2014年5月27日8:00

Tripwireソリューションで実現するリスクベースのセキュリティ強化(上)

Tripwire(トリップワイヤ)は、1997年に米国・オレゴン州で設立し、2000年に日本法人を設立しました。ワールドワイドで約90カ国7,000社、日本においても、官公庁や一般企業など約1,000社への導入実績を誇っています。情報処理推進機構(IPA)においても、Web改ざん検知製品として紹介されており、この分野のパイオニアとして認知されています。

これまで十数年に渡り、改ざん検知ソリューションの No.1ベンダとしての実績を誇り、PCI DSSに対し、ファイル整合性監視(変更監査)と、コンプライアンスの達成と維持(コンフィグレーション・アセスメント)を実現してきました。

本セッションでは、昨今のスマートデバイスの活用を主とした決済手段の多様化や、情報資産の仮想化/クラウド化に伴って広がるセキュリティ上の新たな脅威やリスクに対応するためのTripwireの今後の展開と併せ、リスクベースのセキュリティ強化を実現するソリューションをご紹介します。

ビットコインの真実

昨今、ビットコイン取引所マウントゴックス(NtFox)が、コインを不正に引き出そうとするハッカー攻撃に遭い、経営破たんしました。マウントゴックスでは、実に15万回のDDoS攻撃を受け、被害金額は75万BTC(約70~960億円)、同社が保有していた10万BTCが消失したといわれています。

しかし、この事件によって「やはり仮想通貨は信用できない」と考えるのはいささか短絡的です。今回の事件は、一取引所の問題や通貨システム自体の欠陥ではないからです。

ビットコインは、決済手段としての値ごろ感、利便性、拡張性があり、通貨として破たんしても今後も部分的に生き続け発展すると考えています。

ビットコインはPtoP型であるため、当事者間の「サイフ」以外に、イシュア、アクワイアラ、決済代行会社は介在しません。また、専用の端末がなく、アプリケーションのソフトウェアだけでロジックが構成されています。当事者間の財布同士が直接やり取りするため、ローカルの市場の要求に応じて、さらに進化の可能性があります。

しかし、この様な高付加価値アーキテクチャと引き換えに不可避なリスクもあります。まず、PtoP型の仕組みとして、センターだけではなく、全方位的に脅威への対応が必要であること。また、ひとたび攻撃されると影響を受けやすく、加速度的に広がってしまいます。さらに、オープンシステムのメリットを維持するために、“Gray Cyber Mogul”を排除できません。

加えて、汎用デバイス仕様であることから、先行者利益を見込んで開発されているアプリケーションソフトは永遠に「未完成品」であり、作った当初には考えられなかったリスクや、時間の経過とともに、参入/連携当初には想定しきれないビジネス形態やリスクが発生します。また、センターや管理責任など、明示的な統制者がいないので、成長や維持管理は各参入者の自己責任となります。

この様な状況下で、将来的なセキュリティを担保するためには、まず自分たちの守れる範囲を責任を持って守り、そして、増え続ける脅威やリスクに段階的に対応することで、コンプライアンスの維持・確立を継続すること。さらに、重要なIT資産の厳重な守りと、想定外の接続の可能性がある可動性の高いデバイス資産の広範な守りを両立することが重要です。

PCI DSSの要件を幅広くカバーする「Tripwire Enterprise」

コンプライアンスの確立と維持は、共有、継続、予防の3本柱で行うことが大切です。そして、サイバー攻撃の防止には、攻撃の前に見つける、また攻撃されてしまった際の修復が必要です。

「Tripwire Enterprise」運用の流れ
「Tripwire Enterprise」運用の流れ

まず、第一に「共有」によって問題を周知して、修復を依頼し、変更されたことを承認するまでのプロセスを確立します。サイバー攻撃は集団化しているので、周到な準備が必要となります。

次に、侵入の手がかりとなる時点で、人目では見えないところまで検知する「予防」が必要となります。コンプライアンスを確立するため、マーケット参入時にチェックすることが大切です。未知の脅威が増えているので、継続的な対応なしではすぐに効果を失ってしまいます。ビジネスやテクノロジ双方で進む革新に対し、その都度追従が求められます。

さらに、常に高いレベルでコンプライアンスを維持、「継続」するために、ツールを活用して対応することが大切です。これらによって組織的なIT/セキュリティガバナンスの底上げが実現可能になると考えています。

Tripwireは、これまで多くの企業の情報セキュリティ・コンプライアンス基盤の確立に貢献してきました。

当社の主力製品である「 Tripwire Enterprise 」は、ファイルサーバのみならず、ネットワークデバイス、データベース、アカウント情報、ディレクトリーサービス、仮想環境の対応において、変更をプロセスまで監査できることを強みとしています。侵入の痕跡から防ぐことができ、設定の部分までの変更をつぶさに検知することに特化した製品です。

守るべき基準を決めて、細かいレベルまで検知、評価して、正しい変更までを通知。怪しい変更が時系列でどれくらいあるのか、どのサーバが攻撃されているのか、正しい変更を含めて俯瞰的に見ることもできます。さらに、ひとたび怪しい変更があれば、どういった変更か、誰が変更したか、それによって誰に影響があるのかを一気通貫に把握することも可能です。

守るべきポリシーという点では、例えばパスワードの変更のルール、ポートを開ける部分、サードパーティのソフトウェアをインストールしたら何でも行えるルートを変更するなど、ルールを決め、それぞれのサーバやIT資産でルールが守られているのかをチェックし、さらにそれらをスコアリング、レポートできます。

Tripwire Enterprise の優位性は、セキュリティシステム、プロセスを定期的にテストする要件、特にその中でも変更管理にかかわるファイル整合性監視の要件を満たすだけでなく、前述の守るべきポリシーのテンプレートが幅広い規格に対応できることです。

PCI DSSについては、要件10、11のみならず、整合性監視やポリシーの可視化により、幅広い要件をカバーしています。

※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」のトリップワイヤ・ジャパン株式会社 営業本部 営業推進部 部長 小野 文豊氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
tripwireトリップワイヤ・ジャパン株式会社
〒112-0014
東京都文京区関口1-24-8
東宝江戸川橋ビル8F
URL:http://www.tripwire.co.jp/
E-mail:sales@tripwire.co.jp
03-5206-8610(代表)

zipage
tokysyu

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP