼ら自身もどうしたらいいのかわからない状態でした。31%の対象が外部から侵入されていることを認めており、2割が漏えいしているのかよくわからないという回答でした。また、38%の方が本来のユーザーではない、外部からのアクセスが行われ、さらに65%が今後3年以内にデータ漏えいが身に降りかかってくると回答されています。各企業では、数多くのセキュリティ対策を行っていますが、彼らの20%が自社のデータ管理の状況を信用していません。
弊社では、情報漏えいは起こるものだという前提で何をするのかを提案しています。ペイメントカードの国際セキュリティ基準である「PCI DSS」も同じコンセプトだと思いますが、例えばクレジットカードデータが仮に盗まれたとしても、そのデータを暗号化して守る方法を提案しています。米国でもPCI DSSに準拠しなければいけないお客様は、クラウドの環境に移行したいと思っていますが、PCI DSS対応に頭を悩ませています。従来の物理的なサーバに置かれていたデータがクラウドに移行していく中でどのような対策が必要になるかが重要になります。
最近はサービスプロバイダが自社のサービスのインフラをPCI DSSに準拠していることをうたってサービスを提供するケースが増えています。それは、PCI DSSに準拠に必要なお客様が仮想化の環境に移行を検討する上では重要なテーマです。技術的な観点でそれを満たすために必要なのは暗号化です。同様に議論になるのは、データのオーナーシップ、つまり誰がデータの所有者になるのかということです。PCI DSSに準拠したインフラが用意されて、データが暗号化されても、暗号鍵を誰が管理するのかということです。
繰り返しになりますが、情報を守る意識から“情報漏えいは起こる”と認識する必要があり、その上でクレジットカードを利用されるお客様の環境もオンプレミスからクラウドの環境も含めて、暗号化のテクノロジを使った保護を考える時期にきていると思います。
現状は、規則だったり、罰金があるからPCI DSSに準拠しなければいけないという企業が多いと思いますが、データを守る観点から正しい方法として理解される必要があるでしょう。PCI DSSは、アプローチとしては正しいので、それが受け入れられるためのマーケティング活動も工夫しなければなりません。PCI DSSへの準拠は、重要だからという動機づけは重要だと思います。
私自身、流通大手の企業がPCI DSS準拠をプロモーションしているのをみたことがありません。それは1つの課題であると思います。PCI DSSの価値や重要性を正しく理解してもらうため、今後はそういったところも含めて考える必要が求められます。
PCI DSSは過渡期ではないかと思います。同時にインフラの環境自体も物理的なサーバからクラウドに移る中で、漏えいは起こるものであるという前提で何をしたらいいのかという考えのもと、正しい対策を進める必要があるでしょう。
