2010年12月8日10:42
QSAに聞くVersion2.0のポイント~(4)ブロードバンドセキュリティ
――御社がQSAとして活動する上での強みを簡単にお答えください。
当社は、ITセキュリティコンサルティングをビジネスとして展開してまいりました。「セキュリティの本質」にこだわった本格的なセキュリティビジネスを展開する上で最も必要なセキュリティプロフェッショナルによる体制を強化しております。
PCI SSCが認定するPCI DSS監査資格者「QSA」、国際システムセキュリティ認証コンソーシアムが認定するCISSPなど国際的なセキュリティ資格所有者を数多く取得し、最新のセキュリティノウハウとセキュリティにおける高い意識をもったエキスパートを育成しております。
今後も、これらのセキュリティエキスパートがお客様の情報システムの安全性を高めていくサービスをご提供してまいります。
――PCI DSSが新バージョンに移行になりますが、新バージョンをご覧になった感想をお答えください。
今回の改訂方針には、要件の明確化やベストプラクティスの変化への対応が挙げられている。それら方針に従って一部の要件には加筆・修正や構成の変更が加えられている。ネットワーク要求やシステム要求を纏めた要件1や要件2は、それを転用することで、社内基準も容易に準備できるほど洗練されてきたといえる。
――新バージョンに移行になり、緩和された部分で特に注目される点につきましてお答えください。
定期的な暗号鍵の変更(要件3)や、無線スキャン(要件11)など、これまで準拠予備企業、維持企業から「要件が厳し過ぎる。現実的でない」といった反応の多かった要求事項については柔軟性を加えた、ともしている。
――上記の点を踏まえ、来年以降、QSAとして審査は行いやすくなると考えられますか?また、QSA部会などで議論が必要になる点などがあるようでしたらお答えいただけると助かります。
要件明確化や項番構成を含めた変更、加筆修正箇所は100を越えた。
それら変更の中で、監査ログの取得や少なくとも1日に一度の監査ログのレビューを要求した「要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視をする」については、システムの時刻同期に関する要求事項の変更と保管されたログを復元するプロセスに「直ちに復元すること」の“直ちに!”という文言が加わったことを除き前バージョンからの変更箇所はない。監査ログ取得、保管、レビュー要件については、PCI SSCが従前から予防的、発見的統制の観点からその重要性を訴えてきたとおり、前バージョンの要求を、そのまま踏襲している。
要件10.2.2「管理権限を持つすべての個人のアクションを記録する。」そして要件10.6「少なくとも日に一度、すべてのコンポーネントのログを確認する。」などは、今まで当社がコンサルティングや監査を提供してきた準拠認定予備企業からも「要件が厳し過ぎる」といった反応をいただきつつも、その重要性を深くご理解いただいてきた要件である。
要件10.6「少なくとも日に一度、すべてのコンポーネントのログを確認する。」は、J-SOXを推進されている企業でも現時点で実現までには至っていないケースが多い。J-SOXは、所謂成熟度モデルを取り入れて年次毎にレベルの高いコントロールに移行していくという概念をベースとしているが、PCI DSSでは、カード会員データ保護という唯一の目的達成のために、準拠時点で成熟度モデルとしては最上位の要求を求めているからである。
しかし、多くの企業が下記のような共通の課題を抱えている。
(1) 多種多様なログフォーマットが存在。
(2)システム、業務別のログを一元管理出来ていない。
(3) 膨大な量のログが発生するため管理、分析が困難。
(4) ログの一元的管理の仕組みが出来ていたとしても「蓄積」まで。
(5) 一元管理できたとしても日々のログ情報の分析、活用が出来ていない。
ログ管理、そしてログの日々のレビューにおいては、まずは目的を明確にすることが必要と考える。PCI DSSが求めている日々のログレビューの目的と想定効果は下記3点に集約される。
1.外部、内部からの脅威に対する予防的/発見的統制
・異常な事象、不正が起きていないかの定点観測を、日々のレビューを通じて実現させる効果。
2.内部組織に対する牽制:予防的統制
・内部犯罪の牽制について、管理アクセスを含む全ての操作ログを取得、日々詳細分析していることを周知することによって、内部牽制を実現させる効果。
3.インシデント時の早急な対応、原因究明に資する発見的統制
・事故発生時の早急な原因究明を日々のレビューを通じて実現させる効果。
これら目的の達成のために、日々のログレビューは自らの環境の“平常体温を測るための最短の手段”であるかもしれない。この“平常体温の計り方”は各社各様に異なるであろう。外部からの脅威のみならず、内部、パートナー企業で構成される自らの環境の“平常体温”を測ることを、最重要セキュリティ施策の1つとして推進していくべきである、と考える。
