第8回 データ保護と暗号化はイコールではない?


川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP

2010/1/27
要件として設定されている「保存されたカード会員データを保護すること」。この1文の意味をもう一度考えてみましょう(編集部)

 先日、PCI DSSに派生するPA-DSS(ペイメントアプリケーションデータセキュリティ基準)に関連して、アメリカに出張する機会がありました。アメリカではカード会員データの漏えいをきっかけに企業が破たんすることも実際に起きており、依然、緊張感が高まっているとのことでした。それでもやはり、インシデントが発生してから、慌てて対策を行うという現状は変わらないそうです。

 とはいえ、アメリカにおけるPCI DSS準拠率は日本に比べて高く、日本は数年遅れているといえるでしょう。よい意味でも悪い意味でも、この分野で先行している国があるので、筆者はその情報をうまく活用していくべきだと考えています。PA-DSSに関しては、別の機会に紹介できればと思っています。

 さて、PCI DSSに準拠しようとしたとき、多くの組織で頭を悩ますのは「要件3 保存されたカード会員データを保護すること」でしょう。「暗号化」というキーワードだけが注目されがちですが、ここで求められているのは、暗号化することではなく、保存されたカード会員データを保護すること、つまりカード会員データを容易に判読できない形で保存することで、カード会員データ情報漏えいのリスクを軽減することが目的です。

 しつこいようですが、製品を導入することが目的ではありませんし、高価な製品を導入しようとも、適切な運用が伴わなければ、本要件に対応したことにはなりません。

 カード会員データの暗号化を検討する前に

 「PCI DSSではカード会員データを暗号化しなければならないらしい。どうしようか?」という議題に入る前に、いくつかの段階があります。暗号化による対策が含まれるのは要件3ですが、QSAはいきなり「保存されたデータは暗号化されていますか? 暗号化されているか見せてください」と尋ねるわけではありません。

 これはQSAによって違いがあるかもしれませんが、筆者が行う場合は、まずPCI DSS要件に入る以前に、システム全体の構成と、それによるカード会員データの流れを確認します。つまり、最初はネットワーク構成図を見ながら、下記のような質問をします。

「このシステムで行っている全体の処理と、カード会員データの流れを教えてください」

 この質問の回答として、オーソリゼーションや売上処理が外部、内部ともにどのような流れで行われ、それによってどのような種類のカード会員データが、どのサーバに保管されるかといった概要を期待します。「美しく答えなければ失格」のようなものではありませんし、理解できないことがあれば何度でも質問させていただくので、率直に答えていただくことを望んでいます。これは必ずしも1人がすべてを答えていただく必要はなく、担当の方が分かれていれば皆さんで答えていただくのはまったく問題ありません。

 このとき、ネットワーク図にカード会員データの流れや保存される場所、保存状態などを付加しておけば、審査を受ける企業にとってもQSAにとっても理解しやすく、カード会員データの洗い出しにも役立ちます。

図1 カード会員データの流れや保存場所(外部とのやりとりを含む)を、ネットワーク図に明記する

 このやりとりの中で、およそどのカード会員データがどの場所に保管されているかが把握できます。この時点で「そこに保管されているデータは、暗号化などが行われていますか?」と聞くこともあります。ただし、最初に全体を把握しようとしている段階ですので、ここで得られた回答を最終的な結果と判断することはありません。そのあとで要件の詳細に入ったとき、実機の確認で異なる結果が見えてくることも珍しくないからです。

 つまり、ここで必要とされることは、システム全体を見渡したときに、どのようにカード会員データが流れていくのか、どの部分に蓄積されていくのかを把握していることです。カード会員データに限らず、個人情報などを取り扱うシステムがある場合にも同じことがいえます。システムに対する入力と内部処理、出力までのライフサイクルを把握しておかなければ、その情報を守ることなど到底できません。ここまで把握ができたうえで、要件3に入ることができます。

 この質問の回答では「どこにカード会員データが流れており、保存されているのか分からない」「そのカード会員データが本当に必要なのか分からない」ということが多いです。あまりにも散在している場合は、PCI DSS準拠を目指す第1ステップとして、業務分析が必要になるでしょう。

1/3

Index
データ保護と暗号化はイコールではない?
Page1
カード会員データの暗号化を検討する前に
  Page2
要件3「保存されたカード会員データを保護すること」を読む
判読不能にする方法は暗号化だけではない
  Page3
PCI DSSで求められる「強力な」暗号化技術
パフォーマンスが落ちるので暗号化したくない?


オール・ザッツ・PCI DSS 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH