【PR】ストレージ暗号化によるPCI DSS準拠のポイントは?(キヤノンITS/ICMSソリューションズ)

2024年10月15日8:00

提供:キヤノンITソリューションズ株式会社
協力:ICMSソリューションズ株式会社

キヤノンITS ITサービス事業企画部の吉川大亮氏とICMSソリューションズ代表取締役社長の荒井亮介氏に、PCI DSS v4.0で改訂された暗号化要件の注意点や準拠方法について対談してもらった。第3回はストレージ上のデータを暗号化する際の準拠方法となる。

ICMSソリューションズ代表取締役社長の荒井亮介氏

ストレージ暗号でのPCI DSS準拠
多くはファイル暗号化ソリューション導入を検討

キヤノンITS ITサービス事業企画部の吉川大亮氏とICMSソリューションズ代表取締役社長の荒井亮介氏に、PCI DSS v4.0で改訂された暗号化要件の注意点や準拠方法について対談してもらった。第3回はストレージ上のデータを暗号化する際の準拠方法となる。

吉川氏:v4.0からはストレージをディスクレベルやパーティションレベルで暗号化する、いわゆる「ストレージの丸ごと暗号化」では準拠NGとなるわけですが、これまで、このような暗号化で準拠していた企業はどれくらいいらっしゃるのでしょうか?

荒井氏:どれくらいかは存じ上げませんが、当社が支援させていただいている企業でも、地方銀行系のカード会社様だけでも十社以上は存在していたと思います。また、データベース暗号化行う代わりにデータベースを格納するディスクを丸ごと暗号化することにより対応していたケースもありました。

吉川氏:v4.0の改訂でデータベースの丸ごと暗号化もNGになったので、そのような企業は難しい対応が迫られますね。実際にそのような企業はどのような対策で準拠しようと考えているのでしょうか?

荒井氏:多くはファイル暗号化ソリューションの導入を検討しているようです。ここで特に重要なポイントは、単純にフォルダレベルやファイルレベルの暗号化に切り替えればいいということではなく、データの参照権限をユーザー単位で制御する運用が必要ということです。

吉川氏:そうですね。セキュリティの観点でも、ユーザー単位の参照権限を設定できていないと危険ですね。

丸ごと暗号化のセキュリティリスクについても吉川氏は言及している。

吉川氏:ユーザー単位の参照権限を設定できていないと、不正アクセスやマルウェア感染があった際に、窃取されたアカウントで容易にデータが参照できてしまいます。

「暗号化」はセキュリティ対策の一つですが、実際に暗号化の導入を検討する企業においては、今回のPCI DSSに代表されるセキュリティ基準や法令に準拠することが目的となっているケースも多いようです。せっかく導入するのですから、より効果の高い設定でご利用いただきたいです。

CipherTrustもファイル暗号化機能を装備
重要なのはアルゴリズムの強度と暗号鍵の管理

今回ご紹介しているCipherTrustもファイル暗号化の機能を備えおり、ユーザー単位の参照権限の設定が可能です。v4.0に準拠可能な暗号化ソリューションをお探しの企業はぜひ一度お問合せいただきたいです。

さらに対談では、クラウド利用時における暗号化要件の展望についても議論された。

吉川氏:クラウドの暗号化機能もストレージ暗号化と同じく、特定領域を丸ごと暗号化していて、ユーザー単位の参照権限が設定されていないケースが多いように思います。今回の改訂のように、クラウドでも暗号化の権限設定を明確にすべきという考えは、今後クラウドにも派生する可能性はあるでしょうか。

荒井氏:QSAの立場からは改訂についてコメントはできませんが、ユーザー単位の参照権限が設定すべきというポイントは、クラウドの暗号化においても同様だと思います。

吉川氏:答えづらい質問でしたね。ご回答ありがとうございます。

吉川氏からはクラウド利用時における暗号化方式の種類についても説明いただいた。

吉川氏:暗号化において重要なのは使用するアルゴリズムの強度と暗号鍵の管理です。使用するアルゴリズムについては、CRYPTRECの暗号リストなどを参考にしてください。

<https://www.cryptrec.go.jp/list.html>

暗号鍵の管理については、どれだけクラウドに依存するかで方式が異なります。クラウドサービスの暗号化機能はデフォルトでは暗号鍵の保管場所も同一クラウド上になります。暗号化済みデータと暗号鍵は分離して管理したほうがセキュリティレベルは上がります。さらにユーザー単位の参照権限設定など詳細な設定をするために、クラウドサービスの暗号化機能は使用せず、利用者自身が用意した暗号化機能を使用するという選択肢もあり得ます。

PCI DSS準拠に取り組む心構えは?
専門家やコンサル、QSAに相談を

最後に、荒井氏からPCI DSS準拠に取り組む心構えについてアドバイスをいただいた。

荒井:PCI DSSの要件が求める本質的なセキュリティ対策を理解することがとても大切だと思います。世界中で発生した過去のインシデントから、これを守れば事故が発生しなかった、守れた。というような対策が新たな要件となります。それぞれ大切な意味があることになります。

ただ、要件の解釈や要求事項等、分かりにくい点が多々ありますので、専門家やコンサル、QSAに相談してほしいと思います。きっとよい答えが見つかると思います。

■資料ダウンロード

■問い合わせ先
ciphersec@canon-its.co.jp

 

 

 

 

 

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP