2010年9月27日8:45
<代替コントロールの事例②前篇>
=========================
●クレジットカードプロセッサA社は、契約するデータセンターにCiscoルーターが約2,000台あり、原稿のIOSにはSSHサーバが搭載されていない
●問題となる要件
「2.3すべてのコンソール以外の管理アクセスを暗号化するWeb ベースの管理やその他のコンソール以外の管理アクセスについては、SSH、VPN、またはSSL/TLSなどのテクノロジを使用する」
-どのような制約があるか?
IOSのアップグレードに1台あたり平均し、作業コストを含め約5~10万円のコストを要する。総額1~2億円からの投資を要するため、この投資額とリスクに見合っていない
=========================
事例②は、CiscoのルータOSであるIOS(Internetworking Operating System)が古いために、SSHサーバが搭載されていないという事象についての代替コントロールの適用である。
問題となる要件は、2.3の管理アクセスの暗号化だ。これまでは、管理系のアクセスは内部ネットワーク経路に限定していたため、暗号化していない通信(httpsまたはtelnet)で管理していたが、このままでは2.3に適合できない。
A社のオリジナルコントロールを妨げる制約は、IOSのバージョンアップにかかるコストだ。投資対効果が見合わないというビジネス上の制約である。単純にコストがかかるという理由は、原則的には認められないが、ルーターの管理系アクセスの暗号化のために、1~2億円の投資額はあまりにも負担が大きいということである。
