2011年9月7日8:00
PCI SSC PO Japan連絡会は、2011年9月5日、仮想化やフォレンジックに関する最新動向についての勉強会を開催した。
今回の勉強会では、2011年6月にPCI SSCからリリースされたガイドラインである「Information Supplement:PCI DSS Virtualization Guidelines」をベースに、ビジネスアシュアランス 栗田晴彦氏がQSA(認定セキュリティ評価機関)としての実経験に基づいた仮想化技術導入上の留意点を紹介した。
仮想環境の利用は、多くの企業で避けては通れないものとなっているが、その反面、新たなセキュリティリスクが発生する。PCI DSSの基準でもVersion 2.0からは、仮想環境での利用が具体的に明示された。同氏は、ガイドラインに記載されている11のリスクを説明したうえで、その対策として「セキュリティレベルに応じた仮想ホストの分離」「ハイパーバイザのセキュリティ管理の徹底」「仮想化の運用ルールの作成と周知」を挙げた。
続いて登壇したPayment Card Forensics 代表取締役 野崎周作氏は、不正アクセスや機密情報漏えいなどが起こった際に、原因究明や調査に必要な機器や電子的記録を収集・分析する手段であるフォレンジックについて解説した。
Payment Card Forensicsはコンピュータフォレンジックで実績を持つUBICとQSAの国際マネジメントシステム認証機構の合弁会社である。同社は6月にPCI SSCから、日本企業として初めて、アジア太平洋地域で活動するペイメントカードの情報漏えい事件のフォレンジック調査機関(PCI Forensic Investigators:PFIs)として承認を受けている。
今回の勉強会は、PCI SSC PO Japan連絡会の会員だけでなく、PCIDSSに関わるプレイヤーも参加した。次回は11月にカード情報に置き換わる別の数値(乱数)で情報処理を進める「トークナイゼーション」の基礎と8月にPCI SSCから発表された「PCI DSS Tokenization Guidelines」の解説、北米と欧州で開催されるPCI DSS年次総会の話題などについての勉強会を行うという。
