2024年10月15日8:00
提供:キヤノンITソリューションズ株式会社
協力:ICMSソリューションズ株式会社
キヤノンITS ITサービス事業企画部の吉川大亮氏とICMSソリューションズ代表取締役社長の荒井亮介氏に、PCI DSS v4.0で改訂された暗号化要件の注意点や準拠方法について対談してもらった。第3回はストレージ上のデータを暗号化する際の準拠方法となる。
ストレージ暗号でのPCI DSS準拠
多くはファイル暗号化ソリューション導入を検討
キヤノンITS ITサービス事業企画部の吉川大亮氏とICMSソリューションズ代表取締役社長の荒井亮介氏に、PCI DSS v4.0で改訂された暗号化要件の注意点や準拠方法について対談してもらった。第3回はストレージ上のデータを暗号化する際の準拠方法となる。
吉川氏:v4.0からはストレージをディスクレベルやパーティションレベルで暗号化する、いわゆる「ストレージの丸ごと暗号化」では準拠NGとなるわけですが、これまで、このような暗号化で準拠していた企業はどれくらいいらっしゃるのでしょうか?
荒井氏:どれくらいかは存じ上げませんが、当社が支援させていただいている企業でも、地方銀行系のカード会社様だけでも十社以上は存在していたと思います。また、データベース暗号化行う代わりにデータベースを格納するディスクを丸ごと暗号化することにより対応していたケースもありました。
吉川氏:v4.0の改訂でデータベースの丸ごと暗号化もNGになったので、そのような企業は難しい対応が迫られますね。実際にそのような企業はどのような対策で準拠しようと考えているのでしょうか?
荒井氏:多くはファイル暗号化ソリューションの導入を検討しているようです。ここで特に重要なポイントは、単純にフォルダレベルやファイルレベルの暗号化に切り替えればいいということではなく、データの参照権限をユーザー単位で制御する運用が必要ということです。
吉川氏:そうですね。セキュリティの観点でも、ユーザー単位の参照権限を設定できていないと危険ですね。
丸ごと暗号化のセキュリティリスクについても吉川氏は言及している。
吉川氏:ユーザー単位の参照権限を設定できていないと、不正アクセスやマルウェア感染があった際に、窃取されたアカウントで容易にデータが参照できてしまいます。
「暗号化」はセキュリティ対策の一つですが、実際に暗号化の導入を検討する企業においては、今回のPCI DSSに代表されるセキュリティ基準や法令に準拠することが目的となっているケースも多いようです。せっかく導入するのですから、より効果の高い設定でご利用いただきたいです。
CipherTrustもファイル暗号化機能を装備
重要なのはアルゴリズムの強度と暗号鍵の管理
今回ご紹介しているCipherTrustもファイル暗号化の機能を備えおり、ユーザー単位の参照権限の設定が可能です。v4.0に準拠可能な暗号化ソリューションをお探しの企業はぜひ一度お問合せいただきたいです。
さらに対談では、クラウド利用時における暗号化要件の展望についても議論された。
吉川氏:クラウドの暗号化機能もストレージ暗号化と同じく、特定領域を丸ごと暗号化していて、ユーザー単位の参照権限が設定されていないケースが多いように思います。今回の改訂のように、クラウドでも暗号化の権限設定を明確にすべきという考えは、今後クラウドにも派生する可能性はあるでしょうか。
荒井氏:QSAの立場からは改訂についてコメントはできませんが、ユーザー単位の参照権限が設定すべきというポイントは、クラウドの暗号化においても同様だと思います。
吉川氏:答えづらい質問でしたね。ご回答ありがとうございます。
吉川氏からはクラウド利用時における暗号化方式の種類についても説明いただいた。
吉川氏:暗号化において重要なのは使用するアルゴリズムの強度と暗号鍵の管理です。使用するアルゴリズムについては、CRYPTRECの暗号リストなどを参考にしてください。
<https://www.cryptrec.go.jp/list.html>
暗号鍵の管理については、どれだけクラウドに依存するかで方式が異なります。クラウドサービスの暗号化機能はデフォルトでは暗号鍵の保管場所も同一クラウド上になります。暗号化済みデータと暗号鍵は分離して管理したほうがセキュリティレベルは上がります。さらにユーザー単位の参照権限設定など詳細な設定をするために、クラウドサービスの暗号化機能は使用せず、利用者自身が用意した暗号化機能を使用するという選択肢もあり得ます。
PCI DSS準拠に取り組む心構えは?
専門家やコンサル、QSAに相談を
最後に、荒井氏からPCI DSS準拠に取り組む心構えについてアドバイスをいただいた。
荒井:PCI DSSの要件が求める本質的なセキュリティ対策を理解することがとても大切だと思います。世界中で発生した過去のインシデントから、これを守れば事故が発生しなかった、守れた。というような対策が新たな要件となります。それぞれ大切な意味があることになります。
ただ、要件の解釈や要求事項等、分かりにくい点が多々ありますので、専門家やコンサル、QSAに相談してほしいと思います。きっとよい答えが見つかると思います。
■問い合わせ先
ciphersec@canon-its.co.jp